安全技术工程师培训unix系统安全

安全技术工程师培训unix系统安全课程目的了解UNIX系统的发展了解UNIX的启动原理和脆弱性掌握UNIX的基础使用掌握UNIX系统的安全配置掌握UNIX系统的异常分析及审计授课方式：讲解、演示、学员上机操作UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析Unix的起源与发展起源1969年KenThompson，DennisRitchie发展V1(汇编)、V4(C)、V6(大学)、V7分支SystemV(AT&T)BSDSVR4OSF/1(OpenSoftwareFoundation)Unix的版本SVRxAIX(SVR2及部分BSD)HP-UXSCO(SVR3.2)XenixBSD*BSDSunSolaris(基于BSD，包含SystemV)DEC(Ultrix)UNIX产品标准UNIX产品计算机 生产厂家

SCOUNIXPC兼容机

SCO公司

XENIX PC兼容机 微软,SCO DigitalUnix DecAlpha机

Digital公司

Solaris Sun工作站

Sun公司

AIX IBM机

IBM公司Unix的发展历程UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析为什么介绍UNIX安全DOS/Windows3.xD1WindowsNT/Windows2000C1/C2多数商用Unix系统C1NovellC2部份强Unix系统，如TrustsolarisC2-B1Linux/*BSD没有测评，通常认为在C1-C2新的测试标准是CC为什么介绍UNIX安全TCP／IP网的主要安全缺陷脆弱的认证机制容易被窃听和监视易受欺骗有缺陷的LAN服务和相互信任的主机复杂的设置和控制基于主机的安全不易扩展

为什么介绍UNIX安全

黑客攻击的日益增长新技术应用中不断发现了新的安全漏洞

新的服务未经过严格的安全测试就开始使用早期业务系统均采用UNIX系统大型重要业务大多数采用UNIX系统黑客攻击最早对象是UNIX系统各种UNIX系统的漏洞层出不穷为什么介绍UNIX安全

按照可信计算机评价标准达到C2级访问控制对象的可用性个人身份标识与认证审计记录操作的可靠性UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIX系统启动过程简介系统运行模式简介0进入EPROM状态（OK状态）1管理状态（所有文件系统都挂上的单用户模式，禁止其他用户登录）2多用户模式（没有网络文件共享服务）3多用户模式（有网络文件共享服务）4未使用5退出操作系统并关机6重新启动机器S,单用户模式Linux启动过程简介在Linux中，系统运行级别是并行式的，也就是系统加载完内核和mount/文件系统之后，就会直接跳转到相应的默认运行级别。在Solaris中，采取了一种串行化的引导方式。UNIX系统启动过程简介Solaris的启动分为若干个运行级别(S,1-6)，当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给/sbin/init进程，也就是所有进程的父进程，然后由init读取/etc/inittab，依次执行/etc/rc1(2,3)启动脚本，最终到达inittab中指定的默认运行级别。UNIX系统启动过程简介solaris系统启动过程Init0→Init1→Init2→Init3init0/openboot模式：引导内核，加载硬件驱动，此时可以选择从cdrom引导进入维护模式。init1/单用户模式：（加载/分区)登陆进入维护模式，或按Ctrl+D进入多用户模式init2/网络工作站模式：(连接网络，运行网络工作站服务)运行/etc/rc2脚本连接网络，启动S69inet服务,运行部分inetd网络服务init3/网络服务器模式：(运行各种网络服务)运行/etc/rc3脚本启动网络服务器Solaris的启动过程引导(EEPROMOpenBoot)sparc(/platform/`arch`/kernel/unix)启动过程init的概念init0openboot模式->(引导内核，加载硬件驱动)可以选择从cdrom引导进入维护模式|init1单用户模式->(加载/分区)登陆进入维护模式，或按Ctrl+D进入多用户模式|init2网络工作站模式->(连接网络，运行网络工作站服务)运行/etc/rc2脚本连接网络|||>启动S69inet服务,运行部分inetd网络服务|init3网络服务器模式->(运行各种网络服务)运行/etc/rc3脚本启动网络服务器rc0.d和rc1.d说明+代表必须服务，系统正常运行必须=代表可选服务，由用户环境决定-代表无效，不必要，或不安全的服务initinittabrc0rc1rc2rc3rc5rc6rcSinit.dinit系统启动超级进程inittab进程启动配置文件rc0-rc6各启动级别的启动脚本rcS单用户模式启动脚本init.d启动脚本存放目录rc0.d:eepromOpenBoot状态,可以进入硬件维护模式,或关闭机器。rc1.d:单用户模式，可以对系统进行软件维护。S01MOUNTFSYS+加载文件系统S10lu =当运行liveupdate后清理系统rc2.drc3.drc3.d:多用户模式，启动网络服务器模式S15nfs.server-启动nfs服务器,NFS网络文件服务器S13kdc.master-启动Kerberos服务器S14kdc-启动Kerberos服务器,Kerberos认证服务器S16boot.server-启动bootp服务器,boot网络启动服务S34dhcp=启动dhcp,DHCP服务器S50apache-启动apache服务器S76snmpdx-启动snmp服务器,启动SNMP服务，允许远程网络管理S77dmi-启动snmp-dmi服务,SNMP子服务S89sshd+启动sshd服务器,SSH服务器S80mipagent-启动MobileIP代理S90samba-启动samba服务器,SambaCIFS网络文件服务器Ps-ef启动过程看安全OpenBoot安全级别none：不需要任何口令command：除了boot和go之外所有命令都需要口令full：除了go命令之外所有命令都需要口令。

改变OpenBoot安全级别

设置口令命令#eepromsecurity-password改变安全级别为command#eepromsecurity-mode=command

UNIX用户登录过程用户打开终端电源（或运行telnet）。getty进程将登录提示信息送到用户终端显示，并等待用户输入用户名。用户输入用户名。getty进程接收到用户名后，启动login进程。login进程要求用户输入口令。用户输入口令。login进程对username和password进行检查。login启动shell进程。shell进程根据/etc/password中的shell类型，启动相应的shell。并启动/etc/profile文件和$HOME/.profile文件（或$HOME/.login文件）。最后出现UNIX提示符，等待用户输入命令。UNIX用户登录过程打开终端->getty->login->sh->/etc/profile->$HOME/.profile->出现提示符$

UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIX系统基础UNIX系统组成UNIX文件系统基础UNIX帐户管理基础UNIX口令基础UNIX系统组成UNIXKernel（UNIX内核）是UNIX操作系统的核心，指挥调度UNIX机器的运行，直接控制计算机的资源，保护用户程序不受错综复杂的硬件事件细节的影响。UNIXShell（UNIX外壳）是一个UNIX的特殊程序，是UNIX内核和用户的接口，是UNIX的命令解释器、也是一种解释性高级语言。

UNIX文件系统UNIX文件系统结构UNIX帐户管理基础UNIX帐户管理基础useradd增加用户userdel删除用户usermod修改用户userls显示用户和系统登录信息passwd修改用户口令groupadd增加用户组groupdel删除用户组groupmod修改用户组groupls显示用户组的属性只有root用户和授权用户才能对用户和用户组进行增加、修改、删除操作。

Passwd文件剖析

name:coded-passwd:UID:GID:user-info:home-directory:shell 7个域中的每一个由冒号隔开。空格是不允许的，除非在user-info域中使用。 .name—给用户分配的用户名，这不是私有信息。 .Coded-passwd—经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（:*:）代替。该域通常不手工编辑。用户应该使用passwd命令修改他们的口令。 .UID—用户的唯一标识号。习惯上，小于100的UID是为系统帐号保留的。帐号口令基础Passwd文件剖析（续） .GID—用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。 .User_info—习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。 .home-directory—该域指明用户的起始目录，它是用户登录进入后的初始工作目录。 .shell—该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。帐号口令基础UNIX帐号口令基础/etc/shadow文件记录了系统用户的加密后口令loginID:passwd:lastchg:min:max:warn:inactive:expire:

#more/etc/shadow

root:LXeokt/C/oXtw:6445::::::

daemon:NP:6445::::::

bin:NP:6445::::::

sys:NP:6445::::::

adm:NP:6445::::::

lp:NP:6445::::::

……UNIX帐号口令基础loginID对应用户名password加密后的口令。LK表示锁定帐号，NP表示无口令lastchg最后更改口令的日期与1970年1月1日之间相隔的天数min改变口令需要最少的天数max同一口令允许的最大天数warn口令到期时，提前通知用户的天数inactive用户不使用帐号多少天禁用帐号expire用户帐号过期的天数最后一个字段未用UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全异常检测和维护UNIX系统不安装多余组件停止不必要的服务打最新的补丁UNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全UNIX系统帐号安全禁用和删除不必要的帐号简单的办法是在/etc/shadow的password域前加*。删除账号#userdeluser1UNIX系统帐号安全Root帐号安全性确保root只允许从控制台登陆限制知道root口令的人数使用强壮的密码三个月或者当有人离开公司是就更改一次密码使用普通用户登陆,用su取得root权限,而不是以root身份登录UNIX系统帐号安全Root帐号安全性设置umask为077,在需要时再改回022请使用全路径执行命令不要允许有非root用户可写的目录存在root的路径里修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。UNIX系统帐号安全多数UNIX系统:编辑/etc/default/login文件，添加 #CONSOLE=/dev/console

禁止root远程FTP登录在/etc/ftpusers里加上root。

linux下:编辑文件/etc/pam.d/login，添加/etc/pam.d/loginauthrequiredpam_securetty.so禁止root用户远程登录UNIX帐号口令安全设置密码策略编辑“/etc/login.defs”chage-lusernamechage[-m最短周期][-M最长周期][-I口令到期到被锁定的天数][-E到期日期][-W口令到期之前开始警告的天数]usernameUNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全Unix文件系统的安全#ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10个字符来表示，每个字符表示一个模式设置1:表示文件类型。d表示目录，-表示普通文件，l表示链接文件等等

每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。

"r"表示可读，"w"表示可写，"x"表示可执行。一共9位(每组3位)，合起来称为模式位(modebits)

Unix文件系统的安全Chmod改变文档或目录之属性。如#chmod755testChown改变文档或目录之拥有权#chownuser1file1;chown-Ruser1dir1Chgrp改变文档或目录之群组拥有权 #chgrp

group1

file1Unix文件系统的安全SUID/SGIDSUID表示"设置用户ID“;SGID表示"设置组ID"。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了重要的安全漏洞，特别是SUID设为root的程序。Unix文件系统的安全SUID/SGID

#find/-perm-04000-o-perm-02000-print

find列出所有设置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。chmoda-s<文件名>”移去相应文件的“s”位。Unix文件系统的安全给口令文件和组文件设置不可改变位[root@venus]#chattr+i/etc/passwd[root@venus]#chattr+i/etc/shadow[root@venus]#chattr+i/etc/group文件系统安全备份命令.cp—虽然常用来拷贝单独一个文件，但cp（copy）命令支持一个递归选项（-R）来拷贝一个目录和它里面所有的文件和子目录。例如把mydir中所有内容拷贝到mydir2中：cp-Rmydirmydir2。.tar—tar（TApeaRchiver）命令可以创建、把文件添加到或从一个tar档案（或“tar文件”）中解开文件。.cpio—这个SVR4和GNU工具把文件拷贝进或拷贝出一个cpio或tar档案。与tar相似。

文件系统安全Dump和RestoreDump（把整个文件系统拷贝到备份介质上）#dump0f0/dev/rst01500/dev/sd0a

把一个SCSI硬盘(/dev/rsd0a)以0级备份到磁带(/dev/rst0)。Restore（恢复整个文件系统或提取单个文件）练习将passwd文件去掉置S位将shadow文件设为不可改变位改变inittab文件的owner和组UNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护启动网络参数设定设置/etc/init.d/inetinit文件在系统作为路由器的情况中执行

#ndd–set/dev/ipip_forwarding1关闭数据包转发

#ndd–set/dev/ipip_forwarding0(或/etc/notrouter)忽略重定向数据包（否则有遭到DOS的隐患）

#ndd–set/dev/ipip_ignore_redirects1

启动网络参数设定不发送重定向数据包

#ndd–set/dev/ipip_send_redirects0

禁止转发定向广播

#ndd–set/dev/ipip_forward_directed_broadcasts0禁止转发在数据源设置了路由的数据包

#ndd–set/dev/ipip_forward_src_routed0ARP攻击防止减少过期时间#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000默认是300000毫秒（5分钟）加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复请不要在繁忙的网络上使用。ARP攻击防止建立静态ARP使用arp–ffilename加载如下文件 test.venus

08:00:20:ba:a1:f2

user.venus

08:00:20:ee:de:1f

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议禁止ARPifconfiginterface–arp网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机，将不能通信IP协议参数关闭ip转发（或创建/etc/notrouter)＃ndd–set/dev/ipip_forwarding0关闭转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。#ndd–set/dev/ipip-forward_directed_broadcasts0关闭源路由转发＃ndd–set/dev/ipip_forward_src_routed0ICMP协议参数关闭响应echo广播＃ndd–set/dev/ipip_respond_to_echo_boadcast0关闭响应时间戳广播#ndd–set/dev/ipip_respond_to_timest_broadcast0关闭地址掩码广播#ndd–set/dev/ipip_respind_to_address_mask_broadcast0防止ping在/etc/rc.d/rc.local文件中增加如下一行：echo1＞/proc/sys/net/ipv4/icmp_echo_ignore_all

ICMP协议参数TCP协议参数Synflood（半开式连接攻击）SYNFLOOD原理 请求方

服务方

>

发送

SYN消息

回应

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默认连接数为1024连接耗尽攻击ndd–set/dev/tcptcp_conn_req_max_q1024默认连接数为128Su限制禁止任何人通过su命令改变为root用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文件（在"/etc/pam.d/"目录下）的开头添加下面两行：编辑su文件(vi/etc/pam.d/su)，在开头添加下面两行：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/Pam_wheel.sogroup=wheel这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户。隐藏系统信息编辑“/etc/rc.d/rc.local”文件，注释下面的行。#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue##cp-f/etc/issue/etc/#echo>>/etc/issue删除"/etc"目录下的“”和"issue"文件：[root@kapil/]#rm-f/etc/issue[root@kapil/]#rm-f/etc/UNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护Unix的系统及网络服务/etc/inetd.conf/etc/inetd.conf决定inetd启动网络服务时，启动哪些服务，用什么命令启动这些服务，以及这些服务的相关信息

/etc/service/etc/services文件记录一些常用的接口及其所提供的服务的对应关系。/etc/protocols/etc/protocols文件记录协议名及其端口的关系。/etc/Rc*.d/etc/inittabinittab定义了系统缺省运行级别，系统进入新运行级别需要做什么Inetd服务#more/etc/inetd.conf#systatstreamtcpnowaitroot/usr/bin/psps-ef#系统进程监控服务，允许远程察看进程#netstatstreamtcpnowaitroot/usr/bin/netstatnetstat-finet#网络状态监控服务，允许远程察看网络状态#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#网络时间服务，允许远程察看系统时间#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#网络测试服务，回显字符串Inetd服务#namedgramudpwaitroot/usr/sbin/in.tnamedin.tnamed#named，DNS服务器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetdin.telnetd#telnet服务器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpdin.ftpd-a#ftp服务器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpUnix系统服务安全在inetd.conf中关闭不用的服务

然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记“#”字符即可。注:Ftp和Telnet服务在不需要时也可注释掉。Unix系统服务安全清理/etc/inet/inetd.conf服务所有的TCP/UDP小服务所有的调试服务(echo、discard、daytime、chargen)所以的R服务(rsh、rexe、rlogin)几乎所有的RPC服务使用必要的工具替换telnet,ftp重起inetd服务

#killall–HUPinetdUNIX网络服务安全DNSFTPTELNETMAILTcp_wrapperDns(Bind)历史Bind最初在美国加利佛尼亚大学伯克利分校实现在4.3FSBUNIX机上。有两种版本BIND4、BIND8都是版本BIND8是新版的BIND4已停止除安全补丁程序外的开发。已移植到Unix、linux、winnt、os/2上。两种版本在书写格式上不同。BIND主要配置文件named配置文件/etc/named.boot（bind4)/etc/named.conf(bind8)DNS数据文件正向解析文件反向解析文件Db.cache文件解析装置文件/etc/resolv.conf/etc/named.conf举例#more/etc/named.confoptions{ directory"/var/named";};zone"."in{ typehint; file"db.cache";};/etc/named.conf举例zone“abc"in{ typemaster; file“abc.zone";};zone"0.3.10."in{ typemaster; file“abc.rev";};DNS服务器的常见攻击方法地址欺骗远程漏洞入侵拒绝服务地址欺骗DNS服务器的拒绝服务攻击针对DNS服务器软件本身利用DNS服务器作为中间的“攻击放大器”，去攻击其它intetnet上的主机Bind服务器安全配置基本安全配置Bind服务器的访问控制设置chroot运行环境Bind服务器安全配置基本安全配置隐藏版本信息 在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。 例如： version

"Who

knows?";

//

version

9.9.9;

此时如果通过DNS服务查询BIND版本号时，返回的信息就是"Who

knows?"。

Bind服务器安全配置基本安全配置named进程启动选项-r：关闭域名服务器的递归查询功能（缺省为打开）。该选项可在配置文件的options中使用"recursion"选项覆盖。-u和-g：定义域名服务器运行时所使用的UID和GID,这用于丢弃启动时所需要的root特权。-t：指定当服务器进程处理完命令行参数后所要chroot()的目录。Bind服务器安全配置Bind服务器的访问控制:限制查询限制区域传输关闭递归查询Bind服务器安全配置/etc/named.confoptions{directory“/var/named”;allow-query/24;allow-transfer{;/24;recursionno;};};Bind服务器安全配置FTPFTP有安全问题

proftppre3remoteshellProftppre10DoSWuftp2.5Wuftp2.6SunftpcoreFtp安全要点TELNET改变TELNET登录的提示编辑/etc/motd文件避免显示系统和版本信息编辑/etc/inetd.conf文件(/etc/default/telnetd)：telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h

加-h表示telnet不显示系统信息。推荐使用ssh代替不安全的telnetSSH介绍加密通讯方式

Sendmail的主要安全问题文件系统安全邮件转发与垃圾邮件拒绝服务攻击VRFY命令使用VRFY命令获得用户名列表是SMTP提供的专门用来验证是否有用户存在于服务器上的一条命令VRFY命令格式

VRFY要测试的用户名

如果用户存在，系统将返回250和用户全名。如果用户不存在，将返回550错误。VRFY命令示例示例1telnetSMTP_SVR25

S:VRFYPostelR:250JonPostel<>示例2telnetSMTP_SVR25S:VRFYJonesR:550Stringdoesnotmatchanything.

EXPN命令使用EXPN命令获得用户名列表

EXPN命令其实和VRFY命令类似，不同的是，这条命令是用来验证是否有邮件列表存在EXPN命令示例示例1（exle-people1为邮件列表） telnetSMTP_SVR25S:EXPNExle-People1

R:250-JonPostel<Postel@ISIF>

R:250-FredFonebone<Fonebone@ISIQ>

R:250-SamQ.Smith<SQSmith@ISIQ>

R:250-QuincySmith<@ISIF,Q-Smith@ISI-VAXA>

R:250-<joe@foo-unix>

邮件列表存在的时候，系统就会返回这个邮件列表中的所有用户名称以及具体的信箱地址。EXPN命令示例示例2（exle-people1为邮件列表）telnetSMTP_SVR25S:EXPNExle-People2

R:550AccessDeniedtoYou.如果系统禁止了这个命令，将返回550错误。

Sendmail安全配置关掉expn和vrfy命令 修改文件/etc/sendmail.cf，将O

PrivacyOptions=authwarnings改为O

PrivacyOptions=authwarnings,novrfy,noexpn

/etc/aliases的权限设为644

#Chmod644/etc/aliases从/etc/aliases里删除decodeSendmail安全配置限制可以审核邮件队列内容的人通常情况下，任何人都可以使用"mailq"命令来查看邮件队列的内容。 #vi

/etc/sendmail.cf将O

PrivacyOptions=authwarnings,noexpn,novrfy

改为：O

PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

Sendmail安全配置重要的sendmail文件设置不可更改位

#

chattr

+i

/etc/sendmail.cf

#

chattr

+i

/etc/sendmail.cw

#

chattr

+i

/etc/sendmail.mc

#

chattr

+i

/etc/null.mc

#

chattr

+i

/etc/aliases

#

chattr

+i

/etc/mail/accessSendmail安全配置增强Sendmail的抗DoS攻击能力1.配置最少的自由块数

配置参数：MinFreeBlocks

参数描述：文件系统用来接受标准SMTP邮件的队列中的最少的自由块数目。

越小越容易被攻击致命。

默认值：100

推荐值：4000或者更大

2.最大邮件大小

配置参数：MaxMessageSize

参数描述：每封邮件的最大尺寸，越大越容易被攻击致命。

默认值：不限制

推荐值：5M

Sendmail安全配置3.每封邮件的最多接收者

配置参数：MaxRecipientsPerMessage

参数描述：如果设定了的话，每封邮件只能同时抄送给指定数量的收信人。超过此数目就会返回一个452的错误代码。4.队列平均负荷

配置参数：QueueLA

参数描述：单一队列时的平均负荷。根据CPU的数量适当设定（8*CPU数量）Sendmail安全配置5.平均负荷拒绝临界点

配置参数：RefuseLA

参数描述：一旦平均负荷超过此临界点，所有Incoming的SMTP连接均拒绝。

默认值：可变的

推荐值：8*CPU数量

6.最大的守护进程的子进程数7.最大的报头长度

8.最大MIME编码报文长度

9.自动重建别名

Sendmail安全配置设置smtp身份验证及时更新安装最新版本的SendmailTcp_wrapperTcp_wrapper在inetd接到客户请求时启动，具有存取管理启动目标服务器的程序功能。Tcpd启动时，读取文件/etc/hosts.allow及/etc/hosts.deny。/etc/hosts.allow：允许服务的主机/etc/hosts.deny：禁止服务的主机Tcp_wrapperHosts.allow文件格式<Daemon_list>：<host_list>：<command> Daemon_list：表示允许服务的监控程序名，可以有多个，用逗号隔开。Host_list：允许服务的主机名或IP，可以用通配符。Command：allow或denyTcp_wrapperHosts.deny文件格式<Daemon_list>：<host_list> Daemon_list：表示禁止服务的监控程序名，可以有多个，用逗号隔开。Host_list：禁止服务的主机名或IP，可以用通配符。Hosts.deny缺省设置ALL:ALL表示除hosts.allow中允许的主机外都禁止。一般无须改变。Tcp_wrapperTcpd解释设置文件方式如果为用hosts.allow允许的主机则充许。如果为用hosts.deny禁止的主机则禁止。两种文件均无描述的主机，则允许。Tcp_wrapper示例1为服务器，管理员使用的客户主机为，使管理员客户机全部处于允许状态，其它主机都禁止访问该服务器。Hosts.allow设置：ALL：:allowHosts.deny设置成： ALL:ALLTcp_wrapper示例2为服务器，使所有192.168.0.*网段的主机可以FTP服务器，其它主机都禁止访问该服务器。Hosts.allow设置：Wu.ftpd：192.168.0.:allowHosts.deny设置成： ALL:ALLUNIX系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护Unix异常监控异常的系统资源占用CPUtop,wDiskdf,duNetnetstat,snoop系统异常事件异常进程Ps异常端口和网络活动Lsof异常用户活动w,last应用程序变更login,su,ls配置文件或设备变动系统日志察看MessageSyslogLastlogShellhistory应用程序日志其它相关网站UNIX系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统