1、Linux操作系統(tǒng)實用教程,第10章Linux系統(tǒng)安全 10.1 常見的攻擊類型 10.2 Linux日志管理 10.3 Linux用戶安全 10.4 訪問控制與身份認(rèn)證 10.5 Linux網(wǎng)絡(luò)服務(wù)安全,第10章Linux系統(tǒng)安全,本章概述 Linux操作系統(tǒng)以安全性和穩(wěn)定性著稱，許多大型門戶網(wǎng)站都以Linux作為服務(wù)器操作系統(tǒng)。然而隨著黑客攻擊技術(shù)的發(fā)展，系統(tǒng)安全防范工作仍然需要系統(tǒng)管理員的高度重視。在本章，首先介紹了幾種常見的攻擊類型以及Linux系統(tǒng)中幫助管理員發(fā)現(xiàn)攻擊的重要工具系統(tǒng)日志的管理，然后闡述了Linux系統(tǒng)的賬號安全、網(wǎng)絡(luò)安全等，并講述如何使用snort進行入侵檢測。,10

2、.1 常見的攻擊類型,常見的攻擊方式包括端口掃描、嗅探、種植木馬、傳播病毒等。 1. 端口掃描 在網(wǎng)絡(luò)技術(shù)中，端口（Port）通常有兩種含義，一是物理意義上的端口，即調(diào)制解調(diào)器、網(wǎng)絡(luò)集線器、交換機、路由器中用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等；二是邏輯意義上的端口，即指TCP/IP協(xié)議中的端口，用于承載特定的網(wǎng)絡(luò)服務(wù)，其編號的范圍為065535，例如，用于承載Web服務(wù)的是80端口，用于承載FTP服務(wù)的是21端口和20端口等。在網(wǎng)絡(luò)技術(shù)中，每個端口承載的網(wǎng)絡(luò)服務(wù)是特定的，因此可以根據(jù)端口的開放情況來判斷當(dāng)前系統(tǒng)中開啟的服務(wù)。,10.1 常見的攻擊類型,掃描器就是通過依次試探

3、遠(yuǎn)程主機TCP端口，獲取目標(biāo)主機的響應(yīng)，并記錄目標(biāo)主機的響應(yīng)。根據(jù)這些響應(yīng)的信息可以搜集到很多關(guān)于目標(biāo)主機的有用信息，包括該主機是否支持匿名登錄以及提供某種服務(wù)的軟件包的版本等。這些信息可以直接或間接地幫助攻擊者了解目標(biāo)主機可能存在的安全問題。 端口掃描器并不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序，但是它能夠幫助攻擊者發(fā)現(xiàn)目標(biāo)主機的某些內(nèi)在安全問題。目前常用的端口掃描技術(shù)有TCP connect掃描、TCP SYN掃描、TCP FIN掃描、IP段掃描、TCP反向ident掃描以及TCP返回攻擊等。通常掃描器應(yīng)該具備如下的3項功能： 發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力。 發(fā)現(xiàn)遠(yuǎn)程主機后，有獲取該主機正在運行的服務(wù)的

4、能力。 通過測試遠(yuǎn)程主機上正在運行的服務(wù)，發(fā)現(xiàn)漏洞的能力。,10.1 常見的攻擊類型,2. 嗅探 嗅探技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)，攻擊者可以通過嗅探技術(shù)以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息，與主動掃描相比，嗅探更加難以被發(fā)覺，也更加容易操作和實現(xiàn)。對于網(wǎng)絡(luò)管理員來說，借助嗅探技術(shù)可以對網(wǎng)絡(luò)活動進行實時監(jiān)控，發(fā)現(xiàn)網(wǎng)絡(luò)中的各種攻擊行為。 嗅探操作的成功實施是因為以太網(wǎng)的共享式特性決定的。由于以太網(wǎng)是基于廣播方式傳輸數(shù)據(jù)的，所有的物理信號都會被傳送到每一個網(wǎng)絡(luò)主機結(jié)點，而且以太網(wǎng)中的主機網(wǎng)卡允許設(shè)置成混雜接收模式，在這種模式下，無論監(jiān)聽到的數(shù)據(jù)幀的目的地址如何，網(wǎng)卡都可以予以接收。更重要的

5、是，在TCP/IP協(xié)議棧中網(wǎng)絡(luò)信息的傳遞大多是以明文傳輸?shù)?，這些信息中往往包含了大量的敏感信息，比如郵箱、FTP或telnet的賬號和口令等，因此使用嗅探的方法可以獲取這些敏感信息。,10.1 常見的攻擊類型,嗅探器最初是作為網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的工具出現(xiàn)的，它既可以是軟件的，也可以是硬件設(shè)備。軟件嗅探器使用方便，可以針對不同的操作系統(tǒng)使用不同的軟件嗅探器，而且很多軟件嗅探器都是免費的。常用的嗅探器有Tcpdump/Windump、Sniffit、Ettercap和Snarp等。 處于網(wǎng)絡(luò)中的主機，如果發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)了數(shù)據(jù)包丟失率很高或網(wǎng)絡(luò)帶寬長期被網(wǎng)絡(luò)中的某臺主機占用，就應(yīng)該懷疑網(wǎng)絡(luò)中是否存

6、在嗅探器。 3. 木馬 木馬又稱特洛伊木馬，是一種惡意計算機程序，長期駐留在目標(biāo)計算機中，可以隨系統(tǒng)啟動并且秘密開放一個甚至多個數(shù)據(jù)傳輸通道的遠(yuǎn)程控制程序。木馬程序一般由客戶端(Client)和服務(wù)器端(Server)兩部分組成，客戶端也稱為控制端，一般位于入侵者計算機中，服務(wù)器端則一般位于用戶計算機中。木馬本身不帶傷害性，也沒有感染能力，所以木馬不是病毒。,10.1 常見的攻擊類型,木馬通常具有隱蔽性和非授權(quán)性的特點。所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務(wù)端計算機即使發(fā)現(xiàn)感染了木馬，也不能確定其具體位置。所謂非授權(quán)性是指一旦客戶端與服務(wù)端連接后，客戶端

7、將享有服務(wù)端的大部分操作權(quán)限，包括修改文件、修改注冊表、控制鼠標(biāo)、鍵盤等，這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。 入侵者一般使用木馬來監(jiān)視監(jiān)視被入侵者或盜取被入侵者的密碼、敏感數(shù)據(jù)等。 4. 病毒 雖然Linux系統(tǒng)的病毒并不像Windows系統(tǒng)那樣數(shù)量繁多，但是威脅Linux平臺的病毒同樣存在，如Klez、Lion.worm、Morris.worm、Slapper、Scalper、Linux.Svat和BoxPoison病毒等。Linux下的病毒可以如下分類：,10.1 常見的攻擊類型,1）蠕蟲（worm）病毒 1988年Morris蠕蟲爆發(fā)后，Eugene H. Spaffo

8、rd給出了蠕蟲的定義：“計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上”。和其他種類的病毒相比，在Linux平臺下最為猖獗的就是蠕蟲病毒，如利用系統(tǒng)漏洞進行傳播的ramen、lion、Slapper等，都曾給Linux系統(tǒng)用戶造成了巨大的損失。隨著Linux系統(tǒng)應(yīng)用越廣泛，蠕蟲的傳播程度和破壞能力也會隨之增加。 2）可執(zhí)行文件型病毒 可執(zhí)行文件型病毒是指能夠感染可執(zhí)行文件的病毒，如Lindose。這種病毒大部分都只是企圖以感染其他主機程序的方式進行自我復(fù)制。,10.1 常見的攻擊類型,3）腳本病毒 目前出現(xiàn)比較多的是使用shell腳本語言編寫的病毒。此類病毒編寫

9、較為簡單，但是破壞力同樣驚人。而一個十?dāng)?shù)行的shell腳本就可以在短時間內(nèi)遍歷整個硬盤中的所有腳本文件，并進行感染。且此類病毒還具有編寫簡單的特點。 4) 后門程序 后門程序一般是指那些繞過安全性控制而獲取程序或系統(tǒng)訪問權(quán)的程序。在廣義的病毒定義概念中，后門也已經(jīng)納入了病毒的范疇。從增加系統(tǒng)超級用戶賬號的簡單后門，到利用系統(tǒng)服務(wù)加載，共享庫文件注冊，rootkit工具包，甚至裝載內(nèi)核模塊（LKM），Linux平臺下的后門技術(shù)發(fā)展非常成熟，其隱蔽性強，難以清除。,10.2 Linux日志管理 10.2.1 Linux日志系統(tǒng)簡介,在任何操作系統(tǒng)中，日志系統(tǒng)對于系統(tǒng)安全來說都是非常重要的，它記錄了

10、系統(tǒng)每天發(fā)生的各種各樣的事件，包括哪些用戶曾經(jīng)或正在使用系統(tǒng)，可以通過日志來檢查系統(tǒng)和應(yīng)用程序發(fā)生錯誤的原因。日志還能在系統(tǒng)受到黑客攻擊后，記錄下攻擊者留下的痕跡，通過這些痕跡，系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的手段及特點，從而能夠進行相應(yīng)的處理，為抵御下一次攻擊做好準(zhǔn)備。日志主要的功能有審計和監(jiān)測，另外，利用日志還可以實時監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等。 10.2.1 Linux日志系統(tǒng)簡介 在Linux系統(tǒng)中利用日志可以審計和檢測系統(tǒng)出現(xiàn)的錯誤，偵查和追蹤入侵，并協(xié)助系統(tǒng)進行恢復(fù)和排除故障。在RedHat Linux 9系統(tǒng)中，日志功能通常是由syslog（對應(yīng)syslogd守護進程）和klo

11、g（對應(yīng)klogd守護進程）日志系統(tǒng)來完成，syslog記錄常規(guī)系統(tǒng)日志，而klog是針對內(nèi)核活動的日志。,10.2 Linux日志管理 10.2.1 Linux日志系統(tǒng)簡介,Linux日志是按照類別保存在日志文件中的，一般保存在/var/log目錄下，絕大部分只有系統(tǒng)管理員才能夠查看。 如下表列出了/var/log目錄下的日志文件及其功能，其中“*”表示通配符。,/var/log目錄下的日志文件及其功能,10.2 Linux日志管理 10.2.1 Linux日志系統(tǒng)簡介,這些日志文件可以分為3類： 1）連接時間日志 由多個程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/u

12、tmp中，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄了到系統(tǒng)。,10.2 Linux日志管理 10.2.1 Linux日志系統(tǒng)簡介,2）進程統(tǒng)計 由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件（pacct或acct，分別位于/usr/adm/pactt和/usr/lib/acct/startup）中寫一個紀(jì)錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。 3）錯誤日志 由syslogd（8）守護進程執(zhí)行，各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslogd（8）守護進程向文件/var/log/messages報告值得注意的事件。,10.2 L

13、inux日志管理 10.2.2 配置系統(tǒng)日志,10.2.2 配置系統(tǒng)日志 幾乎所有的類UNIX系統(tǒng)（如Linux）系統(tǒng)都采用syslog進行系統(tǒng)日志的管理與配置。任何程序可以通過syslog記錄事件，并且可以將記錄的系統(tǒng)事件寫入到一個文件或設(shè)備，或給用戶發(fā)送一個郵件。 syslog有兩個重要的文件，一個是守護進程/sbin/syslogd，另一個是syslogd的配置文件/etc/ /syslog.conf。通常多數(shù)的syslog信息被寫到/var/log目錄下的日志文件message.*中。一個典型的syslog.conf記錄包括生成日志的程序名稱、日志的設(shè)備名、日志的優(yōu)先等級以及一段文本信

14、息。 1. 啟動syslog日志進程 啟動syslog日志守護進程syslogd的命令格式如下： /sbin/syslogd 選項,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,該命令常用的參數(shù)及含義如下表所示。,syslogd命令參數(shù)及含義,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,重啟syslogd日志守護進程，可以在終端提示符下輸入如下的命令： rootmyhost root# service syslogd restart 或 rootmyhost root# kill -HUP cat /var/run/syslogd.pid 說明：在該命令中，/var/

15、run/syslogd.pid文件存放了當(dāng)前syslogd守護進程的pid，整個命令的執(zhí)行步驟是，先使用cat /var/run/syslogd.pid獲取當(dāng)前系統(tǒng)的syslogd守護進程的pid，然后使用kill命令傳遞-HUP信號給該pid指定的進程，對其進行重啟操作。,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,2. syslogd的主配置文件 系統(tǒng)日志syslog的主配置文件是/etc/syslog.conf。syslog記錄的內(nèi)容及其記錄存放的日志文件由該文件指定，可以通過修改syslog.conf文件的方法來配置syslogd。該文件的基本語法格式如下： 設(shè)備(fac

16、ility).優(yōu)先級(priority)動作 1）日志設(shè)備facility 日志設(shè)備facility表示日志消息的來源，指明了發(fā)出消息的設(shè)備或程序，主要設(shè)備及說明如下表所示。,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,syslog常用的日志設(shè)備及說明,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,2）優(yōu)先級priority 日志優(yōu)先級priority表明日志消息的緊急程度。如果在syslog.conf文件中的一行出現(xiàn)多對“設(shè)備.優(yōu)先級”，各項之間使用分號隔開。syslog日志系統(tǒng)中常用的日志優(yōu)先級如下表所示，其中緊急程度由上到下逐級遞減。,syslog常用的日志優(yōu)先

17、級,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,其中緊急程度遵循向上匹配的原則。例如，“err”優(yōu)先級表示所有高于或等于err等級的日志消息都將被處理，即所處理的日志消息包括“err”、“crit”、“alert”和“emerge”等級的消息。如果只希望精確匹配某個確定的緊急程序，而不使用向上匹配原則，則需要使用等號進行設(shè)定。例如，“kern.=alert”表示只對內(nèi)核產(chǎn)生的alert日志信息進行處理。 在syslog.conf文件的配置行中，也支持通配符“*”和“none”，其中“*”表示匹配全部，“none”表示全部忽略。例如，記錄守護進程產(chǎn)生的所有日志消息可以使用“daem

18、on.*”，而忽略內(nèi)核產(chǎn)生的所有日志消息則可以使用“kern.none”。 3）動作 syslog.conf文件配置行中的動作，用于設(shè)定syslogd如何處理對應(yīng)的日志消息。處理的辦法，可以設(shè)定將日志信息寫入文件或顯示到終端設(shè)備上，或者通過郵件直接發(fā)送給指定的用戶，或者發(fā)送到另一臺遠(yuǎn)程主機的syslog系統(tǒng)。,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,syslogd可使用的動作及說明如下表所示。,syslogd常用的動作及說明,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,4）syslog.conf文件的默認(rèn)設(shè)置 /etc/syslog.conf文件的默認(rèn)設(shè)置如下圖

19、所示。,syslog.conf默認(rèn)設(shè)置,其中，行“*.info;mail.none;authpriv.none;cron.none /var/log/messages”表示匹配mail、authpriv、cron等多個設(shè)備。,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,3. 配置syslogd 例如，將一般性的日志消息保存到/var/log/messages文件中，但不包括郵件、新聞組、本地安全認(rèn)證、守護進程以及cron程序產(chǎn)生的日志消息，可以配置如下圖所示的行。,配置messages文件日志內(nèi)容,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,又如將與打印機相關(guān)的日志

20、信息發(fā)送到主機上，由該主機的syslog日志系統(tǒng)記錄，可以配置如下圖所示的行。,配置打印機日志,注意：syslog.conf文件修改后，需要重啟syslogd守護進程才能應(yīng)用新的配置。,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,4. 測試syslog.conf文件 syslog.conf文件修改后，使用者按照syslog.conf文件中的設(shè)置，使用logger命令發(fā)出指定類型的日志消息，檢測配置文件是否正確。logger命令的格式如下： logger 選項 msg 該命令常用的參數(shù)及含義如下表所示。,logger常用的參數(shù)及含義,10.2 Linux日志管理 10.2.2 配置

21、系統(tǒng)日志,例10-1 測試syslog.conf文件中“*.emerg*”部分。 在終端提示符下使用下的命令。 rootmyhost root# logger -p kern.emerg “this is syslog.conf test” 命令返回如下圖所示的結(jié)果。,logger發(fā)送日志消息,10.2 Linux日志管理 10.2.2 配置系統(tǒng)日志,5. 清空日志文件 隨著系統(tǒng)的運行時間不斷延長，日志文件也會越來越大，從而消耗大量磁盤空間。如果通過先刪除已有的日志文件，再重建同名日志文件的方法來清空日志，就需要先停止創(chuàng)建日志文件的服務(wù)進程，從而可能導(dǎo)致服務(wù)進程出錯。此時，可以通過echo命令

22、在不必停止服務(wù)進程的情況下清空日志文件。具體的方法是在終端提示符選下輸入如下命令： rootmyhost root# echo “” log_file 其中l(wèi)og_file代表需要清空的日志文件。例如，要清空日志文件/var/log/messages，可以使用如下命令： rootmyhost root# echo “” /var/log/messages,10.2 Linux日志管理 10.2.3日志系統(tǒng),10.2.3日志系統(tǒng) Red Hat Linux 9系統(tǒng)中提供了查看日志的命令行工具和圖形工具，用戶可以使用這些工具查看Linux的系統(tǒng)日志。 1使用命令查看日志 /var/log/boot

23、.log文件記錄了與啟動和終止守護進程相關(guān)的信息。/var/log/messages文件記錄了系統(tǒng)除郵件、新聞組、本地安全認(rèn)證、守護進程以及cron程序日志以外幾乎全部的日志信息。這些日志文件時使用文本方式記錄的，所以可以使用查看文本文件的工具來查看，如cat、more、tail和less等。,10.2 Linux日志管理 10.2.3日志系統(tǒng),下圖為使用tail命令查看messages日志的結(jié)果。,messages日志內(nèi)容,在messages日志文件中，每行記錄一個日志事件，每個事件包括如下的字段： 時間標(biāo)簽：表示消息發(fā)出的日期和時間。,10.2 Linux日志管理 10.2.3日志系統(tǒng),主

24、機名：表示生成消息的計算機的名字。如果只有一臺計算機，主機名就可能沒有必要了，但是，如果在網(wǎng)絡(luò)環(huán)境中使用syslog，那么可以把不同主機的日志消息發(fā)送到一臺服務(wù)器上集中處理。 生成消息的子系統(tǒng)的名字：可以是“kernel”，表示消息來自內(nèi)核，或者是進程的名字，表示發(fā)出消息的程序的名字。 消息：即是日志內(nèi)容。 utmp和wtmp日志文件是多數(shù)Linux日志系統(tǒng)的關(guān)鍵文件，它保存了用戶登錄和注銷的記錄。有關(guān)當(dāng)前登錄用戶的信息記錄在utmp文件中，登錄、注銷、數(shù)據(jù)交換、關(guān)機以及重啟等信息都記錄在wtmp文件中。所有的記錄都包含時間戳（即文件的創(chuàng)建、修改和訪問時間）。在Linux系統(tǒng)中wtmp和utm

25、p是二進制文件，可以使用last命令來查看wtmp文件內(nèi)容。其使用格式如下： last 選項,10.2 Linux日志管理 10.2.3日志系統(tǒng),該命令常用的參數(shù)及含義如下表所示。,last命令參數(shù)及含義,10.2 Linux日志管理 10.2.3日志系統(tǒng),例10-2 查看root近期登錄的信息。 在終端提示符下執(zhí)行如下的命令： rootmyhost root# last -10 root 結(jié)果如下圖所示,last命令使用,10.2 Linux日志管理 10.2.3日志系統(tǒng),last命令查看的wtmp文件內(nèi)容包括登錄用戶名、登錄的終端、產(chǎn)生日志的主機網(wǎng)絡(luò)地址、日志產(chǎn)生的時間、當(dāng)前用戶狀態(tài)和時間

26、戳6個字段。 who命令默認(rèn)時報告當(dāng)前登錄的每個用戶，查看的是utmp文件的信息，但也可以指明查看wtmp文件的信息。如下圖所示為使用who命令查詢utmp文件并報告當(dāng)前登錄的用戶信息，默認(rèn)輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機。,who查看utmp文件,10.2 Linux日志管理 10.2.3日志系統(tǒng),who命令還可以通過指定文件名的方法來查看wtmp日志文件的信息，如下圖所示。,who查看wtmp文件,10.2 Linux日志管理 10.2.3日志系統(tǒng),日志文件/var/log/dmesg存放了系統(tǒng)啟動時內(nèi)核產(chǎn)生的日志，記錄了內(nèi)核對硬件的配置過程。首先從BIOS開始，然后依次查找C

27、PU、硬盤驅(qū)動器、PCI設(shè)備和通信端口，接下來啟動分區(qū)上的文件系統(tǒng)，最后配置鍵盤和鼠標(biāo)等其他設(shè)備。使用dmesg命令可以查看該文件的信息，如右圖所示。 從上圖可以看出在主機使用的內(nèi)存容量為516MB，如果該機器實際安裝的內(nèi)存大于516MB，則可以從該日志中判斷多余的內(nèi)存沒有被Linux系統(tǒng)識別。,dmesg日志,10.2 Linux日志管理 10.2.3日志系統(tǒng),2圖形工具查看日志 在Red Hat Linux 9中提供了“系統(tǒng)日志”圖形工具，用于查看系統(tǒng)日志，這些日志包括引導(dǎo)日志、Cron日志、內(nèi)核啟動日志等。單擊“主菜單”“系統(tǒng)工具”“系統(tǒng)日志”菜單項，或在終端提示符下執(zhí)行命令redhat

28、-logviewer，都可以打開如下圖所示的窗口。,“系統(tǒng)日志”窗口,10.2 Linux日志管理 10.2.3日志系統(tǒng),可以在該窗口中的“過濾”文本框中輸入關(guān)鍵字，然后單擊“過濾器”按鈕，來過濾日志文件中的內(nèi)容。單擊“重設(shè)”按鈕，可以重新指定過慮關(guān)鍵字。 默認(rèn)情況下，當(dāng)前日志文件每隔30秒刷新一次，可以單擊“文件”“立即刷新”菜單項，則可以立即刷新當(dāng)前屏幕上的顯示信息。單擊“編輯”“首選項”菜單項，彈出如下圖所示的“首選項”對話框，切換到“日志文件”選項卡，點擊“刷新頻率”的微調(diào)按鈕可以調(diào)整日志文件的顯示刷新率。,10.2 Linux日志管理 10.2.3日志系統(tǒng),如果希望指定所要查找的日志

29、文件的位置，可以在列表中選擇對應(yīng)的行，然后選擇“改變位置”按鈕，在出現(xiàn)的“日志文件位置”對話框中，輸入日志文件的新位置，或單擊“瀏覽”按鈕，從彈出的“選擇日志文件”對話框中選擇日志文件，即可改變?nèi)罩疚募奈恢谩?“首選項”對話框,10.3 Linux用戶安全 10.3.1 Linux賬號安全,Linux的用戶安全包括賬號安全和口令安全兩個部分。 10.3.1 Linux賬號安全 1. 刪除多余賬號 在Linux系統(tǒng)中默認(rèn)添加的各種賬號中，有很多是無用的，或者有部分賬號因為沒有啟動該服務(wù)而成為多余賬號，例如，如果不使用ssh服務(wù)器，那么sshd賬號就是多余賬號，如果不使用匿名的ftp服務(wù)，那么賬

30、號ftp即為多余。賬號越多，系統(tǒng)越容易受到攻擊。系統(tǒng)管理員應(yīng)該在第一次使用系統(tǒng)時檢查并刪除不需要的賬號。 在終端提示符下使用如下的命令即可刪除多余的賬號。 rootmyhost root# userdel mail 如果沒有使用sendmail服務(wù)器，刪除該用戶 在沒有開啟相應(yīng)的服務(wù)的時候，如下的賬號都可以刪除：adm、lp、sync、halt、mail、mailnull、games、news、sshd、gopher、uucp、ftp、operator、named等。,10.3 Linux用戶安全 10.3.1 Linux賬號安全,2. root賬號安全 在Linux系統(tǒng)中，所有的管理功能都能

31、由root賬號完成的，它是系統(tǒng)的超級用戶。root賬號能對系統(tǒng)的所有資源做最大限度的調(diào)整，還可以直接允許或禁用單個用戶、一部分用戶或所有用戶對系統(tǒng)的訪問。root賬號還可以控制用戶的訪問權(quán)限以及用戶存放文件的位置，可以控制用戶能夠訪問的哪些系統(tǒng)資源，因此不能把root賬號當(dāng)作普通用戶來使用。 在Linux系統(tǒng)中的/etc/securetty文件中包含了一組能夠以root賬號登錄的終端名稱。該文件的初始值僅允許本地虛擬控制臺可以使用root登錄，而不允許遠(yuǎn)程用戶以root賬號登錄。雖然可以通過修改該文件的方法，允許root賬號從遠(yuǎn)程主機登錄，但是不建議這樣做。而是先使用普通賬號從遠(yuǎn)程登錄Linu

32、x主機，然后再使用su命令升級為超級用戶，當(dāng)root賬號使用完畢后，再使用exit命令注銷。如果需要授權(quán)其他用戶以root身份運行某些命令時可以使用sudo命令。,10.3 Linux用戶安全 10.3.1 Linux賬號安全,該命令使用的基本格式如下： sudo 其中command_line為需要以root身份運行的命令行。在執(zhí)行sudo授權(quán)時需要當(dāng)前用戶輸入其口令，如下圖所示。,sudo用法,10.3 Linux用戶安全 10.3.1 Linux賬號安全,需要注意的是，如果用戶在離開時忘記從系統(tǒng)中注銷，特別是root賬號離開時忘記注銷，會給系統(tǒng)帶來不可預(yù)知的隱患。Linux系統(tǒng)可以控制系統(tǒng)

33、在空閑時自動從shell中注銷，/etc/profile文件中的“timeout”變量即為空閑的超時時間，例如： timeout = 600 表示用戶在600秒內(nèi)無操作后將自動注銷。 3. 用戶信息文件安全 在Linux系統(tǒng)中，用戶的信息都被保存在/etc/passwd和/etc/shadow文件中，用戶組的信息保存在/etc/group和/etc/gshadow文件中。為了防止攻擊者偷窺用戶和組信息，應(yīng)該按如下方式設(shè)置這些文件的訪問權(quán)限：,10.3 Linux用戶安全 10.3.1 Linux賬號安全,rootmyhost root# chmod 600 /etc/passwd rootmy

34、host root# chmod 600 /etc/shadow rootmyhost root# chmod 600 /etc/group rootmyhost root# chmod 600 /etc/gshadow 為了防止非授權(quán)用戶通過修改用戶信息文件和用戶組文件修改用戶口令和組群資料，可以給這些文件添加不可更改的屬性，這時可使用chattr命令，其格式如下： chattr mode -R file_name 其中，參數(shù)-R表示遞歸設(shè)置目錄中所有文件的屬性。mode是文件的屬性，可以使用“+”表示添加某種屬性，“-”表示取消某種屬性，“=”表示具有某種屬性。,10.3 Linux用戶安

35、全 10.3.1 Linux賬號安全,其可以設(shè)置的屬性如下表所示。,chattr常用的文件屬性,10.3 Linux用戶安全 10.3.1 Linux賬號安全,例如，在終端提示符下輸入如下的命令可以設(shè)置/etd/passwd文件、/etc/shadow文件、/etc/group文件和/etc/gshadow文件的不可修改屬性。 rootmyhost root# chattr +i /etc/passwd rootmyhost root# chattr +i /etc/shadow rootmyhost root# chattr +i /etc/group rootmyhost root# ch

36、attr +i /etc/gshadow 4. 關(guān)于setuid屬性 在Linux系統(tǒng)中，一些應(yīng)用程序被設(shè)置了setuid屬性。這些程序在運行時，能有效地將當(dāng)前執(zhí)行該程序的用戶的uid改變成應(yīng)用程序所有者的uid，使得應(yīng)用程序進程在很大程度上擁有該程序所有者的特權(quán)。如果被設(shè)置了setuid屬性的應(yīng)用程序歸root所有，那么該進程在運行時就會自動擁有超級用戶的特權(quán)，即使該進程不是root用戶啟動的，如/usr/bin/passwd程序。,10.3 Linux用戶安全 10.3.1 Linux賬號安全,由于具有setuid屬性的程序在運行時能夠擁有root賬號，會給系統(tǒng)帶來一定的安全隱患，因此應(yīng)該

37、盡可能減少應(yīng)用程序設(shè)置setuid屬性。做到除非必要，否則盡量不要給應(yīng)用程序設(shè)置setuid屬性。系統(tǒng)管理員，可以使用find命令查找系統(tǒng)中所有被設(shè)置了setuid屬性的應(yīng)用程序。在終端提示符下，輸入如下的find命令，搜索結(jié)果如右圖所示。 rootmyhost root# find / -perm -4000 對于非必要的被設(shè)置了setuid屬性的應(yīng)用程序，可以在終端提示符下使用chmod命令將其除去，例如除去/usr/bin/rcp程序setuid屬性的命令如下： rootmyhost root# chmod -s /usr/bin/rcp,設(shè)置了setuid屬性的應(yīng)用程序,10.3 Li

38、nux用戶安全 10.3.2 用戶口令安全,10.3.2 用戶口令安全 口令是Linux系統(tǒng)對用戶進行認(rèn)證的主要手段，口令安全是Linux系統(tǒng)安全的基石。不幸的是，用戶往往對自己的口令安全沒有足夠的重視。一個簡單、易破解的口令就等于向?qū)粽叱ㄩ_系統(tǒng)的大門，攻擊者一旦獲得重要賬號的口令，就能夠長驅(qū)直入。 通常入侵者可以使用John等自動化的工具軟件多次嘗試登錄系統(tǒng)，簡單的口令很容易被破解。一個健壯性高的口令應(yīng)該具備以下特點：不包含個人信息，不存在鍵盤順序規(guī)律，不使用字典中的單詞，最好包含非字母符號，長度不小于8位，同時還用方便記憶。一個比較使用的辦法就是：先記住一句話，然后將這句話的第一個字母

39、取出，在將標(biāo)點符號加在字母的序列中，前后還可以加幾個數(shù)字，同時可以在口令中混用大小寫，例如：本教材名為Linux操作系統(tǒng)實用教程，可以寫成口令“51”，這便是一個健壯的口令。,10.3 Linux用戶安全 10.3.2 用戶口令安全,在Linux系統(tǒng)中，大多數(shù)版本的passwd程序都可以設(shè)置一定的規(guī)范來定義用戶口令，例如要求用戶設(shè)置的口令不得少于8個字符，還可以限定用戶口令使用的時間，保證定期更改口令等。編輯系統(tǒng)登錄文件/etc/login.defs可以實現(xiàn)上述目標(biāo)。該文件中有如下的行： PASS_MAX_DAYS 99999 口令使用的最長時間 PASS_MIN_DAYS 0口令使用的最短時

40、間，0表示不限 PASS_MIN_LEN 8口令的最小長度 PASS_WARN_AGE 7在口令過期前多少天給出警告,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,訪問控制和身份認(rèn)證是計算機系統(tǒng)安全的兩個重要的方面。訪問控制用于判定網(wǎng)絡(luò)中允許訪問主機資源的是不是合法的網(wǎng)絡(luò)段的主機，身份認(rèn)證用于判定訪問主機資源的用戶是否為合法的系統(tǒng)用戶。 10.4.1 TCP Wrappers 在Red Hat Linux 9操作系統(tǒng)中TCP Wrappers是用于實現(xiàn)訪問控制的一個重要的組件,可以控制基于網(wǎng)絡(luò)地址對主機的某些網(wǎng)絡(luò)服務(wù)的訪問，這些服務(wù)包括xinetd、vsFTP、teln

41、et等。如果系統(tǒng)支持TCP Wrappers實現(xiàn)訪問控制，可以在/usr/lib/目錄下找到libwrap.so.0.x.x模塊。,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,1. TCP Wrappers的功能 TCP Wrappers是一個輕量級的保護程序，它提供了一個守護進程/usr/sbin/tcpd。TCP Wrappers安裝和使用的時候并不需要對現(xiàn)有的應(yīng)用軟件進行任何的改動，運行后會自動檢查所請求的服務(wù)和相應(yīng)的客戶端進行安全驗證，在整個過程中，不會與客戶端和服務(wù)器交換信息及建立連接。常見的支持TCP Wrappers的網(wǎng)絡(luò)服務(wù)程序有/usr/sbin/s

42、shd、/usr/sbin/sendmail和/usr/sbin/xinetd等。 2. TCP Wrappers的配置 TCP Wrappers的配置包括開啟服務(wù)進程都TCP Wrappers的支持和設(shè)定訪問控制策略。例如，可以在vsFTP服務(wù)的配置文件/etc/vsftpd/vsftpd.conf中有如下的配置行，用于決定是否開啟vsftpd對TCP Wrappers的支持： tcp_wrappers=YES取值YES表示支持TCP Wrappers；NO表示不支持,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,TCP Wrappers會在正常的服務(wù)程序之外加一個應(yīng)

43、答請求、建立連接之前檢查遠(yuǎn)程主機名稱和用戶等信息，查看是否符合預(yù)先的設(shè)定。在Linux系統(tǒng)的/etc/目錄中有hosts.allow和hosts.deny文件，用于保存TCP Wrappers基于主機地址的訪問控制策略。其中，hosts.allow用于保存允許訪問的策略；hosts.deny用于保存拒絕訪問的策略。 hosts.allow和hosts.deny文件擁有相同的語法，一行代表對一個服務(wù)的訪問控制策略，每一行的前兩個字段是必須有的，動作字段是可以可選的，具體語法如下： 服務(wù)程序列表：客戶機地址列表：動作,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,其中，“服

44、務(wù)程序列表”字段表示使用訪問控制的服務(wù)程序，可能的取值及含義如下表所示。,服務(wù)程序列表取值及含義,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,“客戶機地址列表”字段指明了拒絕或允許訪問服務(wù)的客戶機的IP地址或主機名等，其可能的取值及含義如下表所示。,客戶機地址列表取值及含義,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,“動作”字段表示允許或拒絕客戶機訪問?？蛇x取值及含義如下表所示。,動作字段取值及含義,對于hosts.allow文件和hosts.deny文件，tcpd守護進程首先解析/etc/hosts.allow文件，如果發(fā)現(xiàn)第一個匹配規(guī)則

45、后退出，并且不再解析hosts.deny，否則接著解析/etc/hosts.deny，找到第一個匹配規(guī)則后退出。如果在這兩個文件中都沒有找到匹配的規(guī)則，或這兩個文件都不存在，那么就授予訪問這項服務(wù)的權(quán)限。,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,TCP Wrappers并不緩存主機訪問文件中的規(guī)則，因此對hosts.allow或hosts.deny的配置改變都無需重新啟動網(wǎng)絡(luò)服務(wù)便會馬上起作用。 例10-3 配置TCP Wrappers，完成以下的訪問控制功能： （1）使用TCP Wrappers對vsftpd服務(wù)和telnet服務(wù)進行基于主機的訪問控制，vsft

46、pd服務(wù)器和telnet服務(wù)器所在主機的地址為“28”； （2）對于vsftpd服務(wù)只允許IP地址為“00”至“99”的主機進行訪問； （3）由于telnet服務(wù)不安全，因此只允許IP地址為“22”的客戶機訪問。,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,首先在hosts.allow文件中添加如下圖的語句，允許telnetd從22客戶機訪問，允許vsftpd從0099客戶機訪問。,添加hosts.allow文件內(nèi)容

47、,10.4 訪問控制與身份認(rèn)證 10.4.1 TCP Wrappers,這里使用了通配符“?”，然后在hosts.deny文件中添加如下圖所示的語句，禁止其他所有客戶機訪問telnet和vsftpd服務(wù)。,添加hosts.deny文件內(nèi)容,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,10.4.2 PAM身份驗證 在Linux系統(tǒng)中，用戶訪問系統(tǒng)資源時除了要通過訪問控制程序?qū)h(yuǎn)程登錄的客戶機的檢驗，還要通過用戶身份認(rèn)證系統(tǒng)的檢查?？刹迦胝J(rèn)證模塊（Pluggable Authentication Modules，PAM）主要用于應(yīng)用程序的統(tǒng)一身份驗證方式。 1. PAM概述 使用P

48、AM系統(tǒng)管理員可以在不重新編譯具體的身份認(rèn)證程序的情況下，使用程序提供的新的身份認(rèn)證方式。絕大多數(shù)Linux用戶無需了解PAM的配置，因為當(dāng)用戶安裝的應(yīng)用程序需要使用身份認(rèn)證時，系統(tǒng)會自動為用戶修改PAM的配置文件。但是，如果用戶需要定制自己的身份認(rèn)證方法，就需要自己配置PAM了。,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,在RedHat Linux 9中默認(rèn)PAM的配置文件放置在的/etc/pam.d目錄下。該目錄下每一個文件就是同名應(yīng)用程序的PAM認(rèn)證配置文件，如下圖所示。,PAM配置文件,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,2. PAM配置文件語

49、法 在PAM中，每個服務(wù)程序的配置文件使用的語法相同，如下圖所示，“#”所在的行為注釋行。,pam配置文件語法,每個使用PAM應(yīng)用程序的配置文件都包括如下幾個字段，每個字段之間使用Tab制表位或空格分割。 PAM模塊控制符 模塊路徑 可選參數(shù),10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,1）PAM模塊 在PAM標(biāo)準(zhǔn)中定義了4種類型的模塊，分別是auth、account、password和session模塊，其具體含義如下表所示。,PAM模塊,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,由于每一類模塊都可能存在多個可用用戶選擇，因此在實際的使用中，同一類型的模塊是

50、可以重疊的，即可能出現(xiàn)相同類型的多個模塊。PAM也允許用戶隨時添加新的認(rèn)證模塊，支持PAM的應(yīng)用程序都可以使用這些模塊。 2）控制符 控制符通常用于決定每個模塊的重要程度。模塊可以被重疊（同種類型的模塊按先后順序執(zhí)行），這些模塊的執(zhí)行順序就是它們在相應(yīng)配置文件中給出的記錄的順序，排在前面的記錄在排在后的記錄之前被執(zhí)行。,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,控制符的可選值表示了相關(guān)模塊的重要程度，其有required、requisite、sufficient和optional 4個關(guān)鍵字，含義如下表所示。,PAM控制符,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身

51、份驗證,3）模塊路徑 模塊路徑字段可以是可動態(tài)加載的目標(biāo)模塊的文件路徑，也即是可插入式模塊本身的路徑。如果路徑的首字符是“/”，那它被作為一個絕對路徑，否則即為相對于默認(rèn)路徑/lib/security的相對路徑。pam需要使用適當(dāng)?shù)哪K來支持不同的認(rèn)證方式，模塊路徑就是指明這些模塊的位置。 4）可選參數(shù) 可選參數(shù)是一組傳給模塊的參數(shù)。通常，合法的參數(shù)是模塊特有的。無效的參數(shù)會被模塊忽略，相應(yīng)的模塊會將錯誤信息寫到syslog日志系統(tǒng)?？蛇x參數(shù)的常用取值如下表所示。,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,PAM可選參數(shù),10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份

52、驗證,3. PAM配置實例 在PAM的配置文件目錄/etc/pam.d下存放了一個other文件，該文件用于規(guī)定系統(tǒng)默認(rèn)的身份認(rèn)證規(guī)則。其內(nèi)容如下圖所示。,PAM的默認(rèn)配置,10.4 訪問控制與身份認(rèn)證 10.4.2 PAM身份驗證,其中使用了pam_deny.so模塊，但是該模塊在對用戶進行身份驗證是，不會記錄任何信息，這樣，管理員可能無法及時獲取系統(tǒng)的出錯信息。為此可以在/etc/pam.d/other文件中添加相應(yīng)的行，以確保當(dāng)身份認(rèn)證出錯時能夠及時將出錯信息送往日志系統(tǒng)，如下圖所示。,設(shè)置PAM的默認(rèn)配置,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.1 xinetd安全,在Linux中

53、，網(wǎng)絡(luò)服務(wù)安全包括xinetd、iptables等網(wǎng)絡(luò)服務(wù)安全以及snort入侵檢測的使用。 10.5.1 xinetd安全 xinetd超級服務(wù)器是在Linux等類UNIX系統(tǒng)中普遍使用，用于管理多種輕量級Internet服務(wù)器。如telnet、talk等。xinetd服務(wù)器的安全關(guān)系多種網(wǎng)絡(luò)服務(wù)的安全。 1. 使用配置文件增強xinetd安全 在xinetd的配置文件/etc/xinetd.conf和/etc/xinetd.d/*中，可以使用相應(yīng)的配置行，使用訪問控制以及系統(tǒng)的日志功能。其中xinetd.conf文件是全局配置，對所有基于xinetd守護進程的Internet服務(wù)器都有效，

54、而/etc/xinetd.d/目錄下的配置是對具體服務(wù)器的配置。,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.1 xinetd安全,下面以telnet服務(wù)器為例進行講解，如下圖所示為telnet配置文件。,xinetd服務(wù)安全,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.1 xinetd安全,其中，系統(tǒng)默認(rèn)的telnet配置語句如下，下面是各語句行的解釋。 service telnet telnet服務(wù)基于xinetd，使用標(biāo)準(zhǔn)的23端口 flags= REUSE tcp端口重用標(biāo)記 socket_type= stream telnet服務(wù)使用的數(shù)據(jù)傳輸方式為tcp協(xié)議 wait= no 本服

55、務(wù)使用多線程 user= root 啟動telnet服務(wù)的用戶 server= /usr/sbin/in.telnetd啟動telnet服務(wù)所使用的命令 log_on_failure+= USERID 登錄不成功時，系統(tǒng)日志記錄用戶信息 disable= no 啟動xinetd服務(wù)時，自動打開telnet服務(wù) ,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.1 xinetd安全,如下的語句行是為了增強telnet服務(wù)安全性能，添加的語句： bind= 28 該服務(wù)綁定在28網(wǎng)卡上 only_from= /24 僅允許從192.16

56、8.0.0/24網(wǎng)絡(luò)登錄telnet服務(wù) no_access= 48 不允許48客戶機登錄telnet服務(wù) access_times= 8:00-23:00 僅允許在指定的時間內(nèi)登錄telnet服務(wù) 注意：訪問控制時間需要使用24小時制表示，小時可以是023，分鐘可以是059。,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.1 xinetd安全,3. 使用TCP Wrappers增強xinetd安全 基于xinetd超級服務(wù)器的Internet服務(wù)器，除了可以使用其配置文件來增強安全性能外，還可以使用TCP Wrappers來保證安全。 同樣以teln

57、et服務(wù)為例，實現(xiàn)允許/24網(wǎng)絡(luò)中除了48主機以外的所有主機登錄。為實現(xiàn)該功能，可以在/etc/hosts.allow文件中添加如下圖所示的行。,xinetd服務(wù)安全,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.2 iptables防火墻,10.5.2 iptables防火墻 iptables是Linux下非常優(yōu)秀的免費防火墻產(chǎn)品，它也是Linux默認(rèn)的防火墻軟件，不僅功能強大，而且配置靈活。有效的iptables管理對于Linux網(wǎng)絡(luò)環(huán)境的安全至關(guān)重要。 1. iptables基礎(chǔ) iptabbles能夠配置規(guī)則，過濾進入本地網(wǎng)絡(luò)的數(shù)據(jù)包。當(dāng)用戶將

58、網(wǎng)絡(luò)與Internet連接后，其內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)設(shè)備都暴露給了Internet上的所有用戶，使得網(wǎng)絡(luò)安全受到極大的威脅。因此需要建立安全策略來防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源和內(nèi)部用戶泄密。防火墻就能起到這種作用。 防火墻可以分為IP過濾防火墻和代理防火墻兩種。,10.5 Linux網(wǎng)絡(luò)服務(wù)安全 10.5.2 iptables防火墻,1）IP過濾防火墻 IP過濾防火墻工作在TCP/IP協(xié)議簇的網(wǎng)絡(luò)層。它依據(jù)起點、終點、端口號和每一個數(shù)據(jù)包中所含的數(shù)據(jù)包種類信息控制數(shù)據(jù)包的流動。IP過濾防火墻使用規(guī)則庫來保存用戶設(shè)置的數(shù)據(jù)包過濾規(guī)則，這些規(guī)則規(guī)定了對通過的網(wǎng)絡(luò)數(shù)據(jù)包進行過濾的標(biāo)準(zhǔn)。 2）代理服務(wù)器 代理防火墻允許通