Unix系统安全管理 MSE安全攻防培训资料

1 Unix安全防护管理部分 主要内容 帐号管理文件管理Unix攻击介绍安全基本配置 提纲一 帐号管理 帐户管理 用户类型Root 超级用户 不受任何限制 普通用户 未设置密码和宿主目录者除外 系统用户 用于和进程间交互 从不登陆 UID与GID Unix口令文件存储路径 Linux etc shadowSystemVRelease4 2 etc securitySystemVRelease4 0 etc shadowSunOS5 0 etc shadowSCOUnix tcb auth files OSF 1 etc passwdHP UX secure etc passwdBSD4 x etc master passwdAIX3 etc security passwdIRIX5 etc shadow 帐号密码文件 zhuxg x 501 501 Jacky home zhuxg bin bash 用户名 密码位置 UID GID 用户全名 用户主目录 用户shell etc passwd和 etc shadow master passwd 文件 解读 etc shadow文件 root 1 fgvCnqo0 C6xldBN0rs w1SCtD RST0 10598 0 99999 7 1 1 1073743272 用户名 加密口令 上一次修改的时间 从1970年1月1日起的天数 口令在两次修改间的最小天数 离用户必须修改口令还剩下的天数 离系统提醒用户必须修改口令还剩下的天数 用户仍可修改口令还剩余的天数 否则到期之后该账号将被禁止 从1970年1月1日起账号被禁用的天数 保留字段 添加帐户 useradd adduser root www root useradd u1000 d home test s bin shtest 删除帐户 userdel deluserUserdel r name root www root userdel rtest root www root ls l home 管理帐号 查看当前用户名 root www root users更改用户属性usermod root www root usermod helpusage usermod uuid o ggroup Ggroup dhome m sshell ccomment lnew name finactive eexpire ppasswd L U name SUID SGID和粘滞位 SUID一般用于可执行程序 当普通用户需要间接使用 读或写 某个文件时 可以对该程序设置SUID bin passwd etc passwd和 etc shadowSGID一般应用于普通目录粘滞位用于对某些目录提供额外的保护 tmp 文件管理 Linux Unix文件系统类型 Ext2 ext3 UFS文件类型正规文件 ASCII文本文件 二进制数据文件 二进制可执行文件目录 包含一组文件的二进制可执行文件特殊文件 dev proc链接文件Sockets 进程间通讯使用的特殊文件 文件类型 由文件长模式显示的第一个字符决定 普通文件 d 目录 l 符号链接 s 套接字 Linux文件权限 rw r r ls l文件名 Mask和umask值 Mask和umask相对应对于文件umask值 文件权限 666对于目录umask值 目录权限 777 文件管理 添加 删除 移动文件和目录touch echo vi rm mv更改文件权限chmod chattr更改文件属主chown chgrp 设置SUID SGID和Sticky bit 设置SUID SGID程序利用chmod典型文件如 bin passwdSGID通常设置在某个目录上设置粘置位典型目录如 tmp粘置位可防止误删 误修改或破坏用户文件 提纲三 Unix攻击介绍 黑客攻击手法 一 收集信息扫描社会工程公开信息利用系统漏洞DNS的配置失误Finger 黑客攻击手法 二 尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞 黑客攻击手法 三 尝试获得最高权限本地溢出木马社会工程窃取 欺骗程序漏洞 黑客攻击手法 四 扩大攻击范围清除系统记录系统日志清除操作日志清除应用日志清除留下系统后门Bindshell帐户LKM 跳跃攻击其他主机 RootKits 用于获得具有root权限的一组程序通过设置uid程序 系统木马 cron后门等方法来实现入侵者以后从非特权用户使用root权限的程序 提纲四 系统安全配置与优化 Solaris基本安全配置 系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日志系统配置帐户安全策略其他配置与清理 系统启动与系统分区 以最新的cdrom发布启动系统选择安装网络服务器选择 none fornameserver选择standalone安装方式选择coresystemsupport增加一个 terminalinformation 系统启动与系统分区 注意 安装方式选择从严格的安全考虑 使用coresystem 但是一般情况下 使用enduser的方式比较合适 系统启动与系统分区 64MSwap256M 内存容量的1 4倍 usr500M Xwindows需增加 var500M usr local500M 基本网络设置与系统安装 设置一个尽可能复杂的root口令设置默认路由 etc defaultrouter设置dns etc resolv conf设置 etc nsswitch confHost filesdns 系统启动服务清理 清理 etc rc2 d值得注意的nfs S71RPC清理 etc rc3 dSNMP使用的选择SNMP配置清理 etc init d inetsvc禁止in namedInetd s t启动禁止multicast 系统启动服务清理 清理 etc inetd conf服务所有的TCP UDP小服务所有的调试服务所以的R服务几乎所有的RPC服务使用必要的工具替换telnet ftp必要的时候可以完全禁止inetd或用xinetd替换 ndd使用 帮助ndd dev arp icmp tcp udp ip 查询ndd dev arparp cleanup interval设置ndd set dev arparp cleanup interval60000 启动网络参数设定 设置 etc init d inetinitndd set dev tcptcp conn req max q010240ndd set dev ipip ignore redirect1ndd set dev ipip send redirects0ndd set dev ipip ire flush interval60000ndd set dev arparp cleanup interval60ndd set dev ipip forward directed broadcasts0ndd set dev ipip forward src routed0ndd set dev ipip forwarding0 或 etc notrouter ndd set dev ipip strict dst multihoming1 ARP攻击防止 减少过期时间 ndd set dev arparp cleanup interval60000 ndd set dev ipip ire flush interval60000静态ARParp ffilename禁止ARPifconfiginterface arp IP 关闭ip转发 ndd set dev ipip forwarding0转发包广播由于在转发状态下默认是允许的 为了防止被用来实施smurf攻击 关闭这一特性 参见cert 98 01 ndd set dev ipip forward directed broadcasts0源路由转发 所以我们必须手动关闭它 ndd set dev ipip forward src routed0 ICMP 关闭对echo广播的响应 ndd set dev ipip respond to echo boadcast0响应时间戳广播 ndd set dev ipip respond to timestamp broadcast0地址掩码广播 ndd set dev ipip respind to address mask broadcast0 ICMP 接受重定向错误 ndd set dev ipip ignore redirect1响应时间戳广播发送重定向错误报文ndd set dev ipip send redirects0时间戳响应 ndd set dev ipip respond to timestamp0注意 Rdata 同步时钟 可能无法正常 TCP Synfloodndd set dev tcptcp conn req max q04096默认值是1024连接耗尽攻击ndd set dev tcptcp conn req max q1024默认值是128增加私有端口ndd dev tcptcp extra priv ports20494045要注意的是 不要随便定义私有端口 因为有些非根权限的进程会使用这些端口 特别是改变最小非私有端口这个参数 经常会引起问题 文件系统配置 删除NFS的相关配置 etc auto etc dfs dfstabMount文件系统的设置 etc vfstab usrmountro dev dsk c0t3d0s4 dev rdsk c0t3d0s4 usrufs1noroOthermountnosuid dev dsk c0t3d0s5 dev rdsk c0t3d0s5 varufs1nonosuid dev dsk c0t3d0s6 dev rdsk c0t3d0s6 localufs2yesnosuid可能的话mount nosuid 文件系统配置 寻找无用的suid程序find typef perm 4000 xargsls a调整文件系统的权限 usr sbin var log etc 日志系统配置 etc syslog conf增加的日志记录auth info var log authlog输出到loghost输出到打印机增加对su和crontab的日志记录 etc default cron etc default su 日志系统配置 syslog conf的格式如下 设备 行为级别 设备 行为级别 记录行为注意各栏之间用 Tab 来分隔 用空格是无效的 如 err daemon notice mail crit var adm messages 日志系统配置 设备 auth认证系统 即询问用户名和口令cron系统定时系统执行定时任务时发出的信息daemon守护程序的syslog 如由in ftpd产生的logkern内核的syslog信息lpr打印机的syslog信息mail邮件系统的syslog信息mark定时发送消息的时标程序news新闻系统的syslog信息user本地用户应用程序的syslog信息uucpuucp子系统的syslog信息 代表以上各种设备 日志系统配置 行为级别 行为级别描述 危险程度递递 debug程序的调试信息info信息消息notice要注意的消息warning警告err一般性错误crit严重情况alert应该立即被纠正的情况emerg紧急情况none指定的服务程序未给所选择的 日志系统配置 特殊 配置loghost loghostM4宏日志输出到打印机把打印机连接到终端端口 dev ttya上 在 etc syslog conf中加入配置语句 auth notice dev ttya防火墙配置UDP514 帐户清理与设置 userdel passmgmt uucp listen lp smtp adm etc default login的设置禁止非consoleroot登陆登陆超时登陆掩码设置 etc defualt passwd密码长度 过期等 其他配置与清理 etc issue etc motd etc systemecho setsys coredumpsize 0 etc systemecho setnoexec user stack 1 etc systemecho setnoexec user stack log 1 etc system清理无用的cron var spool cron crontabs lp adm uucp sys 其他配置与清理 eeprom设置eeprom口令与弊端Eeprom的其他设定Stop A禁止stop a响应与弊端 etc default kbd限制su的使用 Linux系统安全基本配置 分区时将根目录 home tmp 和 var目录应分开到不同的分区修改 etc fstab文件 添加nosuid属性字 如 dev hda2 tmpext2exec dev nosuid rw00 dev hda3 varext2exec dev nosuid rw00安装系统时只安装必要的组件 安全配置与增强 确保 etc inetd conf的属性为600编辑 etc inetd conf禁止不需要的服务 如finger 利用kill HUPinetd重启服务禁止imcpech