安全技術(shù)工程師培訓(xùn)unix系統(tǒng)安全課程目的了解UNIX系統(tǒng)的發(fā)展了解UNIX的啟動原理和脆弱性掌握UNIX的基礎(chǔ)使用掌握UNIX系統(tǒng)的安全配置掌握UNIX系統(tǒng)的異常分析及審計(jì)授課方式：講解、演示、學(xué)員上機(jī)操作UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)安全配置UNIX系統(tǒng)審計(jì)分析Unix的起源與發(fā)展起源1969年KenThompson，DennisRitchie發(fā)展V1(匯編)、V4(C)、V6(大學(xué))、V7分支SystemV(AT&T)BSDSVR4OSF/1(OpenSoftwareFoundation)Unix的版本SVRxAIX(SVR2及部分BSD)HP-UXSCO(SVR3.2)XenixBSD*BSDSunSolaris(基于BSD，包含SystemV)DEC(Ultrix)UNIX產(chǎn)品標(biāo)準(zhǔn)UNIX產(chǎn)品計(jì)算機(jī) 生產(chǎn)廠家

SCOUNIXPC兼容機(jī)

SCO公司

XENIX PC兼容機(jī) 微軟,SCO DigitalUnix DecAlpha機(jī)

Digital公司

Solaris Sun工作站

Sun公司

AIX IBM機(jī)

IBM公司Unix的發(fā)展歷程UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)安全配置UNIX系統(tǒng)審計(jì)分析為什么介紹UNIX安全DOS/Windows3.xD1WindowsNT/Windows2000C1/C2多數(shù)商用Unix系統(tǒng)C1NovellC2部份強(qiáng)Unix系統(tǒng)，如TrustsolarisC2-B1Linux/*BSD沒有測評，通常認(rèn)為在C1-C2新的測試標(biāo)準(zhǔn)是CC為什么介紹UNIX安全TCP／IP網(wǎng)的主要安全缺陷脆弱的認(rèn)證機(jī)制容易被竊聽和監(jiān)視易受欺騙有缺陷的LAN服務(wù)和相互信任的主機(jī)復(fù)雜的設(shè)置和控制基于主機(jī)的安全不易擴(kuò)展

為什么介紹UNIX安全

黑客攻擊的日益增長新技術(shù)應(yīng)用中不斷發(fā)現(xiàn)了新的安全漏洞

新的服務(wù)未經(jīng)過嚴(yán)格的安全測試就開始使用早期業(yè)務(wù)系統(tǒng)均采用UNIX系統(tǒng)大型重要業(yè)務(wù)大多數(shù)采用UNIX系統(tǒng)黑客攻擊最早對象是UNIX系統(tǒng)各種UNIX系統(tǒng)的漏洞層出不窮為什么介紹UNIX安全

按照可信計(jì)算機(jī)評價(jià)標(biāo)準(zhǔn)達(dá)到C2級訪問控制對象的可用性個(gè)人身份標(biāo)識與認(rèn)證審計(jì)記錄操作的可靠性UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)安全配置UNIX系統(tǒng)審計(jì)分析UNIX系統(tǒng)啟動過程簡介系統(tǒng)運(yùn)行模式簡介0進(jìn)入EPROM狀態(tài)（OK狀態(tài)）1管理狀態(tài)（所有文件系統(tǒng)都掛上的單用戶模式，禁止其他用戶登錄）2多用戶模式（沒有網(wǎng)絡(luò)文件共享服務(wù)）3多用戶模式（有網(wǎng)絡(luò)文件共享服務(wù)）4未使用5退出操作系統(tǒng)并關(guān)機(jī)6重新啟動機(jī)器S,單用戶模式Linux啟動過程簡介在Linux中，系統(tǒng)運(yùn)行級別是并行式的，也就是系統(tǒng)加載完內(nèi)核和mount/文件系統(tǒng)之后，就會直接跳轉(zhuǎn)到相應(yīng)的默認(rèn)運(yùn)行級別。在Solaris中，采取了一種串行化的引導(dǎo)方式。UNIX系統(tǒng)啟動過程簡介Solaris的啟動分為若干個(gè)運(yùn)行級別(S,1-6)，當(dāng)系統(tǒng)內(nèi)核運(yùn)行完畢，加載好所有的驅(qū)動之后，就會把控制權(quán)移交給/sbin/init進(jìn)程，也就是所有進(jìn)程的父進(jìn)程，然后由init讀取/etc/inittab，依次執(zhí)行/etc/rc1(2,3)啟動腳本，最終到達(dá)inittab中指定的默認(rèn)運(yùn)行級別。UNIX系統(tǒng)啟動過程簡介solaris系統(tǒng)啟動過程Init0→Init1→Init2→Init3init0/openboot模式：引導(dǎo)內(nèi)核，加載硬件驅(qū)動，此時(shí)可以選擇從cdrom引導(dǎo)進(jìn)入維護(hù)模式。init1/單用戶模式：（加載/分區(qū))登陸進(jìn)入維護(hù)模式，或按Ctrl+D進(jìn)入多用戶模式init2/網(wǎng)絡(luò)工作站模式：(連接網(wǎng)絡(luò)，運(yùn)行網(wǎng)絡(luò)工作站服務(wù))運(yùn)行/etc/rc2腳本連接網(wǎng)絡(luò)，啟動S69inet服務(wù),運(yùn)行部分inetd網(wǎng)絡(luò)服務(wù)init3/網(wǎng)絡(luò)服務(wù)器模式：(運(yùn)行各種網(wǎng)絡(luò)服務(wù))運(yùn)行/etc/rc3腳本啟動網(wǎng)絡(luò)服務(wù)器Solaris的啟動過程引導(dǎo)(EEPROMOpenBoot)sparc(/platform/`arch`/kernel/unix)啟動過程init的概念init0openboot模式->(引導(dǎo)內(nèi)核，加載硬件驅(qū)動)可以選擇從cdrom引導(dǎo)進(jìn)入維護(hù)模式|init1單用戶模式->(加載/分區(qū))登陸進(jìn)入維護(hù)模式，或按Ctrl+D進(jìn)入多用戶模式|init2網(wǎng)絡(luò)工作站模式->(連接網(wǎng)絡(luò)，運(yùn)行網(wǎng)絡(luò)工作站服務(wù))運(yùn)行/etc/rc2腳本連接網(wǎng)絡(luò)|||>啟動S69inet服務(wù),運(yùn)行部分inetd網(wǎng)絡(luò)服務(wù)|init3網(wǎng)絡(luò)服務(wù)器模式->(運(yùn)行各種網(wǎng)絡(luò)服務(wù))運(yùn)行/etc/rc3腳本啟動網(wǎng)絡(luò)服務(wù)器rc0.d和rc1.d說明+代表必須服務(wù)，系統(tǒng)正常運(yùn)行必須=代表可選服務(wù)，由用戶環(huán)境決定-代表無效，不必要，或不安全的服務(wù)initinittabrc0rc1rc2rc3rc5rc6rcSinit.dinit系統(tǒng)啟動超級進(jìn)程inittab進(jìn)程啟動配置文件rc0-rc6各啟動級別的啟動腳本rcS單用戶模式啟動腳本init.d啟動腳本存放目錄rc0.d:eepromOpenBoot狀態(tài),可以進(jìn)入硬件維護(hù)模式,或關(guān)閉機(jī)器。rc1.d:單用戶模式，可以對系統(tǒng)進(jìn)行軟件維護(hù)。S01MOUNTFSYS+加載文件系統(tǒng)S10lu =當(dāng)運(yùn)行l(wèi)iveupdate后清理系統(tǒng)rc2.drc3.drc3.d:多用戶模式，啟動網(wǎng)絡(luò)服務(wù)器模式S15nfs.server-啟動nfs服務(wù)器,NFS網(wǎng)絡(luò)文件服務(wù)器S13kdc.master-啟動Kerberos服務(wù)器S14kdc-啟動Kerberos服務(wù)器,Kerberos認(rèn)證服務(wù)器S16boot.server-啟動bootp服務(wù)器,boot網(wǎng)絡(luò)啟動服務(wù)S34dhcp=啟動dhcp,DHCP服務(wù)器S50apache-啟動apache服務(wù)器S76snmpdx-啟動snmp服務(wù)器,啟動SNMP服務(wù)，允許遠(yuǎn)程網(wǎng)絡(luò)管理S77dmi-啟動snmp-dmi服務(wù),SNMP子服務(wù)S89sshd+啟動sshd服務(wù)器,SSH服務(wù)器S80mipagent-啟動MobileIP代理S90samba-啟動samba服務(wù)器,SambaCIFS網(wǎng)絡(luò)文件服務(wù)器Ps-ef啟動過程看安全OpenBoot安全級別none：不需要任何口令command：除了boot和go之外所有命令都需要口令full：除了go命令之外所有命令都需要口令。

改變OpenBoot安全級別

設(shè)置口令命令#eepromsecurity-password改變安全級別為command#eepromsecurity-mode=command

UNIX用戶登錄過程用戶打開終端電源（或運(yùn)行telnet）。getty進(jìn)程將登錄提示信息送到用戶終端顯示，并等待用戶輸入用戶名。用戶輸入用戶名。getty進(jìn)程接收到用戶名后，啟動login進(jìn)程。login進(jìn)程要求用戶輸入口令。用戶輸入口令。login進(jìn)程對username和password進(jìn)行檢查。login啟動shell進(jìn)程。shell進(jìn)程根據(jù)/etc/password中的shell類型，啟動相應(yīng)的shell。并啟動/etc/profile文件和$HOME/.profile文件（或$HOME/.login文件）。最后出現(xiàn)UNIX提示符，等待用戶輸入命令。UNIX用戶登錄過程打開終端->getty->login->sh->/etc/profile->$HOME/.profile->出現(xiàn)提示符$

UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)安全配置UNIX系統(tǒng)審計(jì)分析UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)組成UNIX文件系統(tǒng)基礎(chǔ)UNIX帳戶管理基礎(chǔ)UNIX口令基礎(chǔ)UNIX系統(tǒng)組成UNIXKernel（UNIX內(nèi)核）是UNIX操作系統(tǒng)的核心，指揮調(diào)度UNIX機(jī)器的運(yùn)行，直接控制計(jì)算機(jī)的資源，保護(hù)用戶程序不受錯(cuò)綜復(fù)雜的硬件事件細(xì)節(jié)的影響。UNIXShell（UNIX外殼）是一個(gè)UNIX的特殊程序，是UNIX內(nèi)核和用戶的接口，是UNIX的命令解釋器、也是一種解釋性高級語言。

UNIX文件系統(tǒng)UNIX文件系統(tǒng)結(jié)構(gòu)UNIX帳戶管理基礎(chǔ)UNIX帳戶管理基礎(chǔ)useradd增加用戶userdel刪除用戶usermod修改用戶userls顯示用戶和系統(tǒng)登錄信息passwd修改用戶口令groupadd增加用戶組groupdel刪除用戶組groupmod修改用戶組groupls顯示用戶組的屬性只有root用戶和授權(quán)用戶才能對用戶和用戶組進(jìn)行增加、修改、刪除操作。

Passwd文件剖析

name:coded-passwd:UID:GID:user-info:home-directory:shell 7個(gè)域中的每一個(gè)由冒號隔開?？崭袷遣辉试S的，除非在user-info域中使用。 .name—給用戶分配的用戶名，這不是私有信息。 .Coded-passwd—經(jīng)過加密的用戶口令。如果一個(gè)系統(tǒng)管理員需要阻止一個(gè)用戶登錄，則經(jīng)常用一個(gè)星號（:*:）代替。該域通常不手工編輯。用戶應(yīng)該使用passwd命令修改他們的口令。 .UID—用戶的唯一標(biāo)識號。習(xí)慣上，小于100的UID是為系統(tǒng)帳號保留的。帳號口令基礎(chǔ)Passwd文件剖析（續(xù)） .GID—用戶所屬的基本分組。通常它將決定用戶創(chuàng)建文件的分組擁有權(quán)。 .User_info—習(xí)慣上它包括用戶的全名。郵件系統(tǒng)和finger這樣的工具習(xí)慣使用該域中的信息。 .home-directory—該域指明用戶的起始目錄，它是用戶登錄進(jìn)入后的初始工作目錄。 .shell—該域指明用戶登錄進(jìn)入后執(zhí)行的命令解釋器所在的路徑。注意可以為用戶在該域中賦一個(gè)/bin/false值，這將阻止用戶登錄。帳號口令基礎(chǔ)UNIX帳號口令基礎(chǔ)/etc/shadow文件記錄了系統(tǒng)用戶的加密后口令loginID:passwd:lastchg:min:max:warn:inactive:expire:

#more/etc/shadow

root:LXeokt/C/oXtw:6445::::::

daemon:NP:6445::::::

bin:NP:6445::::::

sys:NP:6445::::::

adm:NP:6445::::::

lp:NP:6445::::::

……UNIX帳號口令基礎(chǔ)loginID對應(yīng)用戶名password加密后的口令。LK表示鎖定帳號，NP表示無口令lastchg最后更改口令的日期與1970年1月1日之間相隔的天數(shù)min改變口令需要最少的天數(shù)max同一口令允許的最大天數(shù)warn口令到期時(shí)，提前通知用戶的天數(shù)inactive用戶不使用帳號多少天禁用帳號expire用戶帳號過期的天數(shù)最后一個(gè)字段未用UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)安全配置UNIX系統(tǒng)審計(jì)分析UNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全異常檢測和維護(hù)UNIX系統(tǒng)不安裝多余組件停止不必要的服務(wù)打最新的補(bǔ)丁UNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全UNIX系統(tǒng)帳號安全禁用和刪除不必要的帳號簡單的辦法是在/etc/shadow的password域前加*。刪除賬號#userdeluser1UNIX系統(tǒng)帳號安全Root帳號安全性確保root只允許從控制臺登陸限制知道root口令的人數(shù)使用強(qiáng)壯的密碼三個(gè)月或者當(dāng)有人離開公司是就更改一次密碼使用普通用戶登陸,用su取得root權(quán)限,而不是以root身份登錄UNIX系統(tǒng)帳號安全Root帳號安全性設(shè)置umask為077,在需要時(shí)再改回022請使用全路徑執(zhí)行命令不要允許有非root用戶可寫的目錄存在root的路徑里修改/etc/securetty，去除終端ttyp0-ttyp9，使root只能從console或者使用ssh登陸。UNIX系統(tǒng)帳號安全多數(shù)UNIX系統(tǒng):編輯/etc/default/login文件，添加 #CONSOLE=/dev/console

禁止root遠(yuǎn)程FTP登錄在/etc/ftpusers里加上root。

linux下:編輯文件/etc/pam.d/login，添加/etc/pam.d/loginauthrequiredpam_securetty.so禁止root用戶遠(yuǎn)程登錄UNIX帳號口令安全設(shè)置密碼策略編輯“/etc/login.defs”chage-lusernamechage[-m最短周期][-M最長周期][-I口令到期到被鎖定的天數(shù)][-E到期日期][-W口令到期之前開始警告的天數(shù)]usernameUNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全Unix文件系統(tǒng)的安全#ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10個(gè)字符來表示，每個(gè)字符表示一個(gè)模式設(shè)置1:表示文件類型。d表示目錄，-表示普通文件，l表示鏈接文件等等

每個(gè)文件和目錄有三組權(quán)限，一組是文件的擁有者、一組是文件所屬組的成員、一組是其他所有用戶。

"r"表示可讀，"w"表示可寫，"x"表示可執(zhí)行。一共9位(每組3位)，合起來稱為模式位(modebits)

Unix文件系統(tǒng)的安全Chmod改變文檔或目錄之屬性。如#chmod755testChown改變文檔或目錄之擁有權(quán)#chownuser1file1;chown-Ruser1dir1Chgrp改變文檔或目錄之群組擁有權(quán) #chgrp

group1

file1Unix文件系統(tǒng)的安全SUID/SGIDSUID表示"設(shè)置用戶ID“;SGID表示"設(shè)置組ID"。當(dāng)用戶執(zhí)行一個(gè)SUID文件時(shí)，用戶ID在程序運(yùn)行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。SUID程序代表了重要的安全漏洞，特別是SUID設(shè)為root的程序。Unix文件系統(tǒng)的安全SUID/SGID

#find/-perm-04000-o-perm-02000-print

find列出所有設(shè)置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。chmoda-s<文件名>”移去相應(yīng)文件的“s”位。Unix文件系統(tǒng)的安全給口令文件和組文件設(shè)置不可改變位[root@venus]#chattr+i/etc/passwd[root@venus]#chattr+i/etc/shadow[root@venus]#chattr+i/etc/group文件系統(tǒng)安全備份命令.cp—雖然常用來拷貝單獨(dú)一個(gè)文件，但cp（copy）命令支持一個(gè)遞歸選項(xiàng)（-R）來拷貝一個(gè)目錄和它里面所有的文件和子目錄。例如把mydir中所有內(nèi)容拷貝到mydir2中：cp-Rmydirmydir2。.tar—tar（TApeaRchiver）命令可以創(chuàng)建、把文件添加到或從一個(gè)tar檔案（或“tar文件”）中解開文件。.cpio—這個(gè)SVR4和GNU工具把文件拷貝進(jìn)或拷貝出一個(gè)cpio或tar檔案。與tar相似。

文件系統(tǒng)安全Dump和RestoreDump（把整個(gè)文件系統(tǒng)拷貝到備份介質(zhì)上）#dump0f0/dev/rst01500/dev/sd0a

把一個(gè)SCSI硬盤(/dev/rsd0a)以0級備份到磁帶(/dev/rst0)。Restore（恢復(fù)整個(gè)文件系統(tǒng)或提取單個(gè)文件）練習(xí)將passwd文件去掉置S位將shadow文件設(shè)為不可改變位改變inittab文件的owner和組UNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測和維護(hù)啟動網(wǎng)絡(luò)參數(shù)設(shè)定設(shè)置/etc/init.d/inetinit文件在系統(tǒng)作為路由器的情況中執(zhí)行

#ndd–set/dev/ipip_forwarding1關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)

#ndd–set/dev/ipip_forwarding0(或/etc/notrouter)忽略重定向數(shù)據(jù)包（否則有遭到DOS的隱患）

#ndd–set/dev/ipip_ignore_redirects1

啟動網(wǎng)絡(luò)參數(shù)設(shè)定不發(fā)送重定向數(shù)據(jù)包

#ndd–set/dev/ipip_send_redirects0

禁止轉(zhuǎn)發(fā)定向廣播

#ndd–set/dev/ipip_forward_directed_broadcasts0禁止轉(zhuǎn)發(fā)在數(shù)據(jù)源設(shè)置了路由的數(shù)據(jù)包

#ndd–set/dev/ipip_forward_src_routed0ARP攻擊防止減少過期時(shí)間#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000默認(rèn)是300000毫秒（5分鐘）加快過期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網(wǎng)絡(luò)中會大量的出現(xiàn)ARP請求和回復(fù)請不要在繁忙的網(wǎng)絡(luò)上使用。ARP攻擊防止建立靜態(tài)ARP使用arp–ffilename加載如下文件 test.venus

08:00:20:ba:a1:f2

user.venus

08:00:20:ee:de:1f

這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點(diǎn)是破壞了動態(tài)ARP協(xié)議禁止ARPifconfiginterface–arp網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計(jì)算機(jī)，將不能通信IP協(xié)議參數(shù)關(guān)閉ip轉(zhuǎn)發(fā)（或創(chuàng)建/etc/notrouter)＃ndd–set/dev/ipip_forwarding0關(guān)閉轉(zhuǎn)發(fā)包廣播由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來實(shí)施smurf攻擊，關(guān)閉這一特性。#ndd–set/dev/ipip-forward_directed_broadcasts0關(guān)閉源路由轉(zhuǎn)發(fā)＃ndd–set/dev/ipip_forward_src_routed0ICMP協(xié)議參數(shù)關(guān)閉響應(yīng)echo廣播＃ndd–set/dev/ipip_respond_to_echo_boadcast0關(guān)閉響應(yīng)時(shí)間戳廣播#ndd–set/dev/ipip_respond_to_timest_broadcast0關(guān)閉地址掩碼廣播#ndd–set/dev/ipip_respind_to_address_mask_broadcast0防止ping在/etc/rc.d/rc.local文件中增加如下一行：echo1＞/proc/sys/net/ipv4/icmp_echo_ignore_all

ICMP協(xié)議參數(shù)TCP協(xié)議參數(shù)Synflood（半開式連接攻擊）SYNFLOOD原理 請求方

服務(wù)方

>

發(fā)送

SYN消息

回應(yīng)

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默認(rèn)連接數(shù)為1024連接耗盡攻擊ndd–set/dev/tcptcp_conn_req_max_q1024默認(rèn)連接數(shù)為128Su限制禁止任何人通過su命令改變?yōu)閞oot用戶。如果你不希望任何人通過su命令改變?yōu)閞oot用戶或?qū)δ承┯脩粝拗剖褂胹u命令，你可以在su配置文件（在"/etc/pam.d/"目錄下）的開頭添加下面兩行：編輯su文件(vi/etc/pam.d/su)，在開頭添加下面兩行：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/Pam_wheel.sogroup=wheel這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到“wheel”組，以使它可以使用su命令成為root用戶。隱藏系統(tǒng)信息編輯“/etc/rc.d/rc.local”文件，注釋下面的行。#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue##cp-f/etc/issue/etc/#echo>>/etc/issue刪除"/etc"目錄下的“”和"issue"文件：[root@kapil/]#rm-f/etc/issue[root@kapil/]#rm-f/etc/UNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測和維護(hù)Unix的系統(tǒng)及網(wǎng)絡(luò)服務(wù)/etc/inetd.conf/etc/inetd.conf決定inetd啟動網(wǎng)絡(luò)服務(wù)時(shí)，啟動哪些服務(wù)，用什么命令啟動這些服務(wù)，以及這些服務(wù)的相關(guān)信息

/etc/service/etc/services文件記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系。/etc/protocols/etc/protocols文件記錄協(xié)議名及其端口的關(guān)系。/etc/Rc*.d/etc/inittabinittab定義了系統(tǒng)缺省運(yùn)行級別，系統(tǒng)進(jìn)入新運(yùn)行級別需要做什么Inetd服務(wù)#more/etc/inetd.conf#systatstreamtcpnowaitroot/usr/bin/psps-ef#系統(tǒng)進(jìn)程監(jiān)控服務(wù)，允許遠(yuǎn)程察看進(jìn)程#netstatstreamtcpnowaitroot/usr/bin/netstatnetstat-finet#網(wǎng)絡(luò)狀態(tài)監(jiān)控服務(wù)，允許遠(yuǎn)程察看網(wǎng)絡(luò)狀態(tài)#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#網(wǎng)絡(luò)時(shí)間服務(wù)，允許遠(yuǎn)程察看系統(tǒng)時(shí)間#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#網(wǎng)絡(luò)測試服務(wù)，回顯字符串Inetd服務(wù)#namedgramudpwaitroot/usr/sbin/in.tnamedin.tnamed#named，DNS服務(wù)器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetdin.telnetd#telnet服務(wù)器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpdin.ftpd-a#ftp服務(wù)器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpUnix系統(tǒng)服務(wù)安全在inetd.conf中關(guān)閉不用的服務(wù)

然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記“#”字符即可。注:Ftp和Telnet服務(wù)在不需要時(shí)也可注釋掉。Unix系統(tǒng)服務(wù)安全清理/etc/inet/inetd.conf服務(wù)所有的TCP/UDP小服務(wù)所有的調(diào)試服務(wù)(echo、discard、daytime、chargen)所以的R服務(wù)(rsh、rexe、rlogin)幾乎所有的RPC服務(wù)使用必要的工具替換telnet,ftp重起inetd服務(wù)

#killall–HUPinetdUNIX網(wǎng)絡(luò)服務(wù)安全DNSFTPTELNETMAILTcp_wrapperDns(Bind)歷史Bind最初在美國加利佛尼亞大學(xué)伯克利分校實(shí)現(xiàn)在4.3FSBUNIX機(jī)上。有兩種版本BIND4、BIND8都是版本BIND8是新版的BIND4已停止除安全補(bǔ)丁程序外的開發(fā)。已移植到Unix、linux、winnt、os/2上。兩種版本在書寫格式上不同。BIND主要配置文件named配置文件/etc/named.boot（bind4)/etc/named.conf(bind8)DNS數(shù)據(jù)文件正向解析文件反向解析文件Db.cache文件解析裝置文件/etc/resolv.conf/etc/named.conf舉例#more/etc/named.confoptions{ directory"/var/named";};zone"."in{ typehint; file"db.cache";};/etc/named.conf舉例zone“abc"in{ typemaster; file“abc.zone";};zone"0.3.10."in{ typemaster; file“abc.rev";};DNS服務(wù)器的常見攻擊方法地址欺騙遠(yuǎn)程漏洞入侵拒絕服務(wù)地址欺騙DNS服務(wù)器的拒絕服務(wù)攻擊針對DNS服務(wù)器軟件本身利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其它intetnet上的主機(jī)Bind服務(wù)器安全配置基本安全配置Bind服務(wù)器的訪問控制設(shè)置chroot運(yùn)行環(huán)境Bind服務(wù)器安全配置基本安全配置隱藏版本信息 在options節(jié)中增加自定義的BIND版本信息，可隱藏BIND服務(wù)器的真正版本號。 例如： version

"Who

knows?";

//

version

9.9.9;

此時(shí)如果通過DNS服務(wù)查詢BIND版本號時(shí)，返回的信息就是"Who

knows?"。

Bind服務(wù)器安全配置基本安全配置named進(jìn)程啟動選項(xiàng)-r：關(guān)閉域名服務(wù)器的遞歸查詢功能（缺省為打開）。該選項(xiàng)可在配置文件的options中使用"recursion"選項(xiàng)覆蓋。-u和-g：定義域名服務(wù)器運(yùn)行時(shí)所使用的UID和GID,這用于丟棄啟動時(shí)所需要的root特權(quán)。-t：指定當(dāng)服務(wù)器進(jìn)程處理完命令行參數(shù)后所要chroot()的目錄。Bind服務(wù)器安全配置Bind服務(wù)器的訪問控制:限制查詢限制區(qū)域傳輸關(guān)閉遞歸查詢Bind服務(wù)器安全配置/etc/named.confoptions{directory“/var/named”;allow-query/24;allow-transfer{;/24;recursionno;};};Bind服務(wù)器安全配置FTPFTP有安全問題

proftppre3remoteshellProftppre10DoSWuftp2.5Wuftp2.6SunftpcoreFtp安全要點(diǎn)TELNET改變TELNET登錄的提示編輯/etc/motd文件避免顯示系統(tǒng)和版本信息編輯/etc/inetd.conf文件(/etc/default/telnetd)：telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h

加-h表示telnet不顯示系統(tǒng)信息。推薦使用ssh代替不安全的telnetSSH介紹加密通訊方式

Sendmail的主要安全問題文件系統(tǒng)安全郵件轉(zhuǎn)發(fā)與垃圾郵件拒絕服務(wù)攻擊VRFY命令使用VRFY命令獲得用戶名列表是SMTP提供的專門用來驗(yàn)證是否有用戶存在于服務(wù)器上的一條命令VRFY命令格式

VRFY要測試的用戶名

如果用戶存在，系統(tǒng)將返回250和用戶全名。如果用戶不存在，將返回550錯(cuò)誤。VRFY命令示例示例1telnetSMTP_SVR25

S:VRFYPostelR:250JonPostel<>示例2telnetSMTP_SVR25S:VRFYJonesR:550Stringdoesnotmatchanything.

EXPN命令使用EXPN命令獲得用戶名列表

EXPN命令其實(shí)和VRFY命令類似，不同的是，這條命令是用來驗(yàn)證是否有郵件列表存在EXPN命令示例示例1（exle-people1為郵件列表） telnetSMTP_SVR25S:EXPNExle-People1

R:250-JonPostel<Postel@ISIF>

R:250-FredFonebone<Fonebone@ISIQ>

R:250-SamQ.Smith<SQSmith@ISIQ>

R:250-QuincySmith<@ISIF,Q-Smith@ISI-VAXA>

R:250-<joe@foo-unix>

郵件列表存在的時(shí)候，系統(tǒng)就會返回這個(gè)郵件列表中的所有用戶名稱以及具體的信箱地址。EXPN命令示例示例2（exle-people1為郵件列表）telnetSMTP_SVR25S:EXPNExle-People2

R:550AccessDeniedtoYou.如果系統(tǒng)禁止了這個(gè)命令，將返回550錯(cuò)誤。

Sendmail安全配置關(guān)掉expn和vrfy命令 修改文件/etc/sendmail.cf，將O

PrivacyOptions=authwarnings改為O

PrivacyOptions=authwarnings,novrfy,noexpn

/etc/aliases的權(quán)限設(shè)為644

#Chmod644/etc/aliases從/etc/aliases里刪除decodeSendmail安全配置限制可以審核郵件隊(duì)列內(nèi)容的人通常情況下，任何人都可以使用"mailq"命令來查看郵件隊(duì)列的內(nèi)容。 #vi

/etc/sendmail.cf將O

PrivacyOptions=authwarnings,noexpn,novrfy

改為：O

PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

Sendmail安全配置重要的sendmail文件設(shè)置不可更改位

#

chattr

+i

/etc/sendmail.cf

#

chattr

+i

/etc/sendmail.cw

#

chattr

+i

/etc/sendmail.mc

#

chattr

+i

/etc/null.mc

#

chattr

+i

/etc/aliases

#

chattr

+i

/etc/mail/accessSendmail安全配置增強(qiáng)Sendmail的抗DoS攻擊能力1.配置最少的自由塊數(shù)

配置參數(shù)：MinFreeBlocks

參數(shù)描述：文件系統(tǒng)用來接受標(biāo)準(zhǔn)SMTP郵件的隊(duì)列中的最少的自由塊數(shù)目。

越小越容易被攻擊致命。

默認(rèn)值：100

推薦值：4000或者更大

2.最大郵件大小

配置參數(shù)：MaxMessageSize

參數(shù)描述：每封郵件的最大尺寸，越大越容易被攻擊致命。

默認(rèn)值：不限制

推薦值：5M

Sendmail安全配置3.每封郵件的最多接收者

配置參數(shù)：MaxRecipientsPerMessage

參數(shù)描述：如果設(shè)定了的話，每封郵件只能同時(shí)抄送給指定數(shù)量的收信人。超過此數(shù)目就會返回一個(gè)452的錯(cuò)誤代碼。4.隊(duì)列平均負(fù)荷

配置參數(shù)：QueueLA

參數(shù)描述：單一隊(duì)列時(shí)的平均負(fù)荷。根據(jù)CPU的數(shù)量適當(dāng)設(shè)定（8*CPU數(shù)量）Sendmail安全配置5.平均負(fù)荷拒絕臨界點(diǎn)

配置參數(shù)：RefuseLA

參數(shù)描述：一旦平均負(fù)荷超過此臨界點(diǎn)，所有Incoming的SMTP連接均拒絕。

默認(rèn)值：可變的

推薦值：8*CPU數(shù)量

6.最大的守護(hù)進(jìn)程的子進(jìn)程數(shù)7.最大的報(bào)頭長度

8.最大MIME編碼報(bào)文長度

9.自動重建別名

Sendmail安全配置設(shè)置smtp身份驗(yàn)證及時(shí)更新安裝最新版本的SendmailTcp_wrapperTcp_wrapper在inetd接到客戶請求時(shí)啟動，具有存取管理啟動目標(biāo)服務(wù)器的程序功能。Tcpd啟動時(shí)，讀取文件/etc/hosts.allow及/etc/hosts.deny。/etc/hosts.allow：允許服務(wù)的主機(jī)/etc/hosts.deny：禁止服務(wù)的主機(jī)Tcp_wrapperHosts.allow文件格式<Daemon_list>：<host_list>：<command> Daemon_list：表示允許服務(wù)的監(jiān)控程序名，可以有多個(gè)，用逗號隔開。Host_list：允許服務(wù)的主機(jī)名或IP，可以用通配符。Command：allow或denyTcp_wrapperHosts.deny文件格式<Daemon_list>：<host_list> Daemon_list：表示禁止服務(wù)的監(jiān)控程序名，可以有多個(gè)，用逗號隔開。Host_list：禁止服務(wù)的主機(jī)名或IP，可以用通配符。Hosts.deny缺省設(shè)置ALL:ALL表示除hosts.allow中允許的主機(jī)外都禁止。一般無須改變。Tcp_wrapperTcpd解釋設(shè)置文件方式如果為用hosts.allow允許的主機(jī)則充許。如果為用hosts.deny禁止的主機(jī)則禁止。兩種文件均無描述的主機(jī)，則允許。Tcp_wrapper示例1為服務(wù)器，管理員使用的客戶主機(jī)為，使管理員客戶機(jī)全部處于允許狀態(tài)，其它主機(jī)都禁止訪問該服務(wù)器。Hosts.allow設(shè)置：ALL：:allowHosts.deny設(shè)置成： ALL:ALLTcp_wrapper示例2為服務(wù)器，使所有192.168.0.*網(wǎng)段的主機(jī)可以FTP服務(wù)器，其它主機(jī)都禁止訪問該服務(wù)器。Hosts.allow設(shè)置：Wu.ftpd：192.168.0.:allowHosts.deny設(shè)置成： ALL:ALLUNIX系統(tǒng)安全配置UNIX系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測和維護(hù)Unix異常監(jiān)控異常的系統(tǒng)資源占用CPUtop,wDiskdf,duNetnetstat,snoop系統(tǒng)異常事件異常進(jìn)程Ps異常端口和網(wǎng)絡(luò)活動Lsof異常用戶活動w,last應(yīng)用程序變更login,su,ls配置文件或設(shè)備變動系統(tǒng)日志察看MessageSyslogLastlogShellhistory應(yīng)用程序日志其它相關(guān)網(wǎng)站UNIX系統(tǒng)安全UNIX系統(tǒng)發(fā)展歷史為什么介紹UNIX系統(tǒng)安全UNIX系統(tǒng)的啟動過程UNIX系統(tǒng)基礎(chǔ)UNIX系統(tǒng)