05信息安全竞赛培训-UNIX安全管理-无logo

UNIX平安管理培训主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置Unix开展历史系统平安:平安度量度量标准："TrustedComputerSystemEvaluationCriteria"(1985)目前常用美国国防部系统所制定的"TrustedComputerSystemEvaluationCriteria"(1985)系统平安程度的七个等级：(D1、C1、C2、B1、B2、B3、A1)UNIX系统的平安特征按照可信计算机评价标准(TCSEC)到达C2级访问控制个人身份标识与认证审计记录操作的可靠性主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置UNIX系统启动过程简介〔1〕系统运行模式简介0进入PROM状态〔stop+A进入OK状态〕1管理状态〔所有文件系统都挂上的单用户模式，禁止其他用户登录〕2多用户模式〔没有网络文件共享效劳〕3多用户模式〔有网络文件共享效劳〕4未使用5退出操作系统并关机6重新启动机器S,s单用户模式UNIX系统启动过程简介〔2〕solaris的启动过程系统自检、显示系统信息、读取启动设备的0扇区、在启动设备寻找启动程序、加载启动程序、启动内核、当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给/sbin/init进程，也就是所有进程的父进程，然后由init读取/etc/inittab，依次执行/etc/rc1(2,3)启动脚本，最终到达inittab中指定的默认运行级别。UNIX系统启动过程简介〔3〕solaris系统在多用户模式下的启动过程Init0→Init1→Init2→Init3init0/openboot模式：引导内核，加载硬件驱动，此时可以选择从cdrom引导进入维护模式。init1/单用户模式：〔加载/分区)登陆进入维护模式，或按Ctrl+D进入多用户模式init2/网络工作站模式：(连接网络，运行网络工作站效劳)运行/etc/rc2脚本连接网络，启动S69inet效劳,运行局部inetd网络效劳init3/网络效劳器模式：(运行各种网络效劳)运行/etc/rc3脚本启动网络效劳器Linux启动过程简介启动过程类似于UNIX，但在Linux中，系统运行级别是并行式的，也就是系统加载完内核和mount/文件系统之后，就会直接跳转到相应的默认运行级别。在Solaris中，采取了一种串行化的引导方式。物理平安保护硬件环境；保护硬件；关闭不用的接口：并行口、串行、红外或USB；设置开机口令；严格限制对系统的物理存储；安装操作系统时应该在非生产的网络中，或放置在断开的网络中；使用第二系统来接收厂商提供的升级报或补丁程序.PROMopenBootOpenBoot平安级别none：不需要任何口令command：除了boot和go之外所有命令都需要口令full：除了go命令之外所有命令都需要口令。改变OpenBoot平安级别设置口令命令#eepromsecurity-password改变平安级别为command#eepromsecurity-mode=commandAIX系统的自动加载文件系统AIX可在启动时自动加载文件系统信息：需要加载的信息存放在/etc/filesystemsmount-tnf加载所有在/ect/filesystems中定义type=nfs的文件系统显示已加载的文件系统及状态：df-v,mount主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置UNIX文件系统文件系统根底文件系统的目录结构文件系统类型文件系统根底文件系统平安是UNIX系统平安的核心。在UNIX中，所有的事物都是文件。用户数据的集合是文件，目录、进程、命令、设备、甚至网络连接也是文件。文件系统的目录结构〔1〕/根文件系统，用于存储系统内核，启动管理和其他文件系统的装载点。/opt目录包含第三方应用软件。/export目录一般包含用于NFS共享的目录。/export/home目录包含用户的个人主目录。/var存储经常发生变化的文件，如邮件，日志等。/usr第二个文件系统。根本上是和系统核心无关但又属于操作系统的一局部的一个目录，大多数的应用程序交换分区〔SwapSpace〕/bin系统启动时需要的一些通用可执行程序。/cdrom光盘驱动器的装载点。文件系统的目录结构〔2〕/modules内核可装载模块。/rootroot用户的工作目录。/proc进程文件系统，存储指向当前活动进程的虚拟内存的伪文件/sbin系统可执行文件。/dev设备入口点。在UNIX系统上，每个设备都作为一个文件来看待，这里放着所有系统能够用到的各个设备/etc各种配置文件。非常重要的一个目录，所有的配置文件〔你可以看成是windows的注册表〕包括用户密码文档等存放在这里/mnt软盘等其他文件系统的装载点。文件系统类型正规文件：〔ASCII文本文件，二进制数据文件，二进制可执行文件等〕目录特殊文件(如块设备文件等〕链接〔软链接、硬链接〕Sockets〔进程间通信时使用的特殊文件，以.sock结尾〕Unix文件系统的权限〔1〕#ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test在UNIX中用模式位表示文件的类型及权限，通常由一列10个字符来表示，每个字符表示一个模式设置第1位:表示文件类型。d表示目录，-表示普通文件，l表示链接文件等等每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。第2-10位：表示文件权限"r"表示可读，"w"表示可写，"x"表示可执行。一共9位(每组3位)，合起来称为模式位(modebits)Unix文件系统的权限〔2〕chmod改变文档或目录之属性。如#chmod755testchown改变文档或目录之拥有权#chownuser1file1chgrp改变文档或目录之群组拥有权#chgrpgroup1file1Unix文件系统的权限〔3〕SUID/SGID这是网络入侵者非常爱用的入侵入口。SUID表示“设置用户ID〞；SGID表示“设置组ID〞。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了重要的平安漏洞，特别是SUID设为root的程序。Unix文件系统的权限〔4〕无论何时执行任何程序，它都会创立具有四个ID编号的进程，这四个编号分别是：真正的用户ID和有效的用户ID〔ruid和euid〕以及真正的组ID和有效的组ID〔rgid和egid〕。通常，这些ID对是完全相同的。但是，运行setuid或setgid程序会将进程的euid或egid从与属主关联的ID更改为对象的ID。所衍生的进程从对象获得其属性，从而授予用户与程序属主和组相同的访问权限。如果翻开setuid位，那么进程的权限将设置为文件属主的权限。如果翻开setgid位，那么进程的权限将设置为文件组的权限。如果setuid和setgid位均未翻开，那么进程的权限不会变化。一种特别危险的情况是，如果使用setuid将程序设置为root，用户将获得root可用的所有权限。这是很危险的，因为在这种情况下，使用程序的方式可能会破坏系统平安。在较小范围内，此问题在其他setuid和setgid情况下也存在。Unix文件系统的权限〔5〕Solaris系统中，可执行文件和公共目录可以使用三种特殊类型的权限：setuid、setgid和sticky位。设置这些权限之后，运行可执行文件的任何用户都应采用该可执行文件属主〔或组〕的ID。对可执行文件设置setuid权限时，将对运行该文件的进程授予基于文件属主的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限，用户可以访问通常只有属主才可访问的文件和目录。setgid权限与setuid权限类似。可将进程的有效组ID(groupID,GID)更改为拥有该文件的组，并基于授予该组的权限对用户授权访问权限。sticky位是保护目录中文件的权限位。如果对目录设置了sticky位，那么只有文件属主、目录属主或特权用户才可以删除文件。root用户和主管理员角色即是特权用户。sticky位禁止用户从公共目录〔如/tmp〕中删除其他用户的文件。Unix文件系统的权限〔6〕如何如何识别SUID程序？检查文件的权限模式，在它的第四位如果不是“x〞，而是“s〞，就是一个SUID程序。如：#ls-al/bin/su-rwsr-xr-x1rootroot14888Aug151999/bin/su应该定期观察系统中有哪些SUID和SGID文件#find/-typef\(-perm-4000-o-perm-2000\)–ls注意：2000setgid4000setuid出于平安原因，HP-UX内核通常会忽略脚本中的setuid和setgid位。通过更改可调参数secure_sid_scripts，可以放宽此规那么，但强烈建议不要更改此可调参数的缺省值。SUID设置错误举例〔1〕查看文件vi的权限#ls-alping-r-xr-xr-x5rootbin20211611ÔÂ42002vi修改SUID#chmodu+s/bin/ping#ls–alvi-r-sr-xr-x5rootbin20211611ÔÂ42002viSUID设置错误举例〔2〕以普通用户身份登录$ping(ping置S位前〕SUID设置错误举例〔3〕以普通用户身份登录$ping(ping置S位后〕基于角色的访问控制(RBAC)简介基于角色的访问控制(Role-basedaccesscontrol,RBAC)是一种平安功能，用于控制用户访问那些通常仅限于超级用户访问的任务。通过对进程和用户应用平安属性，RBAC可以在多个管理员之间划分超级用户的功能。进程权利管理通过权限实现。用户权利管理通过RBAC实现。三种建议角色：主管理员－等效于root用户或超级用户的功能强大的角色。系统管理员－用于执行与平安性无关的管理任务的角色，其功能相对较弱。此角色可以管理文件系统、邮件以及软件安装，但是不能设置口令。操作员－用于执行备份和打印机管理等操作的初级管理员角色。超级用户模型可以与RBAC模型共存。HP-UXRBAC的根本功能HP-UX专用的预定义配置文件，便于轻松快速部署通过PlugableAuthenticationModule(PAM)实现灵活的重新身份验证，支持基于每条命令的限制集成HP-UX审核系统，以便生成单个统一的审核记录用于定制访问控制决策的可插拔体系结构主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置UNIX系统帐号平安因素口令平安帐号平安系统帐号的平安加固UNIX系统帐号平安〔1〕禁用的口令不要选择简单字母序列组成的口令〔例如“qwerty〞或“abcdef〞〕。不要选择任何指明个人信息的口令〔例如生日、姓名、配偶姓名、孩子姓名、号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等〕。不要选择一个包含用户名或相似内容的口令。不要选择一个短于6个字符或仅包含字母或数字的口令。不要选择一个所有字母都是小写或大写字母的口令。不要选择一个被作为口令范例公布的口令。UNIX系统帐号平安〔2〕强壮的口令推荐选择一个至少有10个字符长度的口令。选择一个包含非字母字符的口令，包括数字和特殊字符，如～!@$%^&*()_-+={}[]|\:;'"<>,.?/<space>。选择一个容易记住而不必写下来的口令。选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识别出键入的字符。禁止写下口令UNIX系统帐号平安〔3〕Passwd文件剖析#more/etc/passwdname:coded-passwd:UID:GID:user-info:home-dir:shell7个域中的每一个由冒号隔开。name—给用户分配的用户名。Coded-passwd—经过加密的用户口令/隐藏的口令。UID—用户的唯一标识号。习惯上，小于100的UID是为系统帐号保存的。GID—用户所属的根本分组。通常它将决定用户创立文件的分组拥有权。User_info—习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。home-directory—该域指明用户的起始目录，它是用户登录进入后的初始工作目录。shell—该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。UNIX系统帐号平安〔4〕shadow文件剖析记录了系统用户的加密后口令格式:loginID:passwd:lastchg:min:max:warn:inactive:expire:loginID对应用户名password加密后的口令。LK表示锁定帐号，NP表示无口令lastchg最后更改口令的日期与1970年1月1日之间相隔的天数min改变口令需要最少的天数max同一口令允许的最大天数warn口令到期时，提前通知用户的天数inactive用户不使用帐号多少天禁用帐号expire用户帐号过期的天数最后一个字段未用UNIX系统帐号平安〔5〕-缺省账号UNIX系统帐号平安〔6〕-禁用账号简单的方法是在/etc/shadow的password域中放上NP字符。删除账号#userdeluser1UNIX系统帐号平安〔7〕-root账号平安确保root只允许从控制台登陆限制知道root口令的人数使用强壮的密码三个月或者当有人离开公司是就更改一次密码使用普通用户登陆,用su取得root权限,而不是以root身份登录设置umask为077,在需要时再改回022请使用全路径执行命令不要允许有非root用户可写的目录存在root的路径里修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。UNIX系统帐号平安〔8〕-禁止root远程登录多数UNIX系统:编辑/etc/default/login文件，添加 #CONSOLE=/dev/console禁止root远程FTP登录在/etc/ftpusers里加上root。linux下:编辑文件/etc/pam.d/login，添加/etc/pam.d/loginauthrequiredpam_securetty.soAIX的用户平安策略AIX的每个用户有唯一的用户名、用户ID和口令，文件属主取决于用户ID；root可以更改文件属主；系统缺省root为超级用户；系统用户adm、sys、bin不允许登录；需要共享同一类文件的用户可以归入同一个组；最常用的组有两个，system为管理员组，staff为普通用户组。AIX系统平安性的根本原那么是：用户被赋予唯一的用户名、用户ID〔UID〕和口令。用户登录后，对文件访问的合法性取决于UID。AIX用户平安配置文件/etc/passwd中包含合法用户〔不含口令〕/etc/group中包含合法组；/etc/security中包含普通用户无权访问的平安性文件；/etc/security/passwd中包含用户口令；/etc/security/user中包含用户属性、口令约束等；/etc/security/limits中包含用户使用资源限制；/etc/security/environ中包含用户环境设置；/etc/security/login.cfg中包含登录设置；/etc/security/group中包含组的属性。AIX用户环境的合法性检查pwdck验证本机认证信息的合法性，检查/etc/passwd和/etc/security/passwd的一致性，以及与/etc/security/login.cfg和/etc/security/user的一致性；usrck验证用户定义的合法性，检查/etc/passwd、/etc/security/user、/etc/security/limits和/etc/security/passwd中的用户信息，同时也检查/etc/group和/etc/security/group，以保证数据的一致性。grpck验证组的合法性，检查/etc/group、/etc/security/group和/etc/security/user之间的数据一致性。主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置日志文件系统〔1〕－日志文件说明日志文件系统〔2〕－连接时间日志有关当前登录用户的信息记录在文件utmp中；登录进入和退出记录在文件wtmp中；数据交换、关机和重启也记录在wtmp文件中。最后一次登录在文件lastlog中。所有的记录都包含时间戳。日志文件系统〔3〕－基于utmp/wtmp的命令who命令w命令users命令last命令lastb命令ac命令日志文件系统〔4〕－who命令who命令查询utmp文件并报告当前每个登录的用户。日志文件系统〔5〕－w命令w命令查询utmp文件并显示当前系统中每个用户和他所运行的进程信息。标题栏显示当前时间、系统已运行了多长时间、当前有多少用户登录以及过去1、5和15分钟内的系统平均负载。日志文件系统〔6〕－users命令users命令用单独一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。$usersalicecaroldavebob日志文件系统〔7〕－last命令last命令往回搜索wtmp来显示自从文件第一次创立后登录过的用户。它还报告终端类型和日期。日志文件系统〔8〕－ac命令ac命令根据当前/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间〔小时〕。如果不使用标志，那么报告总的时间。$actotal136.25“-d〞标志产生每天的总的连接时间。“-p〞标志报告每个用户的总的连接时间日志文件系统〔9〕－syslog日志syslog设备重要元素/etc/syslogd〔守护程序〕(solaris下在/usr/sbin/syslogd)/etc/syslog.conf〔配置文件〕/var/adm或/var/log多数syslog信息被写到上述目录下的信息文件中。日志文件系统〔10〕－UNIX的log系统/etc/syslog.conf*.err;kern.notice;auth.notice/dev/console

*.err;kern.debug;daemon.notice;mail.crit/var/adm/messages

*.alert;kern.err;daemon.erroperator

*.alertroot

*.emerg*

mail.debugifdef(`LOGHOST',/var/log/syslog,@loghost)

ifdef(`LOGHOST',,

user.err/dev/console

user.err/var/adm/messages

user.alert`root,operator'

user.emerg*

)syslog.conf的格式如下设备.行为级别[；设备.行为级别]记录行为

注意各栏之间用[Tab]来分隔，用空格是无效的日志文件系统〔11〕－log系统中的设备日志文件系统〔12〕－log系统中的行为级别日志文件系统〔13〕－程序日志sulog:系统为su保持一个日志：/var/adm/sulog；d日志/var/apache/access-logSolaris系统auditd守护进程的根本功能auditd守护进程可翻开和关闭audit_control文件内指定的目录中的审计文件。这些文件将按顺序翻开。auditd守护进程可装入一个或多个插件。Sun提供了两个插件。/lib/security/audit_binfile.so.1插件可将二进制审计数据写入文件。/lib/security/audit_syslog.so.1插件可将审计记录的文本摘要发送到syslogd守护进程。auditd守护进程可使用auditd插件从内核读取审计数据并输出此数据。auditd守护进程可执行audit_warn脚本来发出有关配置错误的警告。binfile.so.1插件可执行audit_warn脚本。此脚本在缺省情况下将警揭发送到audit_warn电子邮件别名以及控制台。syslog.so.1插件无法执行audit_warn脚本。缺省情况下，当所有的审计目录已满时，生成审计记录的进程便会暂停。此外，auditd守护进程可将消息写入控制台以及audit_warn电子邮件别名。此时，只有系统管理员才可以修复审计效劳。管理员可以登录以将审计文件写入脱机介质、从系统中删除审计文件，以及执行其他去除任务。AIX系统的可信计算库〔TCB〕简介可信计算库〔TrustedComputingBase，TCB〕是负责强制系统范围信息平安策略的系统的一局部。通过安装和使用TCB，可以定义对可信通信路径的用户访问，这将允许用户和TCB间的平安通信。只有在安装操作系统时，才启用TCB功能。要在已安装的机器上安装TCB，必须执行“保存〞安装。如果在初始安装过程中未选择TCB选项，tcbck命令将被禁用。只有通过启用TCB选项来重新安装系统才可以使用该命令。启用TCB允许您访问可信shell、可信进程以及“平安注意键〞〔SAK〕。TCB包含全部计算机硬件。TCB监视/dev目录中的每个文件。另外，TCB自动监视超过600个附加文件，把这些文件的关键信息存储在/etc/security/sysck.cfg文件中。如果正在安装TCB，安装以后立即把该文件备份到可移动的介质中，例如磁带、CD或磁盘，并把介质存储在平安的地方。AIX系统的可信计算库〔TCB〕的审计使用tcbck命令审计“可信计算库〞的平安状态。tcbck命令通过读取/etc/security/sysck.cfg文件审计该信息。该文件包含所有TCB文件、配置文件和可信命令的描述。tcbck命令通常用于执行以下操作：确保平安性相关文件的恰当安装确保文件系统树不包含明显违反系统平安性的文件更新、添加或删除可信文件安装TCB和使用tcbck命令不能保证系统在符合受控访问保护概要文件〔CAPP〕和评估保证级别4+〔EAL4+〕的方式下运行。AIX系统的内核审计可设置为BIN或STREAM方式以定义内核审计跟踪要写入哪里。可以编辑审计子系统的配置文件/etc/security/audit/config来更改所用模式。例如1：Solaris中如何监视失败的登录尝试？承担主管理员角色，或成为超级用户。在/var/adm目录中创立loginlog文件。#touch/var/adm/loginlog在loginlog文件中，为root用户设置读写权限。#chmod600/var/adm/loginlog在loginlog文件中，将组成员关系更改为sys。#chgrpsys/var/adm/loginlog检验日志是否正常工作。例如，使用错误的口令五次登录系统。然后，显示/var/adm/loginlog文件。例如2：Solaris系统如何启用审计功能？成为超级用户并使系统进入单用户模式；%suPassword:<键入超级用户口令>#initS运行启用审计效劳的脚本：转至/etc/security目录，并在其中执行bsmconv脚本；#cd/etc/security#./bsmconv进入多用户模式，启动文件/etc/security/audit_startup使auditd守护进程在系统进入多用户模式时自动运行。审计策略确定本地主机审计记录的特征。启用审计后，/etc/security/audit_startup文件的内容将确定审计策略。#init6主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置一些重要的配置文件说明/etc/inetd.conf/etc/inetd.conf决定inetd启动网络效劳时，启动哪些效劳，用什么命令启动这些效劳，以及这些效劳的相关信息/etc/service/etc/services文件记录一些常用的接口及其所提供的效劳的对应关系。/etc/protocols/etc/protocols文件记录协议名及其端口的关系。/etc/Rc*.d/etc/inittab定义了系统缺省运行级别，系统进入新运行级别需要做什么/etc/init.d/etc/init.d目录包含了系统的一些启动脚本inetd效劳－/etc/inetd.conf文件#systatstreamtcpnowaitroot/usr/bin/psps-ef#系统进程监控效劳，允许远程观察进程#netstatstreamtcpnowaitroot/usr/bin/netstatnetstat-finet#网络状态监控效劳，允许远程观察网络状态#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#网络时间效劳，允许远程观察系统时间#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#网络测试效劳，回显字符串#namedgramudpwaitroot/usr/sbin/in.tnamedin.tnamed#named，DNS效劳器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetdin.telnetd#telnet效劳器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpdin.ftpd-a#ftp效劳器/etc/services文件#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpchargen19/tcpttytstsourcechargen19/udpttytstsourceftp-data20/tcpftp21/tcpssh22/tcp#SecureShelltelnet23/tcpsmtp25/tcpmailtime37/tcptimservertime37/udptimservername42/udpnameserverdomain53/udpdomain53/tcpUnix系统效劳平安〔1〕在inetd.conf中关闭不用的效劳#cp/etc/inet/inetd.conf/etc/然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的效劳在相应行开头标记“#〞字符即可。Ftp和Telnet效劳在不需要时也可注释掉。在AIX系统中还可以通过编辑/etc/services、/etc/rc.tcpip、/etc/rc.*或/etc/inittab来关闭效劳。Unix系统效劳平安〔2〕清理/etc/inet/inetd.conf效劳所有的TCP/UDP小效劳所有的调试效劳(echo、discard、daytime、chargen)所以的R效劳(rsh、rexe、rlogin)几乎所有的RPC效劳使用必要的工具替换telnet、ftp重起inetd效劳#ps–ef|grepinetd#kill–HUP〔inetd_进程号〕Unix系统效劳平安〔3〕在services中关闭不用的效劳#cp/etc/inet/services/etc/inet/services.bak然后用vi编辑器编辑services文件，对于需要注释掉的效劳在相应行开头标记“#〞字符即可。#ps-ef|grepinetd

#kill-HUP〔进程号〕在AIX系统中，可通过netstat–afinet命令来识别每种网络效劳的状态，然后通过上述方法关闭不必要的效劳与端口。Unix系统效劳平安〔4〕－重启效劳的命令1Solaris系统ps-ef|grep[process_id]kill-9[process_id]

/usr/sbin/[process_deamon]svcadmstart[process_deamon]AIX系统stopsrc-s

[process_deamon]startsrc-s

[process_deamon]refresh-s

[process_deamon]HP-UX系统ps–ef|grep[process_id]kill-9[process_id]kill-HUP`cat/var/run/[process_id]`Unix系统效劳平安〔5〕－重启效劳的命令2RedHatLinux系统service[process_deamon]{stop|start|restart}DebianLinux系统/etc/init.d/[process_deamon]{stop|start|restart}减少过期时间#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000默认是300000毫秒〔5分钟〕加快过期时间，并不能防止攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复请不要在繁忙的网络上使用。ARP攻击加固〔1〕ARP攻击加固〔2〕建立静态ARP编辑文件filename，内容如下：

08:00:20:ba:a1:f2

08:00:20:ee:de:1f

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议使用arp–ffilename加载上述文件禁止ARPifconfiginterface–arp网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机，将不能通信。IP加固〔1〕关闭ip转发〔或创立/etc/notrouter)＃ndd–set/dev/ipip_forwarding0关闭转发包播送由于转发包播送在默认状态下是允许的，为了防止被用来实施smurf攻击，关闭这一特性。(参见cert-98.01)#ndd–set/dev/ipip-forward_directed_broadcasts0关闭源路由转发＃ndd–set/dev/ipip_forward_src_routed0IP加固〔2〕关闭响应echo播送＃ndd–set/dev/ipip_respond_to_echo_broadcast0关闭响应时间戳播送#ndd–set/dev/ipip_respond_to_timestamp_broadcast0关闭地址掩码播送#ndd–set/dev/ipip_respind_to_address_mask_broadcast0ICMP加固防止ping在/etc/rc.d/rc.local文件中增加如下一行：echo1＞/proc/sys/net/ipv4/icmp_echo_ignore_all

TCP加固Synflood〔半开式连接攻击〕SYNFLOOD原理 请求方

效劳方

------------------->

发送

SYN消息

回应

SYN-ACK

<----------------

------------------------>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默认连接数为1024连接耗尽攻击ndd–set/dev/tcptcp_conn_req_max_q1024默认连接数为128Tcp_wrapper简介TCPWrappers是一种对使用/etc/inetd.sec的替换方法。TCPWrappers提供防止主机名和主机地址欺骗的保护。TCPWrappers使用访问控制列表(ACL)来防止欺骗。ACL是/etc/hosts.allow和/etc/hosts.deny文件中的系统列表。可以针对其他平安功能配置/etc/hosts.allow和/etc/hosts.deny文件，例如陷阱设置和标题消息。通过TCPWrappers的陷阱设置功能，可以根据被拒绝的远程主机的连接尝试的数量，在主机上触发相应的操作。当访问控制文件中包含了ACL规那么时，标题消息功能将会导致向客户端发送一条消息。TCPWrappers不能通过TCP使用远程过程调用(RPC)。这些效劳在/etc/inetd.conf文件中被注册为rpc或tcp。受该限制影响的唯一重要的效劳是rexd，该效劳由on命令使用。Tcp_wrapper配置文件Tcp_wrapper在inetd接到客户请求时启动，具有存取管理启动目标效劳器的程序功能。Tcpd启动时，读取文件/etc/hosts.allow及/etc/hosts.deny。/etc/hosts.allow：允许效劳的主机/etc/hosts.deny：禁止效劳的主机Tcpd解释设置文件方式如果为用hosts.allow允许的主机那么充许。如果为用hosts.deny禁止的主机那么禁止。两种文件均无描述的主机，那么允许Tcp_wrapper配置〔1〕Hosts.allow文件格式<Daemon_list>：<host_list>：<command> Daemon_list：表示允许效劳的监控程序名，可以有多个，用逗号隔开。Host_list：允许效劳的主机名或IP，可以用通配符。Command：allow或denyTcp_wrapper配置〔2〕Hosts.deny文件格式<Daemon_list>：<host_list> Daemon_list：表示禁止效劳的监控程序名，可以有多个，用逗号隔开。Host_list：禁止效劳的主机名或IP，可以用通配符。Hosts.deny缺省设置ALL:ALL表示除hosts.allow中允许的主机外都禁止。一般无须改变。Tcp_wrapper例如〔1〕为效劳器，管理员使用的客户主机为，使管理员客户机处于允许状态，其它主机都禁止访问该效劳器。Hosts.allow设置：ALL：:allowHosts.deny设置成： ALL:ALLTcp_wrapper例如〔2〕为效劳器，使所有192.168.0.*网段的主机可以FTP效劳器，其它主机都禁止访问该效劳器。Hosts.allow设置：Wu.ftpd：192.168.0.:allowHosts.deny设置成： ALL:ALLPAM简介PAM〔PluggableAuthenticationModules〕是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的效劳和该效劳的认证方式分开，使得系统管理员可以灵活地根据需要给不同的效劳配置不同的认证方式而无需更改效劳程序，同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX9.0等。可以通过使用AIX可装入的认证模块PAM和pam_aix模块把PAM集成到AIX中，这两个模块分别提供AIX平安效劳到PAM的访问以及PAM应用程序到AIX平安效劳的访问。PAM框架结构PAM文件系统/usr/lib/libpam.so.*〔PAM核心库〕/etc/pam.conf或者/etc/pam.d/〔PAM配置文件〕/usr/lib/security/pam_*.so〔可动态加载的PAMservicemodule〕对于RedHat，其目录不是/usr/lib，而是/lib。对于Solaris，PAM模块的完整列表位于/usr/lib/security/$ISA中，这些模块文件必须由root拥有，并且禁止使用group或other权限写入配置PAM〔1〕使用配置文件/etc/pam.conf该文件是由如下的行所组成的：service-namemodule-typecontrol-flagmodule-pathargumentsservice-name：效劳的名字；“OTHER〞代表所有没有在该文件中明确配置的其它效劳。module-type对应PAM所支持的四种管理方式。同一个效劳可以调用多个PAM模块进行认证，这些模块构成一个stack。auth：主要是接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些秘密信息。account：主要是检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等。session：主要是提供对会话的管理和记账〔accounting〕password：主要是用来修改用户的密码。配置PAM〔2〕control-flag：用来告诉PAM库该如何处理与该效劳相关的PAM模块的成功或失败情况。它有四种可能的值：required表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一stack中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。requisite与required类似，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一stack内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件。注：这种只有RedHat支持，Solaris不支持。sufficient说明本模块返回成功已经足以通过身份认证的要求，不必再执行同一stack内的其它模块，但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。optional说明本模块是可选的，它的成功与否一般不会对身份认证起关键作用，其返回值一般被忽略。配置PAM〔3〕module-path：用来指明本模块对应的程序文件的路径名，一般采用绝对路径，如果没有给出绝对路径，默认该文件在目录/usr/lib/security下面。arguments是用来传递给该模块的参数。一般来说每个模块的参数都不相同，可以由该模块的开发者自己定义，但是也有以下几个共同的参数：debug该模块应当用syslog()将调试信息写入到系统日志文件中。no_warn说明该模块不应把警告信息发送给应用程序。use_first_pass说明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。try_first_pass说明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码。use_mapped_pass该模块不能提示用户输入密码，而是使用映射过的密码。expose_account允许该模块显示用户的帐号名等信息，一般只能在平安的环境下使用，因为泄漏用户名会对平安造成一定程度的威胁。配置PAM〔4〕使用配置目录/etc/pam.d/〔只适用于RedHatLinux〕该目录下的每个文件的名字对应效劳名，例如ftp效劳对应文件/etc/pam.d/ftp。如果名为xxxx的效劳所对应的配置文件/etc/pam.d/xxxx不存在，那么该效劳将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成：module-typecontrol-flagmodule-patharguments每个字段的含义和/etc/pam.conf中的相同。PAM配置例如〔1〕通过/etc/pam.conf配置ftpd的认证方式：首先用pam_ftp模块检查当前用户是否为匿名用户，如果是匿名用户，那么sufficient控制标志说明无需再进行后面的认证步骤，直接通过认证；否那么继续使用pam_unix_auth模块来进行标准的unix认证，即用/etc/passwd和/etc/shadow进行认证；通过了pam_unix_auth模块的认证之后，还要继续用pam_listfile模块来检查该用户是否出现在文件/etc/ftpusers中，如果是那么该用户被deny掉。ftpdauthsufficient/usr/lib/security/pam_ftp.softpdauthrequired/usr/lib/security/pam_unix_auth.souse_first_passftpdauthrequired/usr/lib/security/pam_listfile.soonerr=succeeditem=usersense=denyfile=/etc/ftpusersPAM配置例如〔2〕可使用Solaris系统的PAM模块进行相应配置，拒绝rhost访问。具体步骤如下：1.成为超级用户或承担等效角色。2.从PAM配置文件中删除所有包括rhosts_auth.so.1的行。此步骤用于防止在rlogin会话期间读取~/.rhosts文件。因此，可防止从远程系统对本地系统进行未经验证的访问。无论~/.rhosts或/etc/hosts.equiv文件是否存在或包含什么内容，所有rlogin访问都需要口令。3.禁用rsh效劳。要防止对~/.rhosts文件进行其他未经验证的访问，需要禁用rsh效劳。#svcadmdisablenetwork/shell主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置UNIX其它方面的平安配置〔1〕检查本机运行rpcbind的使用情况rpcbind是允许rpc请求和rpc效劳之间相互连接的程序，但标准的rpc是不平安的它依靠的是远程系统的IP地址和远程用户的UID来验证效劳器专做Webserver、ftpserver、mailserver时，最好将rpc效劳关闭UNIX其它方面的平安配置〔2〕/etc/utmp的权限设定

#chmod644/etc/utmp对ROOT的环境加以配置将umask设为077或者027UNIX其它方面的平安配置〔3〕将/etc的存取权限改为什么才平安用chmod-Rg-w/etc命令来移去组用户对/etc的写权限设置noshell设置不希望登陆系统的用户的shell为noshellUNIX其它方面的平安配置〔4〕应该运行in.fingerd吗?in.fingerd有一些平安问题，如果你想提供finger工具，请在inetd.conf中用nobody身份代替root来运行它。UNIX其它方面的平安配置〔5〕检查系统的补丁情况

showrev–p查看补丁的安装情况及时安装系统的补丁程序

UNIX其它方面的平安配置〔6〕－备份与恢复unix系统为每个文件都记录mtime、atime以及ctime三个不同的时间，第一个是mtime,即修改时间。无论何时，只要文件内容被改变，mtime的值就会被相应修改。第二个是atime，即访问时间。只要文件被访问〔比方运行或读取〕，它就会被修改。第三个是ctime，即变更时间。当文件的属性发生变化〔比方改变权限或者所有关系〕时，ctime的值就会被改变。管理员用ctime来查找黑客。备份会改变atime，dump通过原始设备来读取文件系统，因此它不会改变atime。UNIX常用的备份命令与工具有：dumprestorecpiotarDd对于HP-UX系统的初始备份和恢复，可以使用系统提供的任何备份和恢复程序。但是，实现平安功能后，只能使用fbackup和frecover，以便可以保存和恢复访问控制表列(ACL)。平安配置工具〔1〕－JohntheRipper工具简介JOHN的撕裂者用于在密文的情况下尝试破解出明文的破解密码软件主要支持对DES、MD5两种加密方式的密文进行破解工作。支持多种操作系统。Linux,FreeBSDx86,Solaris2.xSPARC,OSF/1Alpha,DOS,WinNT/2000。命令行方式:john[-功能选项][密码文件名]平安配置工具〔1〕－JohntheRipper破解步骤先消灭FOOLUSER，就是“笨蛋用户〞：

john-singleshadow.txt再消灭稍微聪明一点的用户

john-wordfile:password.lst-rulesshadow.txt最后进行大屠杀—穷举法：

john-i:allshadow.txt

当然了，第三步可能要你的电脑跑上10000年。平安配置工具〔2〕－自动平安性增强工具(ASET)简介Solaris操作系统包括自动平安性增强工具(AutomatedSecurityEnhancementTool,ASET)。ASET通过自动执行原本需要手动执行的任务来帮助监视和控制系统平安性。ASET平安软件包提供可用于控制和监视系统平安性的自动管理工具。ASET可以运行如下七项任务。每项任务都针对系统文件执行特定的检查和调整。系统文件权限调优系统文件检查用户和组检查系统配置文件检查环境变量检查eeprom检查防火墙设置平安配置工具〔3〕－根本审计报告工具(BART)简介Solaris系统提供根本审计报告工具(BasicAuditReportingTool,BART)，BART是一种完全在文件系统层运行的文件跟踪工具。其根本功能包括：提供了一种为运行Solaris软件的系统在文件层编制目录的有效而简便的方法。使用BART，可以定义要监视的文件，还可以在必要时修改配置文件。借助这种灵活性，可以监视本地的自定义项，并可轻松、有效地重新配置软件。确保系统运行可靠的软件。允许监视一段时间内系统在文件层的变化，从而帮助找到损坏或异常的文件。帮助对系统性能问题进行疑难解答。平安配置工具〔4〕－SSH简介平安shell〔SSH〕提供了使用口令、公钥，或同时使用二者的验证。所有网络通信都将被加密。使用SSH，可以执行以下操作：通过不平安的网络平安地登录到其他主机。在两台主机之间平安地复制文件。在远程主机上平安地运行命令。SSH支持两种版本的协议。版本1是协议的原始版本。版本2更平安，该版本修正了版本1的一些根本平安设计缺陷。 平安配置工具〔4〕－SSH验证方法GSS-API－使用mech_krb5(KerberosV)和mech_dh(AUTH_DH)等GSS-API机制的凭证来验证客户机和效劳器。基于主机的验证－使用主机密钥和rhosts文件。使用客户机的RSA和DSA公共/专用主机密钥验证客户机。使用rhosts文件向用户授权使用客户机。公钥验证－验证用户的RSA和DSA公钥/私钥。口令验证－使用PAM验证用户。v2中的键盘验证方法允许PAM的任意提示。平安配置工具〔4〕－SSH守护进程SSH守护进程(sshd)通常在引导时〔启动网络效劳时〕启动。该守护进程侦听来自客户机的连接。SSH会话在用户运行ssh、scp或sftp命令时开始。系统将为每个传入连接派生一个新的sshd守护进程。派生的守护进程处理密钥交换、加密、验证、命令执行以及与客户机的数据交换。这些会话的特征由客户端配置文件和效劳器端配置文件确定。sshd守护进程的效劳器端行为由/etc/ssh/sshd_config文件中的关键字设置控制。SSH协议〔v1和v2〕均支持客户机用户/主机验证和效劳器主机验证。这两种协议都涉及会话加密密钥〔用于保护SSH会话〕的交换。每种协议提供了用于验证和密钥交换的各种方法。平安配置工具〔5〕－SASL简介简单身份验证和平安层(SimpleAuthenticationandSecurityLayer,SASL)是一种为网络协议提供验证和可选平安性效劳的框架。应用程序将调用SASL库/usr/lib/libsasl.so，此库提供给用程序与各种SASL机制之间的胶合层。验证过程及提供可选平安性效劳时会使用SASL机制。使用可在/etc/sasl/app.conf文件中设置的选项，可以在效劳器端修改libsasl和插件的行为。SASL提供以下效劳：装入任何插件确定应用程序必需的平安选项以帮助选择平安机制列出应用程序可使用的插件为特定验证的尝试从可用机制列表中选择最正确机制在应用程序和所选机制之间路由验证数据将有关SASL协商的信息提供给应用程序HP-UX的隔离专区简介隔离专区是一种将系统组件彼此隔离的方法。从概念上讲，每个进程均属于一个隔离专区，并以以下两种方式之一来处理资源。将资源标记为创立进程的隔离专区。这是为隔离专区分配瞬态资源〔如通信端点和共享内存〕的方式。对于持久性资源〔如文件和目录〕，可以将此类资源与某个访问列表相关联，该访问列表指定了不同隔离专区中的进程访问资源的方式。也就是说，仅当这些隔离专区之间存在某个规那么，进程才能访问资源或者与属于另一隔离专区的进程进行通信。属于同一隔离专区的进程可以彼此相互通信，并访问该隔离专区中的资源，而无需规那么。如果配置正确，隔离专区可以成为一种保护HP-UX系统及其上的数据的有效方法。隔离专区的体系结构主要内容UNIX的开展史UNIX〔solaris)启动过程简介文件系统平安系统帐号平安日志文件系统系统及网络效劳UNIX其它方面的平安配置LINUX方面的平安配置Linux平安配置根底Linux是一个相当开放的系统，使用起来相当灵活，但不加平安配置的linux，无疑是攻击者的靶子Linux平安配置要素BIOS平安配置文件系统平安账号平安系统及网络效劳平安配置其它方面的平安配置BIOS的平安设置BIOS的平安设置加密码以防通过改变启动介质，而可以从软盘启动。LILO的平安配置〔1〕/etc/lilo.conf的例子

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

prompt

timeout=00

default=linux

image=/boot/vmlinuz-2.2.12-20 label=linux

root=/dev/hda1

read-only

restricted

password=kpAsSb0rv_ftimeout=00

把这行改为00，这样系统启动时将不在等待，而直接启动LINUX加如下面两个参数：restricted,password。这两个参数可以使你的系统在启动lilo时就要求密码验证。

LILO的平安配置〔2〕设置权限因为“/etc/lilo.conf〞文件中包含明文密码#chmod600/etc/lilo.conf/etc/lilo.conf设置为不可变#

chattr

+i

/etc/lilo.confLinux常用文件系统ext2与ext3文件系统swap文件系统vfat文件系统NFS文件系统ISO9660文件系统reiserfs……几种常用Linux文件系统平安性比照文件系统安全性ext2ext3reiserfs自动修复能力一般，需人工，存在风险一般，需人工，存在风险最好，自动执行，速度快反删除能力支持不支持支持Linux文件系统恢复成功修复文件系统的前提是要有两个以上的主文件系统，并保证在修复之前首先卸载将被修复的文件系统。当文件系统被破坏时，如果使用的是ext2fs类型的文件系统，就可从软盘运e2fsck命令来修正文件系统中被损坏的数据。对于其他类型的文件系统，使用命令fsck对受到破坏的文件系统进行修复。fsck检查文件系统分为5步，每一步检查系统不同局部的连接特性并对上一步进行验证和修改。在执行fsck命令时，检查首先从超级块开始，然后是分配的磁盘块、路径名、目录的连接性、链接数目以及空闲块链表、i-node。linux账号平安〔1〕设置一个适宜的密码推荐最短8位必须足够复杂必须定期更换对系统已存在用户设置口令时效是通过chage命令来管理的。可以通过chage命令来控制用户口令的最长周期、失效前的警告天数、修改口令的最小间隔等参数，这些参数存储在/etc/login.defs文件里。chage命令的格式是：chage[选项][用户登录名]linux账号平安〔2〕密码长度的强制定义修改/etc/login.defs将PASS_MIN_LEN5改为PASS_MIN_LEN8自动注销帐号的登录修改/etc/profile 在"HISTFILESIZE="后面参加下面这行： TMOUT=3005分钟内都没有动作，那么系统会自动注销这个账户linux账号平安〔3〕修改一些系统帐号的shell变量例如uucp,ftp和news等在/etc/passwd中将它们的shell变量置空，例如设为/bin/false或者/dev/null等linux账号平安〔4〕使用PAM〔可插拔认证模块〕禁止任何人通过su命令改变为root#vi/etc/pam.d/su，在开头添加下面两行：authsufficient/lib/security/pam_rootok.soauthrequired/lib/security/Pam_wheel.sogroup=wheel#usermod–G10username这说明只有"wheel"组的成员可以使用su命令成为root用户linux账号平安〔5〕删除不需要的特殊的帐号#userdeladm#userdellp#userdelsync#userdelshutdown#userdelhalt#userdelnews#userdeluucp#userdeloperator#userdelgopherlinux账号平安〔6〕删除不需要的特殊的组

[root@kcn]#groupdeladm[root@kcn]#groupdellp[root@kcn]#groupdelnews[root@kcn]#groupdeluucp[root@kcn]#groupdeldip[root@kcn]#groupdelpppusers[root@kcn]#groupdelpopusers(deletethisgroupifyoudon’tusepopserverforemail).[root@kcn]#groupdelslipuserslinux账号平安〔7〕chattr命令给口令和组文件加上不可更改属性

#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow

linux账号平安〔8〕－影子口令简介影子口令模式是一种状态，在这种状态下帐户与口令平安信息以及口令均存储于文件/etc/shadow中，只有超级用户才能访问该文件。标准口令文件/etc/passwd保存所有其他传统信息，只是所有用户的口令字段均更改为x。在linux中，建议/etc/passwd和/etc/shadow的文件权限设置为：-rw-r--r--，-r--r-----使用以下命令可启用、验证和禁用影子口令：pwconv命令创立影子口令文件，并将加密的口令从/etc/passwd文件复制到/etc/shadow文件。pwck命令检查文件/etc/passwd和/etc/shadow中的不一致性。pwunconv命令将加密的口令和时限性信息从/etc/shadow文件复制到/etc/passwd文件中，然后删除/etc/shadow文件。linux账号平安〔9〕可使用wc命令统计当前系统中的账号情况。wc命令的功能为统计指定文件中的字节数、字数、行数,并将统计结果显示输出。以下命令均可计算当前Linux系统中所有用户的数量：wc-l/etc/passwdwc-l</etc/passwdcat/etc/passwd|wc-llinux系统及网络效劳〔1〕检查/etc/inetd.conf效劳#chmod600/etc/inetd.co