uni系统安全.ppt

NISE安全技术工程师培训 UNIX系统安全 课程目的 了解UNIX系统的发展了解UNIX的启动原理和脆弱性掌握UNIX的基础使用掌握UNIX系统的安全配置掌握UNIX系统的异常分析及审计授课方式 讲解 演示 学员上机操作 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 Unix的起源与发展 起源1969年KenThompson DennisRitchie发展V1 汇编 V4 C V6 大学 V7分支SystemV AT T BSDSVR4OSF 1 OpenSoftwareFoundation Unix的版本 SVRxAIX SVR2及部分BSD HP UXSCO SVR3 2 XenixBSD BSDSunSolaris 基于BSD 包含SystemV DEC Ultrix UNIX产品标准 UNIX产品计算机生产厂家SCOUNIXPC兼容机SCO公司XENIXPC兼容机微软 SCODigitalUnixDecAlpha机Digital公司SolarisSun工作站Sun公司AIXIBM机IBM公司 Unix的发展历程 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 为什么介绍UNIX安全 DOS Windows3 xD1WindowsNT Windows2000C1 C2多数商用Unix系统C1NovellC2部份强Unix系统 如TrustsolarisC2 B1Linux BSD没有测评 通常认为在C1 C2新的测试标准是CC 为什么介绍UNIX安全 TCP IP网的主要安全缺陷脆弱的认证机制容易被窃听和监视易受欺骗有缺陷的LAN服务和相互信任的主机复杂的设置和控制基于主机的安全不易扩展 为什么介绍UNIX安全 黑客攻击的日益增长新技术应用中不断发现了新的安全漏洞新的服务未经过严格的安全测试就开始使用早期业务系统均采用UNIX系统大型重要业务大多数采用UNIX系统黑客攻击最早对象是UNIX系统各种UNIX系统的漏洞层出不穷 为什么介绍UNIX安全 按照可信计算机评价标准达到C2级访问控制对象的可用性个人身份标识与认证审计记录操作的可靠性 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 UNIX系统启动过程简介 系统运行模式简介0进入EPROM状态 OK状态 1管理状态 所有文件系统都挂上的单用户模式 禁止其他用户登录 2多用户模式 没有网络文件共享服务 3多用户模式 有网络文件共享服务 4未使用5退出操作系统并关机6重新启动机器S 单用户模式 Linux启动过程简介 在Linux中 系统运行级别是并行式的 也就是系统加载完内核和mount 文件系统之后 就会直接跳转到相应的默认运行级别 在Solaris中 采取了一种串行化的引导方式 UNIX系统启动过程简介 Solaris的启动分为若干个运行级别 S 1 6 当系统内核运行完毕 加载好所有的驱动之后 就会把控制权移交给 sbin init进程 也就是所有进程的父进程 然后由init读取 etc inittab 依次执行 etc rc1 2 3 启动脚本 最终到达inittab中指定的默认运行级别 UNIX系统启动过程简介 solaris系统启动过程Init0 Init1 Init2 Init3init0 openboot模式 引导内核 加载硬件驱动 此时可以选择从cdrom引导进入维护模式 init1 单用户模式 加载 分区 登陆进入维护模式 或按Ctrl D进入多用户模式init2 网络工作站模式 连接网络 运行网络工作站服务 运行 etc rc2脚本连接网络 启动S69inet服务 运行部分inetd网络服务init3 网络服务器模式 运行各种网络服务 运行 etc rc3脚本启动网络服务器 Solaris的启动过程 引导 EEPROMOpenBoot sparc platform arch kernel unix 启动过程init的概念init0openboot模式 引导内核 加载硬件驱动 可以选择从cdrom引导进入维护模式 init1单用户模式 加载 分区 登陆进入维护模式 或按Ctrl D进入多用户模式 init2网络工作站模式 连接网络 运行网络工作站服务 运行 etc rc2脚本连接网络 启动S69inet服务 运行部分inetd网络服务 init3网络服务器模式 运行各种网络服务 运行 etc rc3脚本启动网络服务器 说明 代表必须服务 系统正常运行必须 代表可选服务 由用户环境决定 代表无效 不必要 或不安全的服务initinittabrc0rc1rc2rc3rc5rc6rcSinit dinit系统启动超级进程inittab进程启动配置文件rc0 rc6各启动级别的启动脚本rcS单用户模式启动脚本init d启动脚本存放目录rc0 d eepromOpenBoot状态 可以进入硬件维护模式 或关闭机器 rc1 d 单用户模式 可以对系统进行软件维护 S01MOUNTFSYS 加载文件系统S10lu 当运行liveupdate后清理系统 rc2 d rc3 d rc3 d 多用户模式 启动网络服务器模式S15nfs server 启动nfs服务器 NFS网络文件服务器S13kdc master 启动Kerberos服务器S14kdc 启动Kerberos服务器 Kerberos认证服务器S16boot server 启动bootp服务器 boot网络启动服务S34dhcp 启动dhcp DHCP服务器S50apache 启动apache服务器S76snmpdx 启动snmp服务器 启动SNMP服务 允许远程网络管理S77dmi 启动snmp dmi服务 SNMP子服务S89sshd 启动sshd服务器 SSH服务器S80mipagent 启动MobileIP代理S90samba 启动samba服务器 SambaCIFS网络文件服务器 Ps ef 启动过程看安全 OpenBoot安全级别none 不需要任何口令command 除了boot和go之外所有命令都需要口令full 除了go命令之外所有命令都需要口令 改变OpenBoot安全级别设置口令命令 eepromsecurity password改变安全级别为command eepromsecurity mode command UNIX用户登录过程 用户打开终端电源 或运行telnet getty进程将登录提示信息送到用户终端显示 并等待用户输入用户名 用户输入用户名 getty进程接收到用户名后 启动login进程 login进程要求用户输入口令 用户输入口令 login进程对username和password进行检查 login启动shell进程 shell进程根据 etc password中的shell类型 启动相应的shell 并启动 etc profile文件和 HOME profile文件 或 HOME login文件 最后出现UNIX提示符 等待用户输入命令 UNIX用户登录过程 打开终端 getty login sh etc profile HOME profile 出现提示符 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 UNIX系统基础 UNIX系统组成UNIX文件系统基础UNIX帐户管理基础UNIX口令基础 UNIX系统组成 UNIXKernel UNIX内核 是UNIX操作系统的核心 指挥调度UNIX机器的运行 直接控制计算机的资源 保护用户程序不受错综复杂的硬件事件细节的影响 UNIXShell UNIX外壳 是一个UNIX的特殊程序 是UNIX内核和用户的接口 是UNIX的命令解释器 也是一种解释性高级语言 UNIX文件系统 UNIX文件系统结构 UNIX帐户管理基础 UNIX帐户管理基础 useradd增加用户userdel删除用户usermod修改用户userls显示用户和系统登录信息passwd修改用户口令groupadd增加用户组groupdel删除用户组groupmod修改用户组groupls显示用户组的属性只有root用户和授权用户才能对用户和用户组进行增加 修改 删除操作 Passwd文件剖析name coded passwd UID GID user info home directory shell7个域中的每一个由冒号隔开 空格是不允许的 除非在user info域中使用 name 给用户分配的用户名 这不是私有信息 Coded passwd 经过加密的用户口令 如果一个系统管理员需要阻止一个用户登录 则经常用一个星号 代替 该域通常不手工编辑 用户应该使用passwd命令修改他们的口令 UID 用户的唯一标识号 习惯上 小于100的UID是为系统帐号保留的 帐号口令基础 Passwd文件剖析 续 GID 用户所属的基本分组 通常它将决定用户创建文件的分组拥有权 User info 习惯上它包括用户的全名 邮件系统和finger这样的工具习惯使用该域中的信息 home directory 该域指明用户的起始目录 它是用户登录进入后的初始工作目录 shell 该域指明用户登录进入后执行的命令解释器所在的路径 注意可以为用户在该域中赋一个 bin false值 这将阻止用户登录 帐号口令基础 UNIX帐号口令基础 etc shadow文件记录了系统用户的加密后口令loginID passwd lastchg min max warn inactive expire more etc shadowroot LXeokt C oXtw 6445 daemon NP 6445 bin NP 6445 sys NP 6445 adm NP 6445 lp NP 6445 UNIX帐号口令基础 loginID对应用户名password加密后的口令 LK表示锁定帐号 NP表示无口令lastchg最后更改口令的日期与1970年1月1日之间相隔的天数min改变口令需要最少的天数max同一口令允许的最大天数warn口令到期时 提前通知用户的天数inactive用户不使用帐号多少天禁用帐号expire用户帐号过期的天数最后一个字段未用 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全异常检测和维护 UNIX系统 不安装多余组件停止不必要的服务打最新的补丁 UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全 UNIX系统帐号安全 禁用和删除不必要的帐号简单的办法是在 etc shadow的password域前加 删除账号 userdeluser1 UNIX系统帐号安全 Root帐号安全性确保root只允许从控制台登陆限制知道root口令的人数使用强壮的密码三个月或者当有人离开公司是就更改一次密码使用普通用户登陆 用su取得root权限 而不是以root身份登录 UNIX系统帐号安全 Root帐号安全性设置umask为077 在需要时再改回022请使用全路径执行命令不要允许有非root用户可写的目录存在root的路径里修改 etc securetty 去除终端ttyp0 ttyp9 使root只能从console或者使用ssh登陆 UNIX系统帐号安全 多数UNIX系统 编辑 etc default login文件 添加 CONSOLE dev console禁止root远程FTP登录在 etc ftpusers里加上root linux下 编辑文件 etc pam d login 添加 etc pam d loginauthrequiredpam securetty so 禁止root用户远程登录 UNIX帐号口令安全 设置密码策略编辑 etc login defs chage lusernamechage m最短周期 M最长周期 I口令到期到被锁定的天数 E到期日期 W口令到期之前开始警告的天数 username UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全 Unix文件系统的安全 ls altestdrwxr xr x3rootroot1024Sep1311 58test模式位通常由一列10个字符来表示 每个字符表示一个模式设置1 表示文件类型 d表示目录 表示普通文件 l表示链接文件等等每个文件和目录有三组权限 一组是文件的拥有者 一组是文件所属组的成员 一组是其他所有用户 r 表示可读 w 表示可写 x 表示可执行 一共9位 每组3位 合起来称为模式位 modebits Unix文件系统的安全 Chmod改变文档或目录之属性 如 chmod755testChown改变文档或目录之拥有权 chownuser1file1 chown Ruser1dir1Chgrp改变文档或目录之群组拥有权 chgrpgroup1file1 Unix文件系统的安全 SUID SGIDSUID表示 设置用户ID SGID表示 设置组ID 当用户执行一个SUID文件时 用户ID在程序运行过程中被置为文件拥有者的用户ID 如果文件属于root 那用户就成为超级用户 SUID程序代表了重要的安全漏洞 特别是SUID设为root的程序 Unix文件系统的安全 SUID SGID find perm 04000 o perm 02000 printfind列出所有设置了SUID 4000 或SGID 2000 位的普通文件 f chmoda s 移去相应文件的 s 位 Unix文件系统的安全 给口令文件和组文件设置不可改变位 root venus chattr i etc passwd root venus chattr i etc shadow root venus chattr i etc group 文件系统安全 备份命令 cp 虽然常用来拷贝单独一个文件 但cp copy 命令支持一个递归选项 R 来拷贝一个目录和它里面所有的文件和子目录 例如把mydir中所有内容拷贝到mydir2中 cp Rmydirmydir2 tar tar TApeaRchiver 命令可以创建 把文件添加到或从一个tar档案 或 tar文件 中解开文件 cpio 这个SVR4和GNU工具把文件拷贝进或拷贝出一个cpio或tar档案 与tar相似 文件系统安全 Dump和RestoreDump 把整个文件系统拷贝到备份介质上 dump0f0 dev rst01500 dev sd0a 把一个SCSI硬盘 dev rsd0a 以0级备份到磁带 dev rst0 Restore 恢复整个文件系统或提取单个文件 练习 将passwd文件去掉置S位将shadow文件设为不可改变位改变inittab文件的owner和组 UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护 启动网络参数设定 设置 etc init d inetinit文件在系统作为路由器的情况中执行 ndd set dev ipip forwarding1关闭数据包转发 ndd set dev ipip forwarding0 或 etc notrouter 忽略重定向数据包 否则有遭到DOS的隐患 ndd set dev ipip ignore redirects1 启动网络参数设定 不发送重定向数据包 ndd set dev ipip send redirects0禁止转发定向广播 ndd set dev ipip forward directed broadcasts0禁止转发在数据源设置了路由的数据包 ndd set dev ipip forward src routed0 ARP攻击防止 减少过期时间 ndd set dev arparp cleanup interval60000 ndd set dev ipip ire flush interval60000默认是300000毫秒 5分钟 加快过期时间 并不能避免攻击 但是使得攻击更加困难 带来的影响是在网络中会大量的出现ARP请求和回复请不要在繁忙的网络上使用 ARP攻击防止 建立静态ARP使用arp ffilename加载如下文件08 00 20 ba a1 f208 00 20 ee de 1f这是一种很有效的方法 而且对系统影响不大 缺点是破坏了动态ARP协议禁止ARPifconfiginterface arp网卡不会发送ARP和接受ARP包 但是使用前提是使用静态的ARP表 如果不在apr表中的计算机 将不能通信 IP协议参数 关闭ip转发 或创建 etc notrouter ndd set dev ipip forwarding0关闭转发包广播由于在转发状态下默认是允许的 为了防止被用来实施smurf攻击 关闭这一特性 ndd set dev ipip forward directed broadcasts0关闭源路由转发 ndd set dev ipip forward src routed0 ICMP协议参数 关闭响应echo广播 ndd set dev ipip respond to echo boadcast0关闭响应时间戳广播 ndd set dev ipip respond to timestamp broadcast0关闭地址掩码广播 ndd set dev ipip respind to address mask broadcast0 防止ping在 etc rc d rc local文件中增加如下一行 echo1 proc sys net ipv4 icmp echo ignore all ICMP协议参数 TCP协议参数 Synflood 半开式连接攻击 SYNFLOOD原理请求方服务方 发送SYN消息回应SYN ACKACKndd set dev tcptcp conn req max q04096默认连接数为1024连接耗尽攻击ndd set dev tcptcp conn req max q1024默认连接数为128 Su限制 禁止任何人通过su命令改变为root用户 如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令 你可以在su配置文件 在 etc pam d 目录下 的开头添加下面两行 编辑su文件 vi etc pam d su 在开头添加下面两行 authsufficient lib security pam rootok sodebugauthrequired lib security Pam wheel sogroup wheel这表明只有 wheel 组的成员可以使用su命令成为root用户 你可以把用户添加到 wheel 组 以使它可以使用su命令成为root用户 隐藏系统信息 编辑 etc rc d rc local 文件 注释下面的行 Thiswilloverwrite etc issueateveryboot So makeanychangesyou wanttomaketo etc issuehereoryouwilllosethemwhenyoureboot echo etc issue echo R etc issue echo Kernel uname r on a uname m etc issue cp f etc issue etc echo etc issue删除 etc 目录下的 和 issue 文件 root kapil rm f etc issue root kapil rm f etc UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护 Unix的系统及网络服务 etc inetd conf etc inetd conf决定inetd启动网络服务时 启动哪些服务 用什么命令启动这些服务 以及这些服务的相关信息 etc service etc services文件记录一些常用的接口及其所提供的服务的对应关系 etc protocols etc protocols文件记录协议名及其端口的关系 etc Rc d etc inittabinittab定义了系统缺省运行级别 系统进入新运行级别需要做什么 Inetd服务 more etc inetd conf systatstreamtcpnowaitroot usr bin psps ef 系统进程监控服务 允许远程察看进程 netstatstreamtcpnowaitroot usr bin netstatnetstat finet 网络状态监控服务 允许远程察看网络状态 timestreamtcp6nowaitrootinternal timedgramudp6waitrootinternal 网络时间服务 允许远程察看系统时间 echostreamtcp6nowaitrootinternal echodgramudp6waitrootinternal 网络测试服务 回显字符串 Inetd服务 namedgramudpwaitroot usr sbin in tnamedin tnamed named DNS服务器 telnetstreamtcp6nowaitroot usr sbin in telnetdin telnetd telnet服务器 ftpstreamtcp6nowaitroot usr sbin in ftpdin ftpd a ftp服务器 etc services More etc services Networkservices Internetstyle tcpmux1 tcpecho7 tcpecho7 udpdiscard9 tcpsinknulldiscard9 udpsinknullsystat11 tcpusersdaytime13 tcpdaytime13 udpnetstat15 tcp Unix系统服务安全 在inetd conf中关闭不用的服务 cp etc inet inetd conf etc inet inetd conf bak然后用vi编辑器编辑inetd conf文件 对于需要注释掉的服务在相应行开头标记 字符即可 注 Ftp和Telnet服务在不需要时也可注释掉 Unix系统服务安全 清理 etc inet inetd conf服务所有的TCP UDP小服务所有的调试服务 echo discard daytime chargen 所以的R服务 rsh rexe rlogin 几乎所有的RPC服务使用必要的工具替换telnet ftp重起inetd服务 killall HUPinetd UNIX网络服务安全 DNSFTPTELNETMAILTcp wrapper Dns Bind 历史 Bind最初在美国加利佛尼亚大学伯克利分校实现在4 3FSBUNIX机上 有两种版本BIND4 BIND8都是免费版本BIND8是新版的BIND4已停止除安全补丁程序外的开发 已移植到Unix linux winnt os 2上 两种版本在书写格式上不同 BIND主要配置文件 named配置文件 etc named boot bind4 etc named conf bind8 DNS数据文件正向解析文件反向解析文件Db cache文件解析装置文件 etc resolv conf etc named conf举例 more etc named confoptions directory var named zone in typehint file db cache etc named conf举例 zone in typemaster file zone zone 0 3 10 in addr arpa in typemaster file rev DNS服务器的常见攻击方法 地址欺骗远程漏洞入侵拒绝服务 地址欺骗 DNS服务器的拒绝服务攻击 针对DNS服务器软件本身利用DNS服务器作为中间的 攻击放大器 去攻击其它intetnet上的主机 Bind服务器安全配置 基本安全配置Bind服务器的访问控制设置chroot运行环境 Bind服务器安全配置 基本安全配置隐藏版本信息在options节中增加自定义的BIND版本信息 可隐藏BIND服务器的真正版本号 例如 version Whoknows version9 9 9 此时如果通过DNS服务查询BIND版本号时 返回的信息就是 Whoknows Bind服务器安全配置 基本安全配置named进程启动选项 r 关闭域名服务器的递归查询功能 缺省为打开 该选项可在配置文件的options中使用 recursion 选项覆盖 u和 g 定义域名服务器运行时所使用的UID和GID 这用于丢弃启动时所需要的root特权 t 指定当服务器进程处理完命令行参数后所要chroot 的目录 Bind服务器安全配置 Bind服务器的访问控制 限制查询限制区域传输关闭递归查询 Bind服务器安全配置 etc named confoptions directory var named allow query202 96 44 0 24 allow transfer 192 168 100 1 202 96 44 0 24 recursionno Bind服务器安全配置 及时更新安装bind的最新版本http www isc org products BIND bind8 htmlhttp www isc org products BIND bind9 html FTP FTP有安全问题proftppre3remoteshellProftppre10DoSWuftp2 4 18Wuftp2 5Wuftp2 6Sunftpcore Ftp安全要点 使用最新版本http www wu ftpd org 2 6 1 TELNET 改变TELNET登录的提示编辑 etc motd文件避免显示系统和版本信息编辑 etc inetd conf文件 etc default telnetd telnetstreamtcpnowaitroot usr sbin tcpdin telnetd h加 h表示telnet不显示系统信息 推荐使用ssh代替不安全的telnetSSH介绍加密通讯方式下载地址ftp ftp funet fi pub unix security login ssh Sendmail的主要安全问题 文件系统安全邮件转发与垃圾邮件拒绝服务攻击 VRFY命令 使用VRFY命令获得用户名列表是SMTP提供的专门用来验证是否有用户存在于服务器上的一条命令VRFY命令格式VRFY要测试的用户名如果用户存在 系统将返回250和用户全名 如果用户不存在 将返回550错误 VRFY命令示例 示例1telnetSMTP SVR25S VRFYPostelR 250JonPostel示例2telnetSMTP SVR25S VRFYJonesR 550Stringdoesnotmatchanything EXPN命令 使用EXPN命令获得用户名列表EXPN命令其实和VRFY命令类似 不同的是 这条命令是用来验证是否有邮件列表存在 EXPN命令示例 示例1 example people1为邮件列表 telnetSMTP SVR25S EXPNExample People1R 250 JonPostelR 250 FredFoneboneR 250 SamQ SmithR 250 QuincySmithR 250 邮件列表存在的时候 系统就会返回这个邮件列表中的所有用户名称以及具体的信箱地址 EXPN命令示例 示例2 example people1为邮件列表 telnetSMTP SVR25S EXPNExample People2R 550AccessDeniedtoYou 如果系统禁止了这个命令 将返回550错误 Sendmail安全配置 关掉expn和vrfy命令修改文件 etc sendmail cf 将OPrivacyOptions authwarnings改为OPrivacyOptions authwarnings novrfy noexpn etc aliases的权限设为644 Chmod644 etc aliases从 etc aliases里删除decode Sendmail安全配置 限制可以审核邮件队列内容的人通常情况下 任何人都可以使用 mailq 命令来查看邮件队列的内容 vi etc sendmail cf将OPrivacyOptions authwarnings noexpn novrfy改为 OPrivacyOptions authwarnings noexpn novrfy restrictmailq Sendmail安全配置 重要的sendmail文件设置不可更改位 chattr i etc sendmail cf chattr i etc sendmail cw chattr i etc sendmail mc chattr i etc null mc chattr i etc aliases chattr i etc mail access Sendmail安全配置 增强Sendmail的抗DoS攻击能力1 配置最少的自由块数配置参数 MinFreeBlocks参数描述 文件系统用来接受标准SMTP邮件的队列中的最少的自由块数目 越小越容易被攻击致命 默认值 100推荐值 4000或者更大2 最大邮件大小配置参数 MaxMessageSize参数描述 每封邮件的最大尺寸 越大越容易被攻击致命 默认值 不限制推荐值 5M Sendmail安全配置 3 每封邮件的最多接收者配置参数 MaxRecipientsPerMessage参数描述 如果设定了的话 每封邮件只能同时抄送给指定数量的收信人 超过此数目就会返回一个452的错误代码 4 队列平均负荷配置参数 QueueLA参数描述 单一队列时的平均负荷 根据CPU的数量适当设定 8 CPU数量 Sendmail安全配置 5 平均负荷拒绝临界点配置参数 RefuseLA参数描述 一旦平均负荷超过此临界点 所有Incoming的SMTP连接均拒绝 默认值 可变的推荐值 8 CPU数量6 最大的守护进程的子进程数7 最大的报头长度8 最大MIME编码报文长度9 自动重建别名 Sendmail安全配置 设置smtp身份验证及时更新安装最新版本的Sendmail Tcp wrapper Tcp wrapper在inetd接到客户请求时启动 具有存取管理启动目标服务器的程序功能 Tcpd启动时 读取文件 etc hosts allow及 etc hosts deny etc hosts allow 允许服务的主机 etc hosts deny 禁止服务的主机 Tcp wrapper Hosts allow文件格式 Daemon list 表示允许服务的监控程序名 可以有多个 用逗号隔开 Host list 允许服务的主机名或IP 可以用通配符 Command allow或deny Tcp wrapper Hosts deny文件格式 Daemon list 表示禁止服务的监控程序名 可以有多个 用逗号隔开 Host list 禁止服务的主机名或IP 可以用通配符 Hosts deny缺省设置ALL ALL表示除hosts allow中允许的主机外都禁止 一般无须改变 Tcp wrapper Tcpd解释设置文件方式如果为用hosts allow允许的主机则充许 如果为用hosts deny禁止的主机则禁止 两种文件均无描述的主机 则允许 Tcp wrapper示例1 192 168 0 1为服务器 管理员使用的客户主机为192 168 0 5 使管理员客户机全部处于允许状态 其它主机都禁止访问该服务器 Hosts allow设置 ALL 192 168 0 5 allowHosts deny设置成 ALL ALL Tcp wrapper示例2 192 168 0 1为服务器 使所有192 168 0 网段的主机可以FTP服务器 其它主机都禁止访问该服务器 Hosts allow设置 Wu ftpd 192 168 0 allowHosts deny设置成 ALL ALL UNIX系统安全配置 UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护 Unix异常监控 异常的系统资源占用CPUtop wDiskdf duNetnetstat snoop 系统异常事件 异常进程Ps异常端口和网络活动Lsof异常用户活动w last应用程序变更login su ls 配置文件或设备变动 系统日志察看 MessageSyslogLastlogShellhistory应用程序日志其它 相关网站 国内网站 UNIX系统安全 UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析 日志子系统 使用wtmp utmp文件的连接时间日志 使用acct或pacct文