UNIX安全管理优质PPT.ppt

UNIX安全管理优质PPT.ppt

《UNIX安全管理优质PPT.ppt》由会员分享，可在线阅读，更多相关《UNIX安全管理优质PPT.ppt（46页珍藏版）》请在冰豆网上搜索。

Jacky:

/home/zhuxg:

/bin/bash,用户名,密码位置,UID,GID,用户全名,用户主目录,用户shell,/etc/passwd和/etc/shadow（master.passwd）文件,解读/etc/shadow文件,root:

$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:

10598:

0:

99999:

7:

-1:

-1073743272,用户名,加密口令,上一次修改的时间（从1970年1月1日起的天数）,口令在两次修改间的最小天数,离用户必须修改口令还剩下的天数,离系统提醒用户必须修改口令还剩下的天数,用户仍可修改口令还剩余的天数，否则到期之后该账号将被禁止,从1970年1月1日起账号被禁用的天数,保留字段,添加帐户,添加用户useradd/adduserrootwww/root#useradd-helpuseradd:

invalidoption-usage:

useradd-uuid-o-ggroup-Ggroup,.-dhome-sshell-ccomment-m-ktemplate-finactive-eexpire-ppasswd-n-rnameuseradd-D-ggroup-bbase-sshell-finactive-eexpirerootwww/root#useraddu1000d/home/tests/bin/shtest,删除帐户,userdel/deluserUserdel-rnamerootwww/root#userdelrtestrootwww/root#lsl/home,管理帐号,查看当前用户名rootwww/root#users更改用户属性usermodrootwww/root#usermod-helpusage:

usermod-uuid-o-ggroup-Ggroup,.-dhome-m-sshell-ccomment-lnew_name-finactive-eexpire-ppasswd-L|-Uname,文件管理,Linux/Unix文件系统类型,Ext2/ext3、UFS文件类型正规文件：

ASCII文本文件，二进制数据文件，二进制可执行文件目录：

包含一组文件的二进制可执行文件特殊文件：

/dev,/proc链接文件Sockets:

进程间通讯使用的特殊文件,文件类型,由文件长模式显示的第一个字符决定“-”：

普通文件“d”：

目录“l”：

符号链接“s”：

套接字,Linux文件权限,-rw-r-r-,lsl文件名,Mask和umask值,Mask和umask相对应对于文件umask值|文件权限=666对于目录umask值|目录权限=777,文件管理,添加/删除/移动文件和目录touch、echo、vi、rm、mv更改文件权限chmod、chattr更改文件属主chown、chgrp,设置SUID/SGID和Sticky-bit,设置SUID/SGID程序利用chmod典型文件如/bin/passwdSGID通常设置在某个目录上设置粘置位典型目录如/tmp粘置位可防止误删、误修改或破坏用户文件,Unix攻击介绍,黑客攻击手法

（一）,收集信息扫描社会工程公开信息利用系统漏洞DNS的配置失误Finger.,黑客攻击手法

（二）,尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞,黑客攻击手法（三）,尝试获得最高权限本地溢出木马社会工程窃取，欺骗程序漏洞,黑客攻击手法（四）,扩大攻击范围清除系统记录系统日志清除操作日志清除应用日志清除留下系统后门Bindshell帐户LKM.跳跃攻击其他主机,RootKits,用于获得具有root权限的一组程序通过设置uid程序,系统木马,cron后门等方法来实现入侵者以后从非特权用户使用root权限的程序,系统安全配置与优化,Solaris基本安全配置,设置一个尽可能复杂的root口令设置默认路由/etc/defaultrouter设置dns/etc/resolv.conf设置/etc/nsswitch.confHost:

filesdns,系统启动服务清理,清理/etc/rc2.d值得注意的nfs.*S71RPC清理/etc/rc3.dSNMP使用的选择SNMP配置清理/etc/init.d/inetsvc禁止in.namedInetdst启动禁止multicast,系统启动服务清理,清理/etc/inetd.conf服务所有的TCP/UDP小服务所有的调试服务所以的R服务几乎所有的RPC服务使用必要的工具替换telnet,ftp必要的时候可以完全禁止inetd或用xinetd替换,ndd使用,帮助ndd/dev/arp?

（icmp,tcp,udp,ip）查询ndd/dev/arparp_cleanup_interval设置ndd-set/dev/arparp_cleanup_interval60000,启动网络参数设定,设置/etc/init.d/inetinitndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0（或/etc/notrouter）ndd-set/dev/ipip_strict_dst_multihoming1,ARP攻击防止,减少过期时间#nddset/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000静态ARParpffilename禁止ARPifconfiginterfacearp,IP,关闭ip转发。

nddset/dev/ipip_forwarding0转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。

（参见cert-98.01）#nddset/dev/ipip-forward_directed_broadcasts0源路由转发，所以我们必须手动关闭它nddset/dev/ipip_forward_src_routed0,ICMP,关闭对echo广播的响应nddset/dev/ipip_respond_to_echo_boadcast0响应时间戳广播#nddset/dev/ipip_respond_to_timestamp_broadcast0地址掩码广播#nddset/dev/ipip_respind_to_address_mask_broadcast0,ICMP,接受重定向错误#nddset/dev/ipip_ignore_redirect1响应时间戳广播发送重定向错误报文nddset/dev/ipip_send_redirects0时间戳响应#nddset/dev/ipip_respond_to_timestamp0注意：

Rdata（同步时钟）可能无法正常,TCP,Synfloodnddset/dev/tcptcp_conn_req_max_q04096默认值是1024连接耗尽攻击nddset/dev/tcptcp_conn_req_max_q1024默认值是128增加私有端口ndd/dev/tcptcp_extra_priv_ports20494045要注意的是，不要随便定义私有端口，因为有些非根权限的进程会使用这些端口。

特别是改变最小非私有端口这个参数，经常会引起问题。

文件系统配置,删除NFS的相关配置/etc/auto_*/etc/dfs/dfstabMount文件系统的设置/etc/vfstab/usrmountro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noroOthermountnosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/localufs2yesnosuid可能的话mount/nosuid,寻找系统所有的suid程序Find/-typef（-perm-4000）|xargslsa调整文件系统的权限/usr/sbin/var/log/etc,文件系统配置,/etc/syslog.conf增加的日志记录auth.info/var/log/authlog输出到loghost输出到打印机增加对su和crontab的日志记录/etc/default/cron/etc/default/su,日志系统配置,日志系统配置,syslog.conf的格式如下,设备.行为级别；

设备.行为级别记录行为注意各栏之间用Tab来分隔，用空格是无效的。

如*.err;

daemon.notice;

mail.crit/var/adm/messages,日志系统配置-设备,auth认证系统，即询问用户名和口令cron系统定时系统执行定时任务时发出的信息daemon守护程序的syslog,如由in.ftpd产生的logkern内核的syslog信息lpr打印机的syslog信息mail邮件系统的syslog信息mark定时发送消息的时标程序news新闻系统的syslog信息user本地用户应用程序的syslog信息uucpuucp子系统的syslog信息*:

代表以上各种设备,行为级别描述（危险程度递递）debug程序的调试信息info信息消息notice要注意的消息warning警告err一般性错误crit严重情况alert应该立即被纠正的情况emerg紧急情况none指定的服务程序未给所选择的,日志系统配置-行为级别,日志系统配置-特殊,配置loghostloghost日志输出到打印机把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中加入配置语句.auth.notice/dev/ttya,userdel/passmgmt（uucp,listen,lp,smtp,adm）/etc/default/login的设置禁止非consoleroot登陆登陆超时登陆掩码设置/etc/defualt/passwd