CISP2UNIX安全管理PPT推荐.ppt
《CISP2UNIX安全管理PPT推荐.ppt》由会员分享,可在线阅读,更多相关《CISP2UNIX安全管理PPT推荐.ppt(121页珍藏版)》请在冰豆网上搜索。
58manage123456789101:
目录或文件,文件,b块文件,c字符设备,d目录,l符号链接234:
用户rwx567:
组rwx8910:
其他rwx,Unix文件系统的权限,Chmod/chown/chgrp八进制数值试验:
chmod7777test注意:
1000粘合位2000setgid4000setuid,Unix的密码系统,/etc/passwd;
/etc/shadow;
/etc/master.passwduser:
x:
538:
/home/user:
/bin/passwduser:
$1$DpPTuMQH$dmnhHNLNNlpnFuTbUoQaJ/:
11204:
0:
99999:
7:
-1:
134540364用户密码的强度问题Shell的控制密码过期的优缺点PAM认证系统,Unix的系统服务,/etc/inetd.conf/etc/service/etc/Rc*.d,Unix的log系统,/etc/syslog.conf*.err;
kern.notice;
auth.notice/dev/console*.err;
kern.debug;
daemon.notice;
mail.crit/var/adm/messages*.alert;
kern.err;
daemon.erroperator*.alertroot*.emerg*mail.debugifdef(LOGHOST,/var/log/syslog,loghost)ifdef(LOGHOST,user.err/dev/consoleuser.err/var/adm/messagesuser.alertroot,operatoruser.emerg*),UnixLog系统,syslog.conf的格式如下设备.行为级别;
设备.行为级别记录行为注意各栏之间用Tab来分隔,用空格是无效的。
第一栏:
设备描述auth认证系统,即询问用户名和口令cron系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern内核的syslog信息lpr打印机的syslog信息mail邮件系统的syslog信息mark定时发送消息的时标程序news新闻系统的syslog信息user本地用户应用程序的syslog信息uucpuucp子系统的syslog信息local0.7种本地类型的syslog信息,这些信息可以又用户来定义*:
代表以上各种设备,UnixLog系统,第二栏:
行为级别描述(危险程度递加)debug程序的调试信息info信息消息notice要注意的消息warning警告err一般性错误crit严重情况alert应该立即被纠正的情况emerg紧急情况none指定的服务程序未给所选择的,Syslog系统举例,这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,maillog单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。
Syslog系统举例,在/etc/hosts中定义一台主机的别名为loghost(当然你可以也可以直接在syslog.conf里指定loghost)如:
192.168.1.88loghost下面是符合条件的syslog.conf的内容:
*.info;
mail.none;
auth.none;
deamon.none/var/adm/messages*.info;
deamon.noneloghostauth.notice/var/log/auth.logauth.noticeloghostdeamon.info/var/log/deamon.logdeamon.infologhostmail.debug/var/log/mail.logmail.debugloghost,Unix常见应用服务,应用服务安全要点,DNSFTPTELNETMAILWeb,DNS,DNS服务的安全历史4.9.68.2/8.2.19.xName:
nxtbugVersionsaffected:
8.2,8.2patchlevel1,8.2.1Severity:
CRITICALExploitable:
RemotelyType:
Accesspossible,Bind的一些问题,Name:
solingerbugName:
fdmaxbugName:
sigbugName:
naptrbugName:
maxdnamebug,基本措施,安装最新的bind禁止或限制DNSzone传输设计备用DNSChroot的DNS环境,Chroot的bind-1,ISCFTP站点下载BIND的最新版本下载本文必需的免费软件:
holelogd按照软件文档安装holelogd(通常被安装到/usr/local/sbin)构造静态(static)的named和named-xfer二进制文件对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。
修改文件内容:
CDEBUG=-O2-g替换为:
CDEBUG=-O2-static,Chroot的bind-2,/无/etc复制系统/etc目录下的named.conf文件复制系统/etc目录下的localtime文件(为syslog提供正确的named日志记录时间)创建仅包含namedGID的/etc/group文件/etc/namedb复制系统/etc/namedb目录下的所有“区(zone)”数据库和文件/devmknod./nullc13;
chmod666null(请参阅相应版本的mknod命令)/usr/sbin复制系统%BIND%/src/bin/named目录和系统%BIND%/src/bin/named-xfer目录下的named和named-xfer二进制文件(静态链接版本)/var/run无,Chroot的bind-3,步骤四:
添加named用户和组步骤五:
编辑启动脚本在运行named前插入一行以启动holelogd修改BIND的启动参数“ndc”脚本,编辑这个文件以将PID文件位置从/var/run/named.pid修改为/chroot/named/var/run/named.pid。
步骤六:
服务器测试,FTP,了解那些FTP有安全问题proftppre3remoteshellProftppre10DoSWuftp2.4.18Wuftp2.5Wuftp2.6SunftpcoreOld:
cdroot,Ftp安全要点,使用最新版本http:
/www.wu-ftpd.org/2.6.1http:
/1.2.0rc2用ftpuser限制ftp用户ftpaccess控制用户行为,流量等等ftp的chroot使用ssh或sftp代替ftp,TELNET,不安全的telnettelnet历史上的安全问题(97年前的安全问题,orix最近的安全问题)使用ssh代替telnetSSH介绍Ssh的安全问题Ssh的其他作用,MAIL,Sendmail的安全历史Sendmail5以前Sendmail8.8.3/8.8.8溢出Sendmail基本安全配置expn和vrfy修改版本号/sendmail-8.11.0/sendmail/version.c和sendmail.cf其他:
邮件大小控制,黑名单relay的控制Localhost-namrRelay-domainsCw,QMail,使用Qmail来代替sendmailQmail的优点Qmail的smtpauthQmail的sigleUIDwww.qmail.org,Qpop,Qpop的安全问题使用最新的qpop4.0.4qpoper$POP/popper/version.c$POP/popper/banner.h编译选项-enable-shy隐藏细节,其他mail,PostfixMaillistMajadomoMailmanMial客户端的问题PineMailx,Web,Apache安全历史Phf.cgi/test.cgiNetscapeEntrerpricehttp:
/target/?
wp-cs-dumphttp:
wp-ver-infohttp:
wp-html-rendhttp:
wp-usr-propChroot的webserver查看netscape的安全记录,安全要点,Apache一般情况下不要索引目录对重要目录加上权限保护目录属性要保护Chroot的apache,Unix系统安全安装和设置,系统安全配置工作,安全的安装和规划unix系统本地测略系统服务的清理系统服务的升级和配置最新安全补丁的获得和使用,unix安全配置stepbystep,简单的说:
就是如何在不使用任何第三方工具的情况下,如何从头开始配置一台相对安全的unix系统。
系统安全配置工作,分区,分区的好处1.部分防止DOS攻击2.部分防止suid程序的滥用3.快速的启动时间4.容易备份和升级5.更好的控制mount文件系统6.限制每一种文件系统的特性,系统安全配置工作,以一个3.2的SCSI硬盘为例分区,用的系统是redhatLinux/boot5M/usr/1000M/home500M10X50(50用户)/chroot400M如果想运行chroot的环境,如DNS/http/cache400M如果想装squid之类的proxy/var200M如果log量巨大,可以分得更大一些swap150Mswap分区一般和内存一样大或2倍/tmp100M/315M根分区可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区),Solaris基本安全配置stepbystep,系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日
升级会员 