linux第10章(系统安全)

1、Linux操作系统实训教程,主讲人 刘晓辉,第10章 Linux系统安全,本章要点 常见攻击类型 Linux系统安全策略 网络服务安全 脚本安全 使用Snort进行入侵检测 网络防火墙,10.1 常见的攻击类型,10.1.1 扫描 10.1.2 嗅探 10.1.3 木马 10.1.4 病毒,几种常见的攻击方式，包括端口扫描、嗅探、种植木马、传播病毒等等。,10.1.1 扫描,1. 什么是扫描器 2. 工作原理 3. 扫描器能干什么 4. 常用的端口扫描技术 （1） TCP connect()扫描 （2） TCP SYN扫描 （3） TCP FIN扫描 （4） IP段扫描 （5） TCP反向id

2、ent扫描 （6） FTP返回攻击,10.1.2 嗅探,1. 嗅探原理 2. 嗅探造成的危害 窃取用户名和密码 捕获专用或机密信息 窃取高级访问权限 窥探低级的协议信息 3. 常见的嗅探器 Tcpdump/Windump Sniffit Ettercap Snarp,4. 嗅探特征 网络通信丢包率反常 网络带宽出现反常 5. 嗅探对策 及时打补丁 本机监控 监控本地局域网的数据帧 对敏感数据加密 使用安全的拓朴结构,10.1.3 木马,提示 网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听，如果有客户机向服务

3、器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机。,10.1.4 病毒,1. 可执行文件型病毒 2. 蠕虫（worm）病毒 3. 脚本病毒 4. 后门程序,10.2 Linux系统安全策略,10.2.1 分区安全 10.2.2 系统引导安全 10.2.3 账号安全 10.2.4 密码安全 10.2.5 系统日志,系统安全包括分区安全、系统引导安全、账号安全、密码安全等,10.2.1 分区安全,修改/etc/fstab,提示 各个单独分区的磁盘空间大小应充分考虑，避免因某些原因造成分

4、区空间用完而导致系统崩溃。,10.2.3 账号安全,使用su命令,删除用户,修改文件属性,10.2.4 密码安全,1. 强制密码设置规范 2. 密码数据库的保护手段,提示 系统管理员可以采取各种策略来确保密码安全。但首先要让用户们明白密码安全的重要性，同时制定密码策略来强制密码设置规范。这包括确定可接受的密码设置要求、更换密码的时限、密码需要包含多少字符等等。系统管理员还可以运行检测工具来查找密码数据库的安全漏洞。,10.2.5 系统日志,1. 基本日志命令的使用 2. 使用Syslog设备,连接时间日志 进程统计 错误日志,连接时间日志和错误日志,查看错误日志,连结时间日志 所有位置,2.

5、使用Syslog设备,记录邮件信息 到一个文件中,存储日志 并设置级别,2. 使用Syslog设备,将日志发送到邮箱,将消息传送至messages,提示 在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都不能清除入侵的痕迹。因此，syslog设备是一个攻击者的显著目标，破坏了它将会使用户很难发现入侵以及入侵的痕迹，因此要特别注意保护其守护进程以及配置文件。,10.3 网络服务安全,10.3.1 iptables 10.3.2 TCP Wrappers 10.3.3 xinetd 10.3.4 常见网络服务的安全问题,网络服务安全包括：iptables、TCP Wrappers、x

6、inetd及其他常见网络服务安全。,10.3.1 iptables,1. iptables基础 2. 简单iptable管理,1. iptables基础,用man查看iptables帮助信息,GNOME进入安全级别设置,提示 基于浏览器界面的服务器管理系统Webmin也具备iptable的管理能力。甚至有些Linux的发布版本的整个目的就是为了提供一个iptable的GUI前台、一定的配置功能、合理健全的默认配置、路由服务配置界面的整合以及其他常用的网络防火墙设备的功能。,2. 简单iptable管理,（1） 备份 （2） 恢复 （3） 安全设置 修改内核变量 修改脚本,（1） 备份,进行设置

7、,执行“iptables -L”命令,（1） 备份,存储iptables设置,（2） 恢复 和 （3） 安全设置,恢复设置,修改network脚本,10.3.2 TCP Wrappers,1. Tcp Wrappers的功能 2. Tcp Wrappers的配置,查看tcp_wrappers具体 信息的文件所有位置,配置 hosts.allow,10.3.3 xinetd,xinetd服务配置,10.3.4 常见网络服务的安全问题,1. WuFTPD 2. Telnet 3. Sendmail 4. su 5. named,10.4 脚本安全,10.4.1 处理用户输入 10.4.2 注意隐式

8、输入,脚本就是运行在网页服务器上的文本程序，例如：ASP、PHP、CGI、JSP、ISAP等，脚本攻击就是利用这些文件的设置和编写时的错误或疏忽，进行攻击的，如果一个服务器存在这些漏洞，那么它就很容易被攻破。这些文本文件一般都是要结合数据库来使用的，这些数据库有Access、MsSQL、MySQL、Oracle等。,10.5 使用Snort进行入侵检测,10.5.1 入侵检测系统简介 10.5.2 snort介绍 10.5.3 安装Snort 10.5.4 使用Snort 10.5.5 配置snort规则 10.5.6 编写Snort规则 10.5.7 snort规则应用举例,入侵检测和使用网

9、络防火墙，正是安全防范的两大措施。,10.5.1 入侵检测系统简介,1. 基于网络的入侵检测系统 2. 基于主机的入侵检测系统 3. 混合式入侵检测系统 4. 文件完整性检查工具,10.5.2 snort介绍,1. snort是一个轻量级的入侵检测系统 2. snort的可移植性很好 3. snort的功能非常强大,10.5.3 安装Snort,1. 获得snort Snort下载地址： 2. 安装snort,1. 获得snort,下载snort 压缩包,下载libpcap 库压缩包,2. 安装snort,（1） 解压libpcap包和snort包 （2）

10、 编译libpcap库 （3） 安装snort （4） 编译snort,鼠标右键解压,执行./configure命令,10.5.4 使用Snort,1. 作为嗅探器 2. 记录数据包 3. 作为入侵检测系统,查看snort用法,提示 Snort命令的各个参数可以分开写或任意结合在一块。例如，./snort -d -v -e 和./snort -vde 的效果是完全相同的。,2. 记录数据包,使用-vde参数,记录数据包,2. 记录数据包,执行“snort l /log -b”,3. 作为入侵检测系统,snort最重要的用途还是作为网络入侵检测系统（NIDS），使用下面的命令行可以启动这种模式： ./snort -dev -l ./log -h 5/24 -c snort.conf,提示 如果用户想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选