1、中標麒麟Linux操作系統(tǒng)安全概述技術(shù)創(chuàng)新，變革未來中標麒麟Linux服務(wù)器操作系統(tǒng)培訓(xùn)系列目標：了解系統(tǒng)安全風(fēng)險了解攻擊方式和方法了解如何防范入侵風(fēng)險：系統(tǒng)宕機： 竊取數(shù)據(jù)：數(shù)據(jù)修改及破壞： 安裝敵對軟件：負面宣傳和金融影響：系統(tǒng)安全：系統(tǒng)危險包括：針對系統(tǒng)系統(tǒng)可用性的攻擊未授權(quán)的訪問授權(quán)用戶不合適的使用危害產(chǎn)生的原因利用錯誤的軟件配置利用協(xié)議的缺陷 利用信任關(guān)系按 攻 擊 方 法 分 類遠程獲得權(quán)限攻擊本地超越權(quán)限攻擊拒絕服務(wù)攻擊入 侵 行 為 分 類遠程獲得最高權(quán)限遠程獲得普通訪問權(quán) 本地權(quán)限非正常提升DOS DDOS程序設(shè)計缺陷服務(wù)可用性：Denial of Service（DoS）攻

2、擊：利用服務(wù)bug使其崩潰崩潰其支撐的服務(wù)崩潰其計算機（如崩潰網(wǎng)絡(luò)帶寬、主機內(nèi)存等）DDoS(DISTRIBUTED DoS)預(yù)防軟件及時更新 監(jiān)控服務(wù)狀態(tài)監(jiān)控網(wǎng)絡(luò)狀態(tài)信息泄漏：服務(wù)信息泄漏：Banner信息（軟件及版本信息）配置信息及參數(shù)信息如telnet在登錄前會有/etc/信息露出授權(quán)的主機或者用戶信息的泄漏，如showmount會泄漏NFS信息及FTP的STAT命令會泄漏配置信息 可用的其他資源驗證和授權(quán)：安全的服務(wù)需要驗證客戶端的身份及授權(quán)進入：弱認證憑證捕獲攻擊-利用sniffer來獲取clear-text用戶名和密碼，cookies或訪問票單導(dǎo)致出現(xiàn)錯誤認證及缺陷 利用弱驗證很容

3、易哄騙系統(tǒng)輸入驗證攻擊：利用服務(wù)輸入驗證的bug進行攻擊：如輸入框不進行安全校驗及執(zhí)行處理緩沖區(qū)溢出攻擊：輸入大size的數(shù)據(jù)，服務(wù)將此數(shù)據(jù)放入緩沖區(qū) 時造成溢出，進而使程序崩潰。更好的方式是覆蓋執(zhí)行堆棧，進 而使程序運行任意代碼。格式字符串攻擊：如注入攻擊預(yù)防：代碼審計最小權(quán)限運行程序 限制程序數(shù)量限制客戶端訪問服務(wù)網(wǎng)絡(luò)的安全性：中間人攻擊竊聽數(shù)據(jù)注入Session劫持認證和加密數(shù)據(jù)以保護數(shù)據(jù)的完整性及機密性對稱加密：DES,AES,BLOWFISH,ETC.Hash:crc-32,md5,sha-1,etc.非對稱加密：RSA,EIGamal安全網(wǎng)絡(luò)認證系統(tǒng)kerberos交換機的安全MA

4、C FloodingMAC Duplication ARP Redirection黑客的計劃-分不同階段：獲取目標系統(tǒng)情報會盡可能多的獲取，如環(huán)境信息等如采用主動掃描及間接獲取分析獲取的信息，確定哪些信息具備安全缺陷（漏洞）發(fā)現(xiàn)缺陷后，獲取缺陷的訪問權(quán)限設(shè)置陷阱，獲取root權(quán)限或者控制通信等刪除記錄，安裝后門踩點攻擊掃描清除日志隱藏&后門擴大戰(zhàn)果發(fā)掘階段拓展階段映射階段勘查階段踩點攻擊掃描清除日志隱藏&后門擴大戰(zhàn)果通過nmap.SSS等掃描 器掃描漏洞。利用所取得的權(quán)限清除 日志，種植木馬。通過某個服務(wù)的漏洞， 溢出取得權(quán)限。通過telnet 80端口等形 式查詢信息，定位目標隱藏&后門一個

5、簡單的rootkit :PS1、mv ps psbak 2 、 cat ps #!/bin/shpsbak $1|grep -v sniff|grep -v grep|grep -v psbak|gawk gsub(/sh /bin/, ,$0);printctrl+d3、chmod 755 ps擴大戰(zhàn)果使用john破解軟件使用Sniff類監(jiān)聽器捕獲敏感數(shù)據(jù)安裝Dos軟件攻擊其他主機利用此服務(wù)器的信任關(guān)系進行內(nèi)網(wǎng)攻擊釋放蠕蟲和病毒最小安裝、關(guān)閉非要服務(wù)訪問控制和審計保持最新的安全更新屏蔽敏感信息Why（技術(shù)層面）踩點隱藏&后門攻擊掃描擴大戰(zhàn)果清除日志安全管理工作高危端口及服務(wù)定義服務(wù)器安全檢查

6、規(guī)范服務(wù)器安全配置規(guī)范安全管理工作技術(shù)問題實際應(yīng)用的復(fù)雜性易用性與安全性整合回退方案工具準備對業(yè)務(wù)應(yīng)用熟悉工程問題時間進度安排分布實施及實施決策篩選應(yīng)急備案防護機制一定要有一套防護策略：入侵檢測驗證和評估入侵 入侵后恢復(fù)報告入侵策略執(zhí)行的文檔防護方法安全補丁更新敏感信息保護最小化安全原則訪問控制防DOS配置完整性檢驗日志維護和保護LINUX自身的防護機制防火墻防護：Netfilter-低水平防護，只看包頭信息Proxy-高水平防護，可驗證發(fā)送者、用戶驗證、協(xié)議、內(nèi)容等等。 本地包過濾TCP WrappersXinetdPAMSecurity Enhanced Linux服務(wù)自身的安全配置程序加

7、強（如使用java、.net環(huán)境等）TCP Wrappers and xinetdTCP Wrappers適用于鏈接libwrap.so的服務(wù)：Daemon list:client list:ALLOW|DENY Daemon list:client list:severity fac.priLog connectionsDaemon list:client list:spawn|twist command在子程序中執(zhí)行命令或服務(wù)被命令替換Daemon list：client list：banners directory設(shè)置bannerXinetd：控制在其監(jiān)管下的服務(wù)only_from =

8、host_pattern no_access = host_pattern access_time=bind =cps = per_source=Flags:INTERCEPT SENSORPAM and SELinux驗證用戶是否可訪問服務(wù)針對獨立的服務(wù)控制訪問時間、使用限制、位置限制等SELinux建立服務(wù)的訪問規(guī)則防止系統(tǒng)被攻破 要有相關(guān)的憑證才能訪問服務(wù)相當于服務(wù)運行在一個jail環(huán)境中，服務(wù)只可訪問特定 的資源敏感信息保護屏蔽banner信息&版本信息刪除默認帳戶 刪除默認目錄保護敏感信息最小化安全原則關(guān)閉不必要的服務(wù)&包包最小化安全母盤安裝系統(tǒng)時使用專家模式自行定制進行包管理不安裝

9、X相關(guān)的軟件不安裝GAME軟件不安裝不使用的開發(fā)工具服務(wù)最小化安裝時采取白名單僅安裝需要套件通過netstat anp檢查開放端口進行驗證端口掃描，并根據(jù)公司高危端口相關(guān)規(guī)定檢測通過綁定內(nèi)網(wǎng)屏蔽外部風(fēng)險 通過IPTABLES進行包過濾設(shè)置 開啟SELinux最小化準則設(shè)置訪問控制訪問控制chmodSetuid&Setgid umaskchattr設(shè)置訪問控制訪問控制Chmod禁止其他人對root可能運行的腳本有寫權(quán)限。 Setuid&Setgid去除所有不必要的S位程序。 Umask最小化權(quán)限回收 ChattrChattr設(shè)置隱蔽的訪問控制規(guī)則防DoS攻擊防DOS配置專業(yè)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)上ACL主

10、機TCP/IP棧調(diào)整防DoS攻擊開啟LINUX自帶syn-flood抵御機制進行防護。echo 1 /proc/sys/net/ipv4/tcp_syncookies使用tcp_bic算法echo 1 /proc/sys/net/ipv4/tcp_bic設(shè)置開始建立一個tcp會話時，重試發(fā)送synack連接請求包 的次數(shù)echo 3 /proc/sys/net/ipv4/tcp_synack_retries增大默認隊列連接數(shù)sysctl w net.ipv4.tcp_max_syn_backlog=1280狀態(tài)機參數(shù)echo 365536 /proc/sys/net/ipv4/ip_connt

11、rack_max sysctl -w filter.ip_conntrack_tcp_timeout_syn_recv=13 sysctl -w filter.ip_conntrack_tcp_timeout_fin_wait=60 sysctl -w filter.ip_conntrack_tcp_timeout_time_wait=60防DoS攻擊開啟SYN-COOKIEsydctl w net.ipv4.tcp_syn_cookies=1設(shè)置開始建立一個tcp會話時，重試發(fā)送syn連接請求包的次數(shù)echo 3 /proc/sys/net/ipv4/tcp_syn_retries放置IP路

12、由欺騙轉(zhuǎn)發(fā)echo 1 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/conf/default/rp_filter等待對方FIN包的超時時間echo 30 /proc/sys/net/ipv4/tcp_fin_timeout內(nèi)存中保持IP片斷的時間echo 15 /proc/sys/net/ipv4/ipfrag_time遭遇DOS時不允許ping被DOS主機echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all能夠更快地回收TIME-WAIT套接字。Slackware默認是

13、0。建議為1開啟echo 1 /proc/sys/net/ipv4/tcp_tw_recycle完整性檢驗完整性檢驗TripwareAide自己的簡單checksum日志維護和保護日志維護和保護日志維護和保護Linux系統(tǒng)的日志文件/var/log/wtmp/var/log/debug*/var/log/dmesg*/var/log/messages*/var/log/secure*/var/log/syslog*對日志文件的保護Chattr +ai日志文件（wtmp不可）Syslog 日志文件傳送檢測入侵監(jiān)控內(nèi)容：日志網(wǎng)絡(luò)交通 開放的端口 文件的修改檢測入侵監(jiān)控日志：日志要同時記錄在本機和遠

14、程服務(wù)器上（中央服務(wù)器）日志要使用logwatch每天分析一次Logwatch的結(jié)果要配置為被發(fā)送到一個單獨的系統(tǒng) 觀察服務(wù)的異常檢測入侵監(jiān)控網(wǎng)絡(luò)交通：入侵檢測系統(tǒng)IDS使用那個iptables來記錄可疑嘗試使用工具：tcpdump、wireshark來抓包 建個蜜罐檢測入侵監(jiān)控開放端口或文件：NetstatNmap Nethogs SsAtop SnortLsof fuserRoot kit detectors檢測入侵檢測修改的文件：md5sumCmp Aide RpmPrelink 問題檢測入侵評估和驗證被入侵的系統(tǒng)：在一個安全的環(huán)境下工作救援模式使用信任的系統(tǒng)Live cd將可疑塊設(shè)備做成image來分析進行完整性檢查檢測和擊敗后門完善inbound、outbound防火墻規(guī)則：經(jīng)常性檢測端口和文件監(jiān)控網(wǎng)絡(luò)：tcpdump、snort、atop等監(jiān)控打開文件：lsof fuser檢測和擊敗Root Kits檢測混雜模式的網(wǎng)絡(luò)接口：