CISP2UNIX安全管理.ppt

上传人:b****1 文档编号:1386634 上传时间:2022-10-21 格式:PPT 页数:121 大小:1.17MB
下载 相关 举报
CISP2UNIX安全管理.ppt_第1页
第1页 / 共121页
CISP2UNIX安全管理.ppt_第2页
第2页 / 共121页
CISP2UNIX安全管理.ppt_第3页
第3页 / 共121页
CISP2UNIX安全管理.ppt_第4页
第4页 / 共121页
CISP2UNIX安全管理.ppt_第5页
第5页 / 共121页
点击查看更多>>
下载资源
资源描述

CISP2UNIX安全管理.ppt

《CISP2UNIX安全管理.ppt》由会员分享,可在线阅读,更多相关《CISP2UNIX安全管理.ppt(121页珍藏版)》请在冰豆网上搜索。

CISP2UNIX安全管理.ppt

信息安全技术UNIX安全管理,中国信息安全产品测评认证中心(CNITSEC)CISP-2-UNIX安全管理(培训样稿),系统安全:

安全度量,度量标准:

TrustedComputerSystemEvaluationCriteria(1985)系统安全程度的七个等级:

(D1、C1、C2、B1、B2、B3、A1),安全威胁:

系统为什么不安全,网络建设非常迅猛,较少考虑安全问题缺乏安全知识和意识网络仍然在不断发生变化安全工具不能完全自动处理安全漏洞和威胁缺乏安全管理人员,直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果,安全威胁:

安全事故的后果,黑客技术并不神秘,什么是黑客,通过网络,利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人hacker与cracker:

HackerCracker,但对于大众,hacker即cracker,常见黑客攻击方式,直接入侵攻击主机盗用破坏或者修改数据拒绝服务(缩写DoS)等等,常见unix系统攻击手法,黑客攻击手法

(一),收集信息扫描Nmap扫描的演示社会工程公开信息利用系统漏洞DNS的配置失误,搜集演示Finger的演示,黑客攻击手法

(二),尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞绕道,黑客攻击手法(三),尝试获得最高权限本地溢出木马社会工程窃取,欺骗程序漏洞,黑客攻击手法(四),扩大攻击范围清除系统记录Log记录清除试验留下系统后门Bindshell演示跳跃攻击其他主机,unix系统安全基本知识,Unix文件系统的权限,drwxr-xr-x3rootroot1024Sep1311:

58manage123456789101:

目录或文件,文件,b块文件,c字符设备,d目录,l符号链接234:

用户rwx567:

组rwx8910:

其他rwx,Unix文件系统的权限,Chmod/chown/chgrp八进制数值试验:

chmod7777test注意:

1000粘合位2000setgid4000setuid,Unix的密码系统,/etc/passwd;/etc/shadow;/etc/master.passwduser:

x:

538:

538:

/home/user:

/bin/passwduser:

$1$DpPTuMQH$dmnhHNLNNlpnFuTbUoQaJ/:

11204:

0:

99999:

7:

-1:

-1:

134540364用户密码的强度问题Shell的控制密码过期的优缺点PAM认证系统,Unix的系统服务,/etc/inetd.conf/etc/service/etc/Rc*.d,Unix的log系统,/etc/syslog.conf*.err;kern.notice;auth.notice/dev/console*.err;kern.debug;daemon.notice;mail.crit/var/adm/messages*.alert;kern.err;daemon.erroperator*.alertroot*.emerg*mail.debugifdef(LOGHOST,/var/log/syslog,loghost)ifdef(LOGHOST,user.err/dev/consoleuser.err/var/adm/messagesuser.alertroot,operatoruser.emerg*),UnixLog系统,syslog.conf的格式如下设备.行为级别;设备.行为级别记录行为注意各栏之间用Tab来分隔,用空格是无效的。

第一栏:

设备描述auth认证系统,即询问用户名和口令cron系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern内核的syslog信息lpr打印机的syslog信息mail邮件系统的syslog信息mark定时发送消息的时标程序news新闻系统的syslog信息user本地用户应用程序的syslog信息uucpuucp子系统的syslog信息local0.7种本地类型的syslog信息,这些信息可以又用户来定义*:

代表以上各种设备,UnixLog系统,第二栏:

行为级别描述(危险程度递加)debug程序的调试信息info信息消息notice要注意的消息warning警告err一般性错误crit严重情况alert应该立即被纠正的情况emerg紧急情况none指定的服务程序未给所选择的,Syslog系统举例,这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,maillog单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。

Syslog系统举例,在/etc/hosts中定义一台主机的别名为loghost(当然你可以也可以直接在syslog.conf里指定loghost)如:

192.168.1.88loghost下面是符合条件的syslog.conf的内容:

*.info;mail.none;auth.none;deamon.none/var/adm/messages*.info;mail.none;auth.none;deamon.noneloghostauth.notice/var/log/auth.logauth.noticeloghostdeamon.info/var/log/deamon.logdeamon.infologhostmail.debug/var/log/mail.logmail.debugloghost,Unix常见应用服务,应用服务安全要点,DNSFTPTELNETMAILWeb,DNS,DNS服务的安全历史4.9.68.2/8.2.19.xName:

nxtbugVersionsaffected:

8.2,8.2patchlevel1,8.2.1Severity:

CRITICALExploitable:

RemotelyType:

Accesspossible,Bind的一些问题,Name:

solingerbugName:

fdmaxbugName:

sigbugName:

naptrbugName:

maxdnamebug,基本措施,安装最新的bind禁止或限制DNSzone传输设计备用DNSChroot的DNS环境,Chroot的bind-1,ISCFTP站点下载BIND的最新版本下载本文必需的免费软件:

holelogd按照软件文档安装holelogd(通常被安装到/usr/local/sbin)构造静态(static)的named和named-xfer二进制文件对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。

修改文件内容:

CDEBUG=-O2-g替换为:

CDEBUG=-O2-static,Chroot的bind-2,/无/etc复制系统/etc目录下的named.conf文件复制系统/etc目录下的localtime文件(为syslog提供正确的named日志记录时间)创建仅包含namedGID的/etc/group文件/etc/namedb复制系统/etc/namedb目录下的所有“区(zone)”数据库和文件/devmknod./nullc13;chmod666null(请参阅相应版本的mknod命令)/usr/sbin复制系统%BIND%/src/bin/named目录和系统%BIND%/src/bin/named-xfer目录下的named和named-xfer二进制文件(静态链接版本)/var/run无,Chroot的bind-3,步骤四:

添加named用户和组步骤五:

编辑启动脚本在运行named前插入一行以启动holelogd修改BIND的启动参数“ndc”脚本,编辑这个文件以将PID文件位置从/var/run/named.pid修改为/chroot/named/var/run/named.pid。

步骤六:

服务器测试,FTP,了解那些FTP有安全问题proftppre3remoteshellProftppre10DoSWuftp2.4.18Wuftp2.5Wuftp2.6SunftpcoreOld:

cdroot,Ftp安全要点,使用最新版本http:

/www.wu-ftpd.org/2.6.1http:

/1.2.0rc2用ftpuser限制ftp用户ftpaccess控制用户行为,流量等等ftp的chroot使用ssh或sftp代替ftp,TELNET,不安全的telnettelnet历史上的安全问题(97年前的安全问题,orix最近的安全问题)使用ssh代替telnetSSH介绍Ssh的安全问题Ssh的其他作用,MAIL,Sendmail的安全历史Sendmail5以前Sendmail8.8.3/8.8.8溢出Sendmail基本安全配置expn和vrfy修改版本号/sendmail-8.11.0/sendmail/version.c和sendmail.cf其他:

邮件大小控制,黑名单relay的控制Localhost-namrRelay-domainsCw,QMail,使用Qmail来代替sendmailQmail的优点Qmail的smtpauthQmail的sigleUIDwww.qmail.org,Qpop,Qpop的安全问题使用最新的qpop4.0.4qpoper$POP/popper/version.c$POP/popper/banner.h编译选项-enable-shy隐藏细节,其他mail,PostfixMaillistMajadomoMailmanMial客户端的问题PineMailx,Web,Apache安全历史Phf.cgi/test.cgiNetscapeEntrerpricehttp:

/target/?

wp-cs-dumphttp:

/target/?

wp-ver-infohttp:

/target/?

wp-html-rendhttp:

/target/?

wp-usr-propChroot的webserver查看netscape的安全记录,安全要点,Apache一般情况下不要索引目录对重要目录加上权限保护目录属性要保护Chroot的apache,Unix系统安全安装和设置,系统安全配置工作,安全的安装和规划unix系统本地测略系统服务的清理系统服务的升级和配置最新安全补丁的获得和使用,unix安全配置stepbystep,简单的说:

就是如何在不使用任何第三方工具的情况下,如何从头开始配置一台相对安全的unix系统。

系统安全配置工作,分区,分区的好处1.部分防止DOS攻击2.部分防止suid程序的滥用3.快速的启动时间4.容易备份和升级5.更好的控制mount文件系统6.限制每一种文件系统的特性,系统安全配置工作,以一个3.2的SCSI硬盘为例分区,用的系统是redhatLinux/boot5M/usr/1000M/home500M10X50(50用户)/chroot400M如果想运行chroot的环境,如DNS/http/cache400M如果想装squid之类的proxy/var200M如果log量巨大,可以分得更大一些swap150Mswap分区一般和内存一样大或2倍/tmp100M/315M根分区可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区),Solaris基本安全配置stepbystep,系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 销售营销

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1