企业培训_unix系统安全培训

UNIX操作系统安全v1 0 0 0 版本控制 版本控制 目录 第一章UNIX安全基础知识第二章Linux主机安全运行第三章Solaris主机安全运行第四章AIX主机安全运行第五章HP UX主机安全运行第六章UNIX常见应用服务安全第七章UNIX异常检查 第一章UNIX安全基础知识 目录 1 1文件完整性审计 1 3安全补丁审计 1 4端口审计 1 5进程审计 1 2帐户 口令审计 1 6系统日志审计 文件完整性审计 原理 通过Hash函数计算得到每个文件的数字文摘MD5SHA每次检查时 它重新计算文件的数字文摘并将它与数据库中的值相比较不同 则文件已被修改 若相同 文件则未发生变化 文件完整性审计 意义 检测系统关键文件变化情况检测各种误操作导致的系统变化在事件发生后 快速恢复系统的依据发现系统隐藏的后门BACKDOORROOTKITLKM 文件完整性审计 安全周期 文件完整性审计 手段 Tripwire最成熟的商业文件完整性审计工具支持各种操作系统甚至网络设备CS结构方便集中管理和配置结果存放于数据库MD5SUM最通用的免费的完整性审计工具简单易用只能对单一文件进行审计AIDEfree GPL支持各种操作系统 文件完整性审计 部署逻辑图 文件完整性审计 其他工具 MD5SUM md5sum 98343c7ee558fc6cc19cd5319c44f3d5 README WIN322bf260615d34d7d46392e21b82b195b4 nmap os fingerprints8975f7180e8f8735867e49cf3ebed5c3 nmap protocolsa365edeebbafaeca057397c19cf94c2d nmap rpc717a6cdbf5feb73617471cd041c45580 nmap service probes43dca708961769cb09780c9eba8b8712 nmap servicesb00bd7728c6e7d3e9a37ad84147dd983 nmap exe5d6ecce781323aec8c58b0de1a3e6888 nmap performance reg 文件完整性审计 其他工具 SUN网站提供md5提交 验证页面 文件完整性审计 其他工具 AIDEaide iaide conf 文件完整性审计 注意事项 完整性检查的工具本身完整性检查的数据库只读介质异地存储 用户 弱口令审计 原理 UNIX系统用户数据库 etc passwdUSER x UID GID HOME SHELL etc shadow加密后的用户密码MD5 basedStandardDES basedDouble lengthDES basedBSDI sextendedDES basedFreeBSD sMD5 basedOpenBSD sBlowfish basedAFS 用户 弱口令审计 意义 发现系统中无用 默认的用户发现使用弱密码的用户检查密码策略实施情况发现系统中的后门帐户 用户 弱口令审计 手段 手工直接查看系统用户数据库 人工简单判断JOHN最通用的UNIX密码破解软件有各种常见操作系统下的版本可以破解各种常见操作系统的用户数据库外加软件也可以实现分布式 用户 弱口令审计 手段 手工检查Solariscat etc passwdcat etc shadow AIX etc security passwd passwdUSER x UID GID HOME SHELLx为用户未锁定 为空密码 LK 为锁定UID GID0为root常见可登陆shell bin sh bin bash bin kshShadowUSER 加密过的密码 UNIX系统帐号安全 Passwd文件剖析name coded passwd UID GID user info home directory shell7个域中的每一个由冒号隔开 name 给用户分配的用户名 Coded passwd 经过加密的用户口令 如果一个系统管理员需要阻止一个用户登录 则经常用一个星号 代替 该域通常不手工编辑 UID 用户的唯一标识号 习惯上 小于100的UID是为系统帐号保留的 UNIX系统帐号安全 GID 用户所属的基本分组 通常它将决定用户创建文件的分组拥有权 User info 习惯上它包括用户的全名 邮件系统和finger这样的工具习惯使用该域中的信息 home directory 该域指明用户的起始目录 它是用户登录进入后的初始工作目录 shell 该域指明用户登录进入后执行的命令解释器所在的路径 注意可以为用户在该域中赋一个 bin false值 这将阻止用户登录 UNIX帐号安全 shadow文件 UNIX系统帐号安全 上一次修改口令的日期 以从1970年1月1日开始的天数表示 口令在两次修改间的最小天数 口令在建立后必须更改的天数 口令更改之前向用户发出警告的天数 口令终止后帐号被禁用的天数 自从1970年1月1日起帐号被禁用的天数 保留域 UNIX系统帐号安全 缺省帐号 UNIX系统帐号安全 禁用和删除帐号 禁用帐号最快的方式是在 etc passwd或影子口令文件中用户加密口令的开始加一个星号 该用户将不能再次登录 userdeltest 用户 弱口令审计 手段 JOHNjohnpasswd一般运行john wordfile usr dict words rulespasswd加字典 自定义策略john showpasswd查看已破解密码john restore恢复上次运行 用户 弱口令审计 注意事项 密码文件要注意保存有的系统用户数据库文件不是标准模式 需要手工或脚本进行转换不要轻易删除帐户 建议先锁定帐户可能跟应用系统有关 安全补丁审计 原理 当前系统 应用的补丁升级 绝大部分是安全方面的升级系统 应用补丁后 即可修补当前已知的安全问题SUN定期 基本每周 会发布补丁集和包 包含所有补丁AIX以RecommendedMaintenancePackage Hotfix方式提供最新为14 安全补丁审计 意义 得到系统 应用准确版本信息判断系统是否存在安全漏洞为下一步安全补丁的实施提供准确的依据 安全补丁审计 手段 系统版本uname an系统本身支持补丁查看命令Solarisshowdev pAIXoslevel rHP UXswlist lproduct PH 应用补丁 版本telnetipportNmap 安全补丁审计 手段 最新补丁列表取得方式Solaris 安全补丁审计 手段 安全补丁审计 手段 安全补丁审计 注意事项 补丁可能引起系统 应用的问题补丁时要注意文件的备份除系统补丁外 应用的补丁也很重要 端口审计 原理 系统开启的网络服务 均会导致开放特定的端口开放端口后 网络即可对此端口进行访问 如果此端口的应用存在安全漏洞 则可能导致系统的安全问题大部分的黑客留下的后门 均开放端口实现BindshellSshdbackdoor 端口审计 意义 发现系统开放的不必要的服务发现系统可能存在的后门为下一步加固关闭服务提供依据 端口审计 手段 系统本身命令netstat系统外部工具nmap端口扫描工具可以扫描开放的TCP UDP端口可以进行端口 服务识别Lsof i 3306查看系统打开的文件 端口审计 手段 netstata显示所有TCPUDP端口n数字显示地址和端口 不进行IP反向解析 举例netstat na grepLISTEN 端口审计 手段 nmap sTTCPconnect 端口扫描 sUUDP端口扫描 sV服务版本识别 OTCP IP指纹判断系统类型 P0不预先ping主机 p端口扫描范围示例nmap sT sU127 0 0 1 端口审计 手段 lsoflsof列举打开此文件的程序lsof i列举所有打开Internetsocket的程序lsof p列举此PID程序打开的文件lsof c列举此进程打开的文件 端口审计 注意事项 启动时打开端口的服务可能的位置 etc rc local etc rc sysinit etc system etc rc d etc inetd conf部分端口为系统默认必须开放111RPC端口关闭 CDE将不能运行Rootkit lkm等后门程序会隐藏开放的特定端口 进程审计 原理 服务器启动后运行的程序 均可以以查看进程的方式看到黑客留下的后门程序 除了对系统本身文件进行修改的 大部分均会增添运行进程 进程审计 意义 发现系统运行的不必要服务发现黑客留下来的后门程序为下一步加固提供依据 进程审计 手段 Ps a e列出所有用户进程 f列出进程的uid ppids l列出进程的uids ppids pgids winpids u列出某用户进程举例 ps ef 进程审计 手段 lsoflsof列举打开此文件的程序lsof i列举所有打开Internetsocket的程序lsof p列举此PID程序打开的文件lsof c列举此进程打开的文件 进程审计 手段 其他相关系统命令pcred pid core 查看进程的身份 有效的和真实的用户ID和组ID pfiles F pid查看进程打开的文件pflags r pid core 查看进程的跟踪标志和信号状态pldd F pid core 查看链接到进程上的动态链接pmap rxlF pid core 查看进程的地址空间映射表 详细检查进程占用了多少虚拟内存 psigpid查看进程的信号pstack F pid core 查看进程的十六进制 符号形式的堆栈记录ptimecommand args 高精度地统计进程占用CPU的时间 usr proc bin ptree分层查看进程的所有子进程pwait v pid等待指定的进程终止pwdxpid查看进程的当前工作目录 系统日志审计 原理 系统日志记帐的两个最主要守护进程klogdsyslogd会监视基本上所有的系统动作 其中klogd主要记录一些系统内核动作 syslogd 它可以接收访问系统的日志信息并且根据 etc syslog conf配置文件中的指令处理这些信息 任何希望生成日志信息的程序都可向syslog接口呼叫来生成改信息 其他的一些日志utmpd wtmpd这两个进程来进行记帐的 然后通过utmppipe这个管道文件向 var adm utmpx这个文件写数据 系统日志审计 意义 观察系统的运行状态发现系统运行中出现的错误报警观察程序的运行情况和用户的登陆情况 甚至运行的命令 发现系统被黑客攻击后残留的痕迹 系统日志审计 手段 var adm messages系统核心的各种运行日志 认证 inetd sulog普通用户尝试su成为其它用户的纪录utmp utmpx不具可读性的 记录着当前登录在主机上的用户 用w who等命令来看wtmp wtmps记录着所有登录过主机的用户 时间 来源等内容 也是不具可读性的用last命令来看syslog一般记录mail事件 系统日志审计 手段 如果使用bash 则可查看用户运行过的命令 bash history额外的记帐功能需要执行 usr lib acct目录下的accton文件格式如下 usr lib acct accton var adm pacct 系统日志审计 注意事项 日志可能被伪造最好系统配置为网络统一接收日志可以使用一些日志分析软件进行深入挖掘 系统日志审计 附加 网络日志发送服务器作如下配置 etc syslog conf err kern debug daemon notice mail crit auth notice 202 接收服务器作如下配置确定 etc services文件有syslog修改 etc rc d init d syslog文件 syslogd optoins r 修改 etc syslog conf文件 添加 var log log推荐使用商业或是WINDOWS系统上使用的SYSLOG收集软件 文件权限 文件权限的8进制表示 属主 组 其它分别以一个8进制位表示 其中 r 4w 2x 1 例子 rwxr x 8进制表示为0750040002000100004000000010 0000 0750 文件权限 八进制数表示文件权限 文件权限Chmod chown chgrp chmod 改变权限 chmodo rfile 用户 u 分组 g 其他 0 chown 改变拥有权 chownuser1filechgrp 改变分组 chgrpgroup1file 文件权限 umask值当创建了一个新文件或目录时 它基于用户的权限屏蔽 umask 来确定缺省的权限设置 chmod命令用来声明要打开的权限 而umask命令用来指明要禁止的权限 它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限 或被屏蔽的 umask主要在系统范围及个人的登录文件 login或 profile中建立 文件权限 应该设置root用户的umask为077 这使其它用户不能读写root新创建的文件 在多数系统中 umask的缺省值是022 SUID和SGID文件 SUID表示 设置用户ID SGID表示 设置组ID 当用户执行一个SUID文件时 用户ID在程序运行过程中被置为文件拥有者的用户ID 如果文件属于root 那用户就成为超级用户 同样 当一个用户执行SGID文件时 用户的组被置为文件的组 Unix实际上有两种类型的用户ID realuserID 是在登录过程中建立的用户ID effectiveuserID 是在登录后的会话过程中通过SUID和SGID位来修改 文件权限 find typef perm 4000 o perm 2000 ls这告诉find列出所有设置了SUID 4000 或SGID 2000 位的普通文件 f 应该在每个本地系统中运行它 使用基于utmp wtmp的命令 who命令查询utmp文件并报告当前每个登录的用户 使用基于utmp wtmp的命令 w命令查询utmp文件并显示当前系统中每个用户和他所运行的进程信息 标题栏显示当前时间 系统已运行了多长时间 当前有多少用户登录以及过去1 5和15分钟内的系统平均负载 日志子系统 users命令users命令用单独一行打印出当前登录的用户 每个显示的用户名对应一个登录会话 如果一个用户有不止一个登录会话 那他的用户名将显示相同的次数 usersalicecaroldavebob 日志子系统 last命令往回搜索wtmp来显示自从文件第一次创建后登录过的用户 它还报告终端类型和日期 日志子系统 ac命令根据当前 var log wtmp文件中的登录进入和退出来报告用户连接的时间 小时 如果不使用标志 则报告总的时间 actotal136 25 d 标志产生每天的总的连接时间 p 标志报告每个用户的总的连接时间 日志子系统 lastcomm命令报告以前执行的命令 不带变元时 lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息 包括命令名 用户 tty 命令花费的CPU时间和一个时间戳 第二章Linux主机安全运行 目录 2 1帐号 口令 2 2网络与服务 2 3日志 2 4其他 LINUX 账号 口令 账号 LINUX 账号 口令 账号 LINUX 账号 口令 口令 LINUX 网络与服务 网络 LINUX 网络与服务 网络连接访问控制 LINUX 网络与服务 网络连接访问控制 LINUX 网络与服务 服务 LINUX 网络与服务 服务 LINUX 网络与服务 NFS服务 LINUX 网络与服务 SNMP服务 LINUX 网络与服务 Sendmail服务 LINUX 网络与服务 DNS Bind 服务 LINUX 日志 syslog文件 LINUX 日志 日志系统 LINUX 其它 文件 目录访问许可权限 LINUX 其它 文件 目录访问许可权限 LINUX 其它 文件 目录访问许可权限 LINUX 其它 系统访问 认证和授权 LINUX 其它 系统访问 认证和授权 LINUX 其它 系统访问 认证和授权 LINUX 其它 系统的环境变量 LINUX 其它 系统补丁 第三章Solaris主机安全运行 目录 3 1帐号管理 认证授权 3 2日志配置要求 3 3IP协议安全配置要求 3 4设备其他安全配置要求 帐号管理 认证授权 帐号 帐号 安全要求 设备 SOLARIS 配置 1 帐号管理 认证授权 帐号 安全要求 设备 SOLARIS 配置 2 帐号管理 认证授权 帐号 安全要求 设备 SOLARIS 配置 3 帐号管理 认证授权 帐号 安全要求 设备 SOLARIS 配置 4 帐号管理 认证授权 帐号 安全要求 设备 SOLARIS 配置 5 帐号管理 认证授权 口令 口令 安全要求 设备 SOLARIS 配置 1 帐号管理 认证授权 口令 口令 安全要求 设备 SOLARIS 配置 2 帐号管理 认证授权 口令 口令 安全要求 设备 SOLARIS 配置 3 帐号管理 认证授权 口令 口令 安全要求 设备 SOLARIS 配置 4 帐号管理 认证授权 口令 口令 安全要求 设备 SOLARIS 配置 5 帐号管理 认证授权 授权 授权 安全要求 设备 SOLARIS 配置 1 帐号管理 认证授权 授权 授权 安全要求 设备 SOLARIS 配置 2 帐号管理 认证授权 授权 授权 安全要求 设备 SOLARIS 配置 3 帐号管理 认证授权 授权 授权 安全要求 设备 SOLARIS 配置 3 续 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 1 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 2 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 3 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 4 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 5 日志配置要求 日志配置要求 安全要求 设备 SOLARIS 配置 6 IP协议安全配置要求 IP协议安全 IP协议安全 安全要求 设备 SOLARIS 配置 1 IP协议安全配置要求 IP协议安全 IP协议安全 安全要求 设备 SOLARIS 配置 2 IP协议安全配置要求 IP协议安全 IP协议安全 安全要求 设备 SOLARIS 配置 3 IP协议安全配置要求 IP协议安全 IP协议安全 安全要求 设备 SOLARIS 配置 4 IP协议安全配置要求 IP协议安全 IP协议安全 安全要求 设备 SOLARIS 配置 5 IP协议安全配置要求 路由协议安全 路由协议安全 安全要求 设备 SOLARIS 配置 1 IP协议安全配置要求 路由协议安全 路由协议安全 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 屏幕保护 屏幕保护 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 屏幕保护 屏幕保护 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 文件系统及访问权限 文件系统及访问权限 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 文件系统及访问权限 文件系统及访问权限 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 物理安全及EEPROM 物理端口及EEPROM的口令设置 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 物理安全及EEPROM 物理端口及EEPROM的口令设置 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 补丁管理 补丁管理 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 补丁管理 补丁管理 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 服务 服务 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 服务 服务 安全要求 设备 SOLARIS 配置 1 续 设备其他安全要求 服务 服务 安全要求 设备 SOLARIS 配置 2 设备其他安全要求 服务 服务 安全要求 设备 SOLARIS 配置 3 设备其他安全要求 内核调整 内核调整 安全要求 设备 SOLARIS 配置 1 设备其他安全要求 启动项 启动项 安全要求 设备 SOLARIS 配置 1 第四章AIX主机安全运行 目录 4 1帐号 口令 4 2网络与服务 4 3日志 4 4其他 AIX 账号 口令 账号 AIX 账号 口令 口令策略 AIX 账号 口令 登陆策略 AIX 账号 口令 root用户远程登录 AIX 账号 口令 root用户的环境变量 AIX 网络与服务 TCP IP AIX 网络与服务 rc d中的服务 AIX 网络与服务 etc inetd conf中服务 AIX 网络与服务 NFS服务 AIX 网络与服务 DNS Bind 服务 AIX 网络与服务 SNMP服务 AIX 日志 syslog日志 AIX 其它 系统远程访问 认证 授权 AIX 其它 系统远程访问 认证 授权 AIX 其它 系统远程访问 认证 授权 AIX 其它 系统内核 AIX 其它 系统补丁 AIX 其它 系统补丁 第五章HP UX主机安全运行 目录 5 1帐号 口令 5 2网络与服务 5 3日志 5 4其他 HPUX 账号 口令 账户 密码与登录设置 HPUX 账号 口令 账户 密码与登录设置 HPUX 账号 口令 账户 密码与登录设置 HPUX 账号 口令 账户 密码与登录设置 HPUX 账号 口令 账户 密码与登录设置 HPUX 网络与服务 TCP IP HPUX 网络与服务 Sendmail服务 HPUX 网络与服务 Rbootd服务 HPUX 网络与服务 SNMP服务 HPUX 网络与服务 dtlogin服务 HPUX 网络与服务 rpcbind服务 HPUX 网络与服务 ftp登录 HPUX 日志 系统日志和审计行为 HPUX 日志 日志文件 HPUX 其它 系统远程访问 认证 授权 HPUX 其它 系统远程访问 认证 授权 HPUX 其它 系统远程访问 认证 授权 HPUX 其它 系统远程访问 认证 授权 HPUX 其它 系统安全 HPUX 其它 系统安全 HPUX 其它 系统补丁 第六章UNIX常见应用服务安全 常见UNIX应用服务及其安全要点 DNSFTPTELNETSSHMAILWebSamba DNS DNS 域名系统 适用于域名和IP地址之间的相互转换协议 BIND BerkeleyInternetNameDomain 则是Internet上应用最广泛的DNS服务器 基本措施 安装或者升级到最新的bind划分DNS禁止或限制DNSzone传输关闭递归查询设计备用DNS限制动态更新Chroot的DNS环境 FTP FTP 文件传输协议 适用于主机之间传输文件的协议 而Wuftp是Unix和Linux中应用最广泛的FTP后台程序 了解那些FTP有安全问题proftppre3remoteshellProftppre10DoSWuftp2 4 18Wuftp2 5Wuftp2 6Sunftpcorevsftpd所以说 从本质上讲FTP是不安全的 即使在加固之后 FTP安全要点 使用最新版本http www wu ftpd org ftpaccess控制用户行为 流量等 不允许root bin和httpd用户进入FTP服务器 ftp的chroot使用ssh或sftp代替ftp改变服务器标识如果允许匿名上传 则上传得文件必须是隐藏的 同时应该禁止下载上传得文件 否则 FTP服务器很有可能被入侵者利用 TELNET telnet 用来登陆远程机器的明文协议 不安全的telnettelnet历史上的安全问题使用ssh代替telnetSSH 用于数据交换的安全协议 由于其通信是保密的 因此成为telnet rlogin FTP的替代品 Ssh的安全问题Ssh的其他作用 SSH SSH 用于数据交换的安全协议 由于其通信是保密的 因此成为telnet rlogin FTP的替代品 确保禁用版本号为1的SSH协议 sshd config文件必须含有以下命令行 Protocol2不允许根用户通过SSH登陆服务器 确保sshd config文件必须含有以下命令行 PermitRootLoginnoSSH私钥文件只允许根用户读取 MAIL Sendmail是Internet上最流行的MTA 邮件传输代理 通过修改sendmail cf文件改变SMTP的欢迎信息 通过修改sendmail cf文件编辑expn和vrfy命令 将其关闭 检查 etc mail access内容 该文件包含可以通过sendmail进行中继的主机名 切勿添加不信任的主机名 关闭relay的功能 其他 邮件大小控制 黑名单 由于sendmail易受远程攻击 可以考虑使用qmail作为替代 可以从http cr yp to qmail html上获取 Web Apache 是现在应用最广泛的Web服务器 改变HTTP标语 关闭自动索引功能 将Apache配置为不提供敏感信息文件 如 inc jsp java php文件 删除默认的手动文件 删除默认和示范的CGI脚本及应用 确保Apache在非根权限下运行 在httpd conf文件里察看用户 User 和组 Group 的设置 确保设为非根账户 如httpd或apache find namehttpd conf print使用相关log文件 并确保已经在httpd conf文件里设置妥当 禁用非必需的模块 在httpd conf文件里注释掉相应的AddModule和LoadModule指令 Samba Samba 使用SMB ServerMessageBlock 协议通过网络共享文件及打印机 修改服务器字符串 编辑smb conf将serverstring sambaserver修改为 serverstring noinformation编辑smb conf设置hostsallow选项来限制可以连接到服务器的主机数 使用密码加密 在smb conf文件中将encyptpasswords设置为yes 第七章UNIX异常检查 检查内容 日志检查帐号检查进程检查服务检查文件和目录检查网络连接检查定时作业检查 日志检查 目标 检查日志和用户历史记录文件 检查是否存在入侵行为说明 var log var adm etc syslog conf sh history bash history和其它用户目录的历史记录文件 如 cd var logstringssyslogcd var admstringsmessages帐号检查 目标 检查非正常帐号说明 检查 etc passwd etc shadow文件 通过和初始化的快照对比发现是否被更改 如果发现了新的超级用户