网络信息安全

?网络信息平安?中国科学技术大学肖明军•第一版Unix系统最早于1971年11月安装在DECPDP-11/45机器上•第一份有关Unix的论文发表于1973年•Unixv6手册于1975年发布•此后，Unix开展成好多个分支，而且越来越复杂…UNIX操作系统的早期开展UNIX操作系统演进史UNIX的历史开始于1969年kenThompson，DennisRitchie〔即著名的K&G，C语言的创造人〕与一群人在一部PDP-7上进行的一些工作，后来这个系统变成了UNIX。它主要的几个版本为：V1〔1971〕：第一版的UNIX，以PDP-11/20的汇编语言写成。包括文件系统，fork、roff、ed等软件V4〔1973〕：以C语言从头写过，这使得UNIX修改容易，可以在几个月内移植到新的硬件平台上。最初C语言是为UNIX设计的，所以C与UNIX间有紧密的关系。V6〔1975〕：第一个在贝尔实验室外〔尤其是大学中〕广为流传的UNIX版本。这也是UNIX分支的起点与广受欢送的开始。1.xBSD〔PDP-II〕就是由这个版本衍生出来的。V7〔1979〕：在许多UNIX玩家的心目中，这是“最后一个真正的UNIX〞，这个版本包括一个完整的K&RC编译器，Bourneshell。V7移植到VAX机器后称为32V。目前开发UNIX〔SystemV〕的公司是UnixSystemLaboratories(USL)。USL本为AT&T所有，1993年初被Novell收购。Novell于1993年末将UNIX这个注册商标转让给X/Open组织目前为止，UNIX有两大流派：那就是AT&T发布的UNIX操作系统SystemV与美国加州大学伯克利分校发布的UNIX版BSD〔BerkeleySoftwareDistribution〕。SVR4是两大流派融合后的产物。1991年底，与SystemV针锋相对的开放软件基金会(OpenSoftwareFoundation)推出了OSF/1。UNIX操作系统分类当前主流的UNIX系统HP/UX、AIX等等–从早期SYSV和局部BSD系统开展而来的商用操作系统Solaris–从SunOS系统开展而来，并借鉴了一些BSD规那么Linux–是几乎所有unix系统开展而来的“混血儿〞,但看起来更像SYSV-ishFreeBSD、NetBSD、OpenBSD–完全从主流BSD开展而来的分支UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇底层硬件设备根本输入输出系统〔BIOS〕操作系统应用程序计算机系统结构一般情况下，我们不能直接操作裸机，必须通过一个叫做根本输入输出系统的软件系统〔英文为BasicInput/OutputSystem，简称BIOS〕，才能操作控制裸机，之所以这样称呼它，是因为它提供了最根本的计算机操作功能，如在屏幕上显示一点，接收一个键盘字符的输入等。在根本输入输出系统的外面是操作系统〔OperatingSystem〕：专门负责管理计算机的各种资源，并提供操作电脑所需的工作界面。有了它们，人们才可以方便自如地使用电脑。应用软件一般都运行在操作系统之上，由专业人员根据各种需要开发。我们平时见到和使用的绝大局部软件均为应用软件，如杀毒软件，文字处理软件，学习软件，游戏软件，上网软件等等具体结构图如右图所示：硬件：CPU、内存、硬盘、网络硬件等LINUX内核系统调用接口用户进程Linux操作系统结构用户进程：用户应用程序是运行在LINUX操作系统最高层的一个庞大的软件集合，当一个用户程序在操作系统之上运行时，它就成为操作系统中的一个进程。系统调用接口：在应用程序中，可通过系统调用来调用操作系统内核中特定的过程，以实现特定的效劳，比方创立一个新进程等。由假设干条指令构成的过程：SHELL、WHO等内核：操作系统的灵魂，它负责管理磁盘上的文件、内存，负责启动并运行程序，负责从网络上接收和发送数据包等。内核实际是抽象的资源操作到具体硬件操作细节之间的接口。硬件：这个子系统包括了LINUX安装时需要的所有可能的物理设备，如CPU、内存、硬盘、网络硬件等Linux内核的构成进程调度〔SCHED〕硬件驱动程序逻辑文件系统虚拟文件系统（VFS）进程间通信〔IPC〕硬件相关硬件无关内存管理子系统（MM）硬件驱动程序网络协议网络接口（NET）进程调度控制着进程对CPU的访问，当需要选择下一个进程运行时，由调度程序选择最值得运行的进程内存管理子系统：允许多个进程平安地共享主内存区域，支持虚拟内存虚拟文件系统隐藏了各种不同硬件的具体细节，为所有设备提供了统一的接口，VFS支持几十种不同的文件系统网络接口提供了对各种网络标准的存取和各种网络硬件的支持进程间通信支持进程间各种通信机制Linux进程调度子系统FSIPCMMNET结构特定的模块进程调度定时器管理模块管理进程调度系统调用接口Scheduler内核任务调度程序时钟中断（182次/秒）task1task2task3在屏幕上的不同位置分别显示各自的计数器值〔16进制〕3、进程调度示意图2、进程调度的结构图1、进程调度与其他子系统的依赖关系SCHED进程调度子系统完成的主要功能：允许进程建立自己的拷贝决定哪一个进程将占用CPU，使得可运行进程之间进行有效地转移接受中断并把他们发送到适宜的内核子系统发送信号给用户进程管理定时器硬件当进程结束后，释放进程所占用的资源支持动态装入模块，这些模块代表着内核启动以后所增加的新功能，这种可装入的模块将由虚拟文件系统和网络接口使用中央处理单元（CPU）功能单元存放器内部cache内部cache磁盘主存存储器的层次结构Linux内存管理子系统昂贵快速小容量廉价低速大容量内存管理是Linux内核最复杂的任务之一：主要包括地址映射、请页、交换、内存分配、内存回收、缓存、刷新、共享等机制程序的创立和执行以及内存的初始化OS代码OS数据GDT、IDT、TSS页表特权数据内核栈Linux多任务系统1023用户数据用户代码保护特权级任务1任务2任务3任务4任务N任务5内核空间用户空间〔1、2、3级〕0G3G4GLinux采用0级、3级内核模式对应0级用户模式对应1、2、3级内核模式和用户模式的区别反映在线性地址空间中就是内核空间和用户空间所处位置的不同用户模式：3级内核模式：0级BSD套接字INET套接字TCPIPARP/RARPPPPSLIP以太网Linux网络层套接字接口协议层网络设备应用程序网络应用程序UDPLinux文件系统目录结构/根目录binbootdevetchomeliblost+foundmntprocrootsbintmpusrvar存放常用的命令存放启动文件存放设备文件存放配置文件用户主目录存放共享库文件临时挂载文件系统系统不正常关机的一些文件存放系统内存的映射超级用户主目录存放超级用户管理程序用到的应用程序和文件存放不断扩充的东西和系统日志存放临时文件X11R6binsbindocincludeliblocalMansrcX-window目录应用程序超级用户的管理程序Linux文档开发编译应用程序的头文件常用的共享库存放帮助文档Linux源代码一般用户的/usr目录进程间通信〔IPC〕进程调度Linux进程间通信〔IPC〕内存管理文件系统为了进程能在同一任务上协调工作，他们彼此之间必须能够进行通信，IPC机制具有如下功能：支持信号：信号是发送给进程的异步信息支持等待队列：等待队列提供了一种机制它让等待操作完成的进程处于睡眠〔SLEEP〕状态支持文件锁：这种机制允许进程把文件的一个区域或整个文件声明为只读，所有进程只能对声明的区域进行读，除了拥有锁的进程支持管道和命名管道：这种机制允许两个进程之间面向连接，双向数据传送支持SystemVIPC机制支持信号量。支持消息队列支持共享内存：几个进程存取物理内存的同一区域支持UNIX的套节口：又一种面向连接的数据传送机制，它提供了与INETsockets相同的通信模型UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇效劳就是运行在网络效劳器上监听用户请求的进程效劳是通过端口号来区分的常见的效劳及其对应的端口ftp:21telnet:23(www):80pop3:110什么是效劳？在UNIX系统中,效劳是通过inetd进程或启动脚本来启动通过inetd来启动的效劳可以通过在/etc/inetd.conf文件中注释来禁用通过启动脚本启动的效劳可以通过改变脚本名称的方式禁用在UNIX系统里启动与关闭效劳？1.inetd超级效劳器 inetd的功能 inetd的配置和管理2.效劳的关闭 关闭通过inetd启动的效劳 关闭独立启动的效劳3.inetd的替代品 xinetd(://)xinetd比inetd更多管理功能xinetd的配置inetd超级效劳器？#inetd.confThisfiledescribestheservicesthatwillbeavailable#throughtheINETDTCP/IPsuperserver.Tore-configure#therunningINETDprocess,editthisfile,thensendthe#INETDprocessaSIGHUPsignal.##Echo,discard,daytime,andchargenareusedprimarilyfortesting.##Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'##echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal#timestreamtcpnowaitrootinternal#timedgramudpwaitrootinternal##Thesearestandardservices.#ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-atelnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetdinetd配置文件？[root@smithersrc3.d]#ls-a.S11portmapS40crondS55routedS60rusersdS85sound..S15netfsS45pcmciaS55sshdS60rwhodS90xfsK30sendmailS20randomS50inetS60lpdS75keytableS91smbS05apmdS30syslogS50snmpdS60nfsS85gpmS99linuxconfS10networkS40atdS55namedS60rstatdS85httpdS99local[root@smithersrc3.d]#UNIX启动脚本目录/etc/rc*.d/

禁用启动脚本改变脚本名，使他不以大写的‘S’开头UNIX启动脚本系统启动脚本sysV风格的启动脚本rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smbBSD风格的启动脚本/etc/rc.confsshd_enable=“YES〞UNIX其他风格的启动脚本使用命令工具来监视网络状况netstatifconfigLinux下的socklistFreebsd下的sockstatlsof–ItcpdumpUNIX常用网络监视工具fingertftpr系列效劳telnet大多数rpc效劳其他不必要的效劳建议禁止使用的网络效劳UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇PC启动IntelCPU进入实模式开始执行0xFFFF0〔ROM—BIOS〕处的代码BIOS自检初始化位于地址0的中断向量表BIOS将启动盘的第一个扇区装入到0x7C00，并开始执行此处的代码完成内核的初始化PC机启动过程1.开始引导装入程序(bootloader)2.内核初始化并运行内核程序3.开始其他系统“自发的〞进程4.运行系统起始脚本UNIX引导概述•最初的引导环境通常是储存在NVRAM设备中，并在开机的时候读入内存•NVRAM引导装入程序触发初始引导模块〔Bootblock〕里的程序，进行引导初始化•Bootblock装载入更大的程序块，引导Unix内核程序引导装入程序〔bootloader〕1.识别CPU体系结构并初始化2.计算物理内存并初始化虚拟内存系统3.为内部结构分配内存4.探测系统设备，配置它们和初始化它们内核活动“自发〞进程是内核通过特别机制创立的这些进程通常用来控制进程调度安排和VMsystem它们不是存在于文件系统中可执行的进程，而是真正的内核代码INIT进程开始并引导系统运行开始脚本内核引导的自发进程•init运行shell脚本/etc/rc:–Mounts本地文件系统–初始化网络接口–开始系统daemon程序•/etc/rc运行/etc/rc.local中的特定系统效劳程序•/etc/rc.conf脚本用来告诉系统在引导时运行哪些效劳BSD“起始〞〔start-up)脚本init程序依据设定运行级别运行相应的“开始〞级别脚本:S–系统启动配置2–初始化网络配置，启动系统daemon程序3–输出文件系统，启动本地daemon进程运行级别0是中止系统，运行级别6是重新引导系统启动脚本存放在/etc/init.d目录中通常一个脚本对应一个daemon进程或者一项配置任务这些脚本都可以带有“start〞或“stop〞参数–这样当系统down的时候，可以很好地关闭翻开的进程每一个运行级别都对应一个/etc/rc*.d目录/etc/rc*.d中的链接文件的原文件是/etc/init.d目录中文件链接文件命名方式是Snn…(脚本运行使用“start〞参数〕或者Knn…(脚本运行使用“stop〞参数)nn代表脚本运行的顺序SYSV“开始〞(start-up)脚本管理员可以控制在系统引导结束后运行哪些效劳对于BSD系统,编辑/etc/rc.conf(或者去掉/etc/rc*中注释标记)对于SYSV系统,删除(或者重命名)在/etc/rc*.d目录中的链接文件底线1.根本系统配置2.开始网络效劳3.开始NFS守护进程(NFS是一个流行的通过TCP/IP网络共享文件的协议)4.运行系统其他守护进程5.提供X界面登录的窗口init-控制引导进程•装载root文件系统－包括关键程序和配置文件•配置网络接口•装载其他文件系统，其中一些可能是从网络装载1.根本系统配置DNS效劳－只在有DNS效劳的机器上运行Portmapper(rpcbind)–基于RPC效劳的主控守护进程NIS/NIS+–基于RPC的网络信息数据库Syslog–系统日志进程inetd–运行其他网络效劳的“meta〞守护进程2.开始网络效劳3.开始NFS守护进程NFS客户端进程:lockd–NFS文件锁定系统statd–在系统重引导后解锁进程NFS效劳器端进程:mountd–效劳器响应客户请求nfsd–NFSI/O进程"Automounter"(amdorautomountd)•cron–在事先设定好的时间运行的后台进程•Sendmail–邮件效劳进程•其他效劳进程–NTP、SNMP、HTTP、“volumemanagers〞、localservices……4.运行系统其他进程UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇如何衡量系统平安程度？操作系统平安程度的度量标准：目前常用美国国防部系统所制定的TCSEC〔“TrustedComputerSystemEvaluationCriteria〞〔1985〕〕，其评估标准主要是基于：系统平安政策〔Policy〕的制定系统使用状态的可审性〔Accountability〕平安政策的准确解释和实施的可靠性〔Assurance〕系统平安程度被分为八个等级〔D1、C1、C2、B1、B2、B3、A1和A2〕，其中D1系统的平安度为最低，常见的无密码保护的个人计算机系统即属此类；通常具有密码保护的多用户工作站系统属于C1级一个网络系统所能到达的最高平安等级不超过网络上平安性能最低环节的平安等级，因而网络系统平安的难度更大。中华人民共和国国家标准

GB17859-1999

计算机信息系统平安保护等级划分准那么第一级:用户自主保护级第二级:系统审计保护级第三级:平安标记保护级第四级:结构化保护级第五级:访问验证保护级UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇UNIX系统物理平安注意点1效劳器应该安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。机箱、键盘、电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的平安的地方。所有设备的管理人和责任人必须明确，名单必须由相应主管定期审核；计算机设备的访问必须得到其管理人的授权；受控访问区域内任何计算机设备的存放都必须有完整纪录清单，清单不许定期审视；计算机系统设备的任何物理变更，如搬迁、废弃、更换配件等都必须进行登记；计算机设备离开公司时必须要通行证，所有此类物品的出门都必须记录。保护硬件环境；保护硬件；关闭不用的接口：并行口、串行、红外或USB；设置开机口令；严格限制对系统的物理存储；安装操作系统时应该在非生产的网络中，或放置在断开的网络中；使用第二系统来接收厂商提供的升级报或补丁程序UNIX系统物理平安注意点2使用常规介质；备份可能包括改变的代码对于具有网络功能的设备只安装必要的选项系统安装结束后，将最新的补丁程序打上去掉不用的用户名或者修改其密码使用第二系统来获得补丁程序在正式装补丁程序前需要校验(md5sum)随时注意并更新系统和软件补丁UNIX系统物理平安注意点3UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇UNIX常用命令lsof下载地址::///projects/lsof/用途:列举翻开的文件(listopenfiles).由于在UNIX中文件的多样性,一个socket连接也可以理解为一个文件句柄描述符.类型：根本命令:主要功能：查看当前连接，类似于netstat查看某个进程翻开或者使用了哪些文件从上面可以看出来21端口ftp是由xinetd提供效劳，如果我们想看关于ftp进程翻开了哪些文件,可以运行命令如图:还有其他操作引用请参看lsof的manpageUNIX常用命令chattr给ext2系统上的文件设置属性.比方设置成只读,这样即使是root,也不能使用rm命令删除掉.Chattr是为linux的ext2文件系统效劳的,在BSD下,可以用chflags命令.比方：锁定文件1，不允许删除：[root@mobiletest]#ls1[root@mobiletest]#lsattr./1[root@mobiletest]#chattr+i1/*设置不能更改属性*/[root@mobiletest]#lsattri./1[root@mobiletest]#rm1rm:removewrite-protectedfile`1'?yrm:cannotunlink`1':Operationnotpermitted/*已经不允许删除了*/[root@mobiletest]#chattr-i1[root@mobiletest]#rm1rm:remove`1'?y[root@mobiletest]#ls[root@mobiletest]#具体详细帮助请参考manchattrUNIX常用命令Netstat/sockstatNetstat查看网络连接命令，可以知道当前系统有那些连接，那些端口是listen状态等。Sockstat是BSD下的程序，可以用来查看网络进程的PID号〔对应linux下netstat–p参数〕。Linux下查看TCP连接：[root@mobiletest]#netstat-antActiveInternetconnections(serversandestablished)ProtoRecv-QSend-QLocalAddressForeignAddressStatetcp00:139:*LISTENtcp00:80:*LISTENtcp00:22289:*LISTENtcp00:21:*LISTENtcp00:22:*LISTENtcp00:443:*LISTENtcp02014:2210:1055ESTABLISHED详细应用请参看mannetstatUNIX常用命令md5sum文件校验和，主要用来检查文件大小，内容等是否更改。在系统被入侵后，可以很方便的用这个命令来检查一些常用命令是否被更改。我们可以在刚安装完系统后备份一些重要命令的md5校验和，再备份结果到其他介质上，定期检查看校验和是否正确。比方：[root@mobiletest]#md5sum/bin/netstat/bin/ps/bin/su/bin/ls>result.txt[root@mobiletest]#lsa.txtid.txtls.txtresult.txt[root@mobiletest]#md5sum-cresult.txt/bin/netstat:OK/bin/ps:OK/bin/su:OK/bin/ls:OK[root@mobiletest]#监视文件大小变化、操作等，还可以使用第三方程序：Tripwire，Swatch等。UNIX常用命令acctacct是用来记录和统计用户命令执行情况以及其他有关用户的信息。不过很少有人使用。这一系列的工具可以在psacct的rpm包里面找到。[root@mobilelog]#rpm-qlpsacct/etc/logrotate.d/psacct/etc/rc.d/init.d/psacct/sbin/accton/usr/bin/ac/usr/bin/lastcomm/usr/sbin/accton/usr/sbin/dump-acct/usr/sbin/dump-utmp/usr/sbin/sa/var/account/var/account/pact具体使用可以参看man8sa,man8accton,manlastcomm,manacUNIX常用命令Last/lastlog用来查询用户登陆情况以及用户最后登陆时间。系统文件：/var/log/utmp以及/var/log/lastlog用来记录用户登陆情况和最后登陆时间。注意：如果这两个日志被擦除，这两个命令将显示无结果UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇用户环境变量profile每一个用户登录进来的时候，如果有特殊需要，会在用户目录里面产生一些配置文件，比方Ｌinux下默认bashshell的就有.bash_profile.bashrc等文件，这些文件主要用来控制用户在整个登陆会话中的一些环境变量，alias命令别名，umask值，以及初始化命令等。比方：linux下的bash_profile文件：[root@mobileroot]#cat.bash_profile#.bash_profile#Getthealiasesandfunctionsif[-f~/.bashrc];then.~/.bashrcfi#UserspecificenvironmentandstartupprogramsPATH=$PATH:$HOME/binBASH_ENV=$HOME/.bashrcUSERNAME="root"exportUSERNAMEBASH_ENVPATH[root@mobileroot]#cat.bashrc#.bashrc#Userspecificaliasesandfunctionsaliasrm='rm-i'aliascp='cp-i'aliasmv='mv-i'#Sourceglobaldefinitionsif[-f/etc/bashrc];then./etc/bashrcfi[root@mobileroot]#针对所用用户的设置文件是/etc/bashrc，有兴趣的可以翻开/etc/bashrc看看用户环境变量History用户的命令记录会在history文件里面记录起来，比方,linux下用bashshell的用户，命令会缺省记录在.bash_history文件里面：[root@mobileroot]#tail.bash_historylsof-iTCP-mlsof-iTCP-nlsof-iTCP-n-Plsof-iTCP-n-P-slsof-iTCP-n-P-Tlsof-iTCP-n-P-Ulsof-iTCP-n-P-U-Xnameslsof-iTCP-n-P-U--nameslsof-iTCP-n-P-U-rnetstat-antp[root@mobileroot]#在系统被入侵后，如果运气好的话，还会留下入侵者使用的一些命令哦。UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇常见目录的用途/bin用户命令可执行文件。/dev特殊设备文件。/etc系统执行文件、配置文件、管理文件。/home用户的起始目录。/lib引导系统及在root文件系统中运行命令所需共享。/lost+found与特定文件系统断开连接的丧失文件。/mnt临时安装的文件系统。/proc伪文件系统，是到内核数据结构或运行进程的接口。/sbin为只被root使用的可执行文件及引导系统启动的文件。/usr分成许多目录，包含可执行文件、头文件、帮助文件。/var用于电子邮件、打印、cron等的文件，统计、日志文件。UNIX文件系统结构文件类型 1.普通文件——文本文件，二进制文件。 2.目录——包括一组其它文件的二进制文件。 3.特殊文件——/dev目录下的设备文件等。 4.链接文件——硬链接和符号链接。 5.Sockets——进程间通信时使用的特殊文件。UNIX文件类型UNIX把一切都看成是个文件。包括目录以及设备等等的所有的文件都有一个inode号，作为这个文件的管理信息。文件本身存在于数据区，但是inode号存在inodeblock里。i-node包含的信息UID——文件拥有者。GID——文件的权限设置。模式节点上次修改时间。文件大小——文件所在的分组。文件类型——文件、目录、链接等。ctime——i-访问时间。mtime——文件上次修改时间。atime——文件上次访问时间。nlink——硬链接的数目。UNIX文件属性各种许可权限的含义是什么?UNIX文件系统权限FileOwnerGroupOwnerEveryoneElseWritePermissionReadPermissionExecutePermission文件目录Read可以读取文件可以对目录中的文件列表Write可以修改文件内容可以创建或删除文件阿Execute可以执行文件可以访问目录中的文件Set-UID使用文件属主的权限执行文件N/ASet-GID使用文件所属组的权限执行文件新建文件权限是继承上级目录权限"Sticky"N/A只有文件属主才能删除文件UNIX文件和目录权限位的含义FileOwnerGroupOwnerEveryoneElseUNIX绝对文件权限模式ls-l命令可以来显示文件名与特性。下面信息的第一栏可以说明文件类型和该文件赋予不同组用户的权限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--查看UNIX文件权限1.chmod—改变文件权限设置。2.chgrp—改变文件的分组。3.chown—改变文件的拥有权。4.Chattr—设置文件属性UNIX文件驱权限修改命令使用chmod命令修改文件权限:chmod666myfilechmod1777/tmp使用umask命令设置文件默认权限umask022umask077什么是umask值?用来指明要禁止的访问权限，通常在登录文件.login或.profile中建立。三位8进制值用来指定新创立文件和目录权限的缺省许可权限通过umask值来计算文件目录的许可权限常用的值有022,027,077何谓UMASK值？什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)设置了用户id和分组id属性，允许用户以特殊权利来运行程序,

这种程序执行时具有宿主的权限.

如passwd程序,它就设置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序执行时就具有root的权限SUID和SGID为什么要有SUID和SGID程序?SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比方每个用户都允许修改自己的密码,但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行.UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇选择复杂口令的意义:防止两层攻击基于用户信息简单密码猜测基于口令强制猜测程序的攻击人类倾向于使用易于猜测到的口令,这在使用字典猜测攻击面前变得非常脆弱口令选择的弱点:帐号平安根底如何选择口令?严禁使用空口令和与用户名相同的口令不要选择可以在任何字典或语言中找到的口令不要选择简单字母组成的口令不要选择任何和个人信息有关的口令不要选择短于6个字符或仅包含字母或数字不要选择作为口令范例公布的口令采取数字混合并且易于记忆选择口令的原那么如何保管好自己的口令?不要把口令写在纸上不要把口令贴到任何计算机的硬件上面不要把口令以文件的形式放在计算机里不要把口令与人共享5.防止信任欺骗(,E-mail等)口令的管理 Unix系统使用一个单向函数crypt()，来加密用户的口令。单向函数crypt()从数学原理上保证了从加密的密文得到加密前的明文是不可能的或是非常困难的。当用户登录时，系统并不是去解密已加密的口令，而是将输入的口令明文字符串传给加密函数，将加密函数的输出与/etc/passwd文件中该用户条目的PASSWORD域进行比较，假设匹配成功，那么允许用户登录系统。

Crypt()的加密算法基于资料加密标准DES，它将用户输入的口令作为密钥，加密一个64bit的0/1串，加密的结果又使用用户的口令再次加密；重复该过程，一共进行25次。最后的输出为一个11byte的字符串，存放在/etc/passwd的PASSWORD域。

Morris和Thompson修改了crypt()函数的实现。现在Unix系统中使用的加密函数原型如下：

Char*crypt(char*salt,char*passwd)

Salt是一个12位长的数字，取值范围为0到4095。它略改变了DES的输出，4096个不同的salt值使同一个口令产生不同的输出。当改变口令时，系统选择当天的一个时间，得到一个salt数值。该salt被存放在加密口令的最前面。因此，passwd文件存放的密文口令是13位。一些Unix系统，例如：HP-UX，Ultrix和BSD4.4，使用了16位或更长的salt值，这种算法称为bigcrypt()或crypt16()。口令加密的机理条目的格式:name:coded-passwd:UID:GID:userinfo:homedirectory:shell2.条目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh3.密文的组成 Salt+口令的密文 Np ge08fdehjklPasswd文件剖析1.伪用户帐号 通常不被登录，而是进程和文件所有权保存位置，如bin、daemon、mail和uucp等。2.单独命令帐号 如date、finger、halt等帐号。3.相应策略 检查/etc/passwd文件，确保口令域中是“*〞，而非空白。4.公共帐号 原那么上每个用户必须有自己的帐号，假设一个系统必须提供guest帐号，那么设置一个每天改变的口令。最好是设置受限shell,并且做chroot限制.帐号管理1.禁用帐号 在/etc/passwd文件中用户名前加一个“#〞，把“#〞去掉即可取消限制。2.删除帐号a)杀死任何属于该用户的进程或打印任务。b)检查用户的起始目录并为任何需要保存的东西制作备份。c)删除用户的起始目录及其内容。d)删除用户的邮件文件(/var/spool/mail)。e)把用户从邮件别名文件中删除(/etc/sendmail/aliases)。禁用或删除帐号除非必要，防止以超级用户登录。严格限制root只能在某一个终端登陆，远程用户可以使用/bin/su-l来成为root。不要随意把rootshell留在终端上。假设某人确实需要以root来运行命令，那么考虑安装sudo这样的工具，它能使普通用户以root来运行个人命令并维护日志。不要把当前目录(“./〞)和普通用户的bin目录放在root帐号的环境变量PATH中。永远不以root运行其他用户的或不熟悉的程序保护root1.策略传播(对用户培训和宣传)2.进行口令检查3.产生随机口令4.口令更新5.设置口令失效时间稳固帐号平安加强口令平安组成 /etc/passwd：口令域置为“X〞或其它替代符号。 /etc/shadow：只被root或passwd等有SUID位的程序可读。设置影子口令 在可选影子口令系统中，执行pwconv命令。该命令在影子口令文件不存在的情况下创立一个新的。如果已存在一个影子文件，pwconv把/etc/passwd中的新用户添加到/etc/shadow中，把/etc/passwd中没有的用户从影子文件中删去，并把口令从/etc/passwd移到影子文件中。稳固帐号平安使用影子口令(shadow)文件除了包含用户名和加密口令还包含以下域： 1.上次口令修改日期。 2.口令在两次修改间的最小天数。 3.口令建立后必须修改的天数。 4.口令更改前向用户发出警告的天数。5.口令终止后被禁用的天数。 6.自从1970/1/1起帐号被禁用的天数。 7.保存域。例如： root:*:10612:0:99999:7:::稳固帐号平安/etc/shadow文件剖析UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇1.提供一种追踪用户活动的方法2.系统管理员可以知道系统的日常活动3.及时了解和处理平安事件4.它是一种在平安事件发生后，可以提供法律证据的机制为什么要启用审计？1.在UNIX中,主要的审计工具是syslogd,2.可以通过配置这个后台进程程序，可以提供各种水平的系统审计和指定输出目录如何启用审计?如何启用审计？由syslog记录的日志：系统内核及工具产生信息时，通过调用syslog()，把信息送往守护进程syslogd，syslogd那么根据/etc/syslog.conf中的配置要求进行处理〔如记录到系统日志、输出到控制台等等〕由系统的守护进程syslogd记录的日志一般有：/var/log/messages/var/log/secure/var/log/maillog/var/log/cron/var/log/boot.log/var/log/spooler这些日志记录什么内容，以及记录的标准都在/etc/syslog.conf里面定义和配置，具体内容请参看mansyslog.conf,mansyslogd由syslog记录的日志login主要记录用户登陆情况以及退出登陆的时间，使用时间，使用的虚拟终端等信息。一般存放在:/var/run/utmp/var/log/wtmp/var/log/lastlog/var/spool/mail/*.hushlogin用户可以用last、who、lastlog等命令来读取这些文件由login记录的日志文件这个是由程序自己控制记录下的某些日志文件，比方：d等。比方linux下缺省安装的apache日志文件就存放在/var/log/d目录下面。前面提到的acct日志记录也归纳在这里coredump记录用户程序发生程序错误，比方内存指针越界、特权进程对文件的不正确处理等都会导致程序崩溃，这个时候，系统就会根据配置文件决定是否产生一个coredump文件，通过这些文件我们可以找到程序发生错误的地点，并且可以知道程序崩溃时候CPU各个存放器的值，通过这些信息我们可以知道程序是在哪个函数发生错误，引起错误发生的原因等信息。由程序自己记录的日志文件UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇Linux系统网络平安根本配置过滤：系统启动效劳清理屏蔽系统对ping请求的反响屏蔽系统登录显示信息“/etc/host.conf〞文件配置使用更平安的版本替代〔比方ssh2〕采用TCPwrappers提供更强的访问控制限制root用户登录的tty设备防止欺骗：禁止IP源路径路由防范“SYNAttack〞拒绝效劳攻击配置防火墙加强网络防御系统启动效劳清理清理/etc/rc2.d值得注意的nfs.*(网络文件共享)可以通过/etc/rc2.d/S71RPC改名来禁止rpc清理/etc/rc3.dSNMP使用的选择SNMP配置清理/etc/xinetd.d效劳：所有的TCP/UDP小效劳所有的调试效劳所以的R效劳几乎所有的RPC效劳使用必要的工具替换telnet,ftp必要的时候可以完全禁止inetd或用xinetd替换禁止所有不需要的效劳/etc/xinetd.d/telnet

servicetelnet{disable=yesflags=REUSEsocket_type=streamwait=nouser=rootserver=/usr/sbin/in.telnetdserver_args=-hlog_on_failure+=USERID屏蔽系统对ping请求的反响echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all编辑“host.conf〞文件(vi/etc/host.conf)orderbind,hostsmultion〔允许主机可以有多个地址〕nospoofon(不允许对该效劳器进行IP地址欺骗)屏蔽系统登录显示信息1〕编辑“/ect/rc.d/rc.local〞文件#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue#cp-f/etc/issue/etc/#echo>>/etc/issu2〕删除“/etc〞目录下“〞、“issue〞文件限制root用户登录的tty设备“/etc/securetty〞文件允许你规定“root〞用户可以从那个TTY设备登录。编辑securetty文件(vi/etc/securetty)象下面一样，注释掉一些行：tty1#tty2#tty3#tty4#tty5#tty6#tty7#tty8禁止IP源路径路由：#echo0/proc/sys/net/ipv4/conf/*/accept_source_route;防范“SYNAttack〞拒绝效劳攻击#echo1>proc/sys/net/ipv4/tcp_syncookiesUNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇WWW效劳器平安一旦出现问题造成的损失很大企业形象的损害信息资产的流失对公众开放,成为众多攻击者的目标WWW效劳有何特殊性?典型的Apache效劳器配置图WWW效劳器平安WWW效劳器平安Apache效劳器软件的编译和安装相关网址

WWW效劳器平安Apache效劳器配置应注意哪些问题?1.尽量使用高版本的效劳器程序2.给WWW文档所在目录设置正确的权限3.不要以root身份运行效劳器程序4.在CGI程序中不要信任用户输入的任何信息,特别是“&;`‘\〞|*?~<>^()[]{}$\n\r\t\0#../〞一类的字符5.禁止自动目录列表(Options–Indexes)Access_log:10--[24/Nov/2002:19:45:25+0800]"GET/HTTP/1.1"304-"-""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"10--[24/Nov/2002:19:45:25+0800]"GET/icons/apache_pb.gifHTTP/1.1"304-"://14/""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)“Error_log:[MonNov2508:53:282002][notice]childpid898exitsignalSegmentationfault(11)[MonNov2512:07:142002][error][client14]requestfailed:errorreadingtheheaders[MonNov2512:10:062002][error][client14]requestfailed:errorreadingtheheadersWWW效劳器平安Apache日志审查:UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇FTP效劳器平安必须以root身份运行以明文传输数据(包括用户名和口令)FTP效劳器的平安问题?FTP效劳器平安FTP效劳器平安本卷须知?对匿名ftp效劳器尽量不要开放写权限禁止root登录敏感信息不要通过ftp传递对连接数和带宽加以限制记录详细的日志进行访问控制使用平安性好的ftp效劳器对于提供ftp帐号的用户,如果是系统用户, 最好能把用户shell设置成/bin/trueFTP效劳器平安FTP效劳器软件推荐使用proftpdproftpd的特点a.高度可配置的ftp效劳器b.良好的平安性c.很容易配置多个虚拟效劳器和匿名效劳器d.匿名效劳器的根目录不需要特殊的目录结构，执行文件，和库文件等。e.没有SITEEXEC命令UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应原理篇实践篇DNS效劳器平安DNS效劳器的平安问题?Internet上最重要的效劳之一DNS与BINDBIND效劳器软件存在不少远程溢出漏洞BIND效劳器软件存在不少拒绝效劳漏洞DNS效劳器平安使用BIND9提供的平安特性来确保效劳器的平安1.限制查询allow-query子句的语法:options{ allow-query{地址匹配列表}};例如:options{ allow-query{10.1.1/24;10.1.2/24}};DNS效劳器平安2.防止未授权的区传送对某个域的区传送的限制:zone“demo〞{ typemaster; file“db.demo〞; allow-transfer{;}};全局的区传送访问控制列表:options{ allow-transfer{10.1.1/24;10.1.2/24}}3.隐藏BIND的版本信息在options可以自定义版本信息，例如：options{ … version“unknow〞 …}DNS效劳器平安4.以普通用户身份运行BIND启动named时使用以下参数:-u以该用户名或用户id来运行named,例如-unobody-g以该用户组或组id来运行named,例如-gnogroupDNS效劳器平安UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系统入侵分析特征处理方法UNIX/LINUX系统配置经验分区划分机器的启动密码用户管理系统文件平安网络效劳响应UNIX/LINUX系统概述系统体系结构系统效劳与进程系统启动过程系统的平安级别UNIX/LINUX系统平安特性物理平安常用命令介绍用户环境变量介绍文件系统平安账号平安日志记录平安配置APACHE效劳器配置要点FTP效劳器配置要点DNS效劳器配置要点提纲原理篇实践篇1.rsh和rlogin的替代品2.可以在不平安的网络上提供平安的加密通信SSH平安shell(ssh)的特点:SSH的下载和安装?SSH会自动加密和解密所有SSH客户端与效劳端之间的网络数据。SSH还同时提供端口转发的功能。它能够将其他TCP端口的网络数据通过SSH链接来转发，并且自动提供了相应的加密及解密效劳。这一过程有时也被叫做“隧道〞〔tunneling〕，这是因为SSH为其他TCP链接提供了一个平安的通道来进行传输而得名。例如，Telnet，SMTP，LDAP这些TCP应用均能够从中得益，防止了用户名，密码以及隐私信息的明文传输。而与此同时，如果您工作环境中的防火墙限制了一些网络端口的使用，但是允许SSH的连接，那么也是能够通过将TCP端口转发来使用SSH进行通讯。总的来说SSH端口转发能够提供两大功能：加密SSHClient端至SSHServer端之间的通讯数据；突破防火墙的限制完成一些之前无法建立的TCP连接。SSHSSHSSH的用法以及常用选项远程登录、远程执行ssh–lusernamehostnamesshusername@hostnamesshusername@hostnamecommandSSH提供的其他工具Sftp 平安ftp客户端2.Scp平安远程拷贝工具以pop3效劳为例说明SSHSSH端口转发功能pop3(110)端口邮件客户端软件