安全培训UNIX管理.ppt

安全培训UNIX管理.ppt

《安全培训UNIX管理.ppt》由会员分享，可在线阅读，更多相关《安全培训UNIX管理.ppt（46页珍藏版）》请在冰豆网上搜索。

安全培训,UNIX安全管理,UNIX的配置和安全管理,UNIX简介UNIX典型安全隐患常见UNIX安全设置方案UNIX的日常管理UNIX常用工具介绍,UNIX简介,UNIX典型安全隐患,UNIX典型安全隐患,RPC守护进程RemoteProcedureCall威胁最大一些应用的远程漏洞开放了有漏洞服务一些权限或者root权限,UNIX典型安全隐患（续上）,本地漏洞系统用户来提升自己的系统权限得到了一些权限的远程攻击者，扩大自己的战果暴露系统信息和系统安全密切相关使攻击者更容易入侵系统,一个UNIX防御模型,常见UNIX安全设置方案,常见UNIX安全设置方案,Solaris系列物理安全文件系统的安全用户账号和环境的安全系统的启动和关闭cron和at系统日志系统补丁高级指南,Solaris系列物理安全,OpenBoot安全级别none：

不需要任何口令command：

除boot和go之外所有命令都需要口令除了go命令之外所有命令都需要口令改变OpenBoot安全级别首先使用eepromsecurity-password命令设置OpenBoot口令，然后在root登入状态使用eepromsecurity-mode=command命令改变安全级别为command或在OK状态：

oksetenvsecurity-mode=command的密码保护来实现,Solaris系列文件系统的安全,基础知识文件类型正规文件、目录、特殊文件、链接、Sockets等i结点UID（文件拥有者）、GID（文件所在组）、模式（文件的权限）、文件大小、文件类型、ctime（“i节点”上次修改时间）、mtime（文件上次修改时间）、atime（文件上次访问时间）、nlink（链接数）。

它表示了文件的基本属性目录结构,Solaris系列文件系统的安全,文件权限文件权限是unix文件系统安全的关键基本分组成员在/etc/passwd中定义，附加的分组成员在/etc/group中定义每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户,Solaris系列文件系统的安全,SUID/SGID网络入侵者常用入侵入口SUID表示设置用户ID，SGID表示设置组ID”find/-typef（-perm-4000-o-perm-2000）-ls,Solaris系列文件系统的安全,加密与完整性检查加密技术可以用来保护机密文件甚至整个文件系统完整性是安全系统的核心属性MD5checksum利用工具,Solaris系列文件系统的安全,备份系统初装时的备份定期备份增量式备份（只备份改动的）特别备份（为某些文件备份）备份工具：

cp,tar,cpio,dump,restore,Solaris系列文件系统的安全,常见系统安全工具TRIPWIRE，是一个文件系统完整性检查工具。

TROJAN，一个可以被任何用户运行来检查特洛伊木马的perl程序。

PGP，流行的邮件和文件加密程序LIBDES，建立一个DES加密库和一个DES加密程序的工具。

包括一个crypt（3）的快速实现,Solaris系列用户账号和环境的安全,口令管理增强方法取消ROOT的远程登陆配置ROOT的环境删除不必要的帐号取消rlogin/rsh服务限制通过网络进入系统,Solaris系列用户账号和环境的安全,口令管理增强方法可以使用如下命令及其参数来增强对用户密码的管理：

passwd-n30user#强迫用户每30天修改一次密码；passwd-fuser#强迫用户在下一次登录时修改口令；passwd-n2-x1user#禁止用户修改口令；passwd-luser#封锁用户账号，禁止登录。

Solaris系列用户账号和环境的安全,取消ROOT的远程登陆默认在/etc/default/login里加上CONSOLE行，在/etc/ftpusers里加上root配置ROOT的环境将umask设为077或者027查看你的环境中路径设置情况，不要有./,Solaris系列用户账号和环境的安全,删除不必要的帐号移去或者锁定那些不是必须的帐号简单的办法是在/etc/shadow的password域中放上NP字符取消rlogin/rsh服务移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts并且在/etc/inetd.conf中把r系列服务都杀掉，然后找出inetd的进程号，重启它,Solaris系列用户账号和环境的安全,限制通过网络进入系统inetd进程/etc/hosts.allow和/etc/hosts.deny“默认拒绝”访问控制策略,Solaris系列系统的启动和关闭,更改不必要的启动文件取消NFS服务rpcbind中的安全问题in.finger的安全问题,Solaris系列系统的启动和关闭,更改不必要的启动文件/etc/rc2.d，/etc/rc3.d中S开头的文件移除/etc/init.d相关文件/var/adm/messages中观察自启动的情况ps-elf的输出中加以检查,Solaris系列系统的启动和关闭,取消NFS服务rpcbind中的安全问题rpcbind是允许rpc请求和rpc服务之间相互连接的程序可以通过一些安全工具来确定rpc服务是否会影响到你系统的安全性in.finger的安全问题用nobody来运行它,Solaris系列cron和at,cron任务的注意事项cron用户配置at用户配置cron和Tripwire,Solaris系列cron和at,cron任务的注意事项查看所有的cron任务-在/var/spool/cron/crontabs文件中可以找到它们必须在/etc/default/cron里设置了CRONLOG=yes来记录cron的动作,Solaris系列cron和at,cron用户配置/etc/cron.d/cron.allow和/etc/cron.d/cron.deny两个文件决定了一个特定用户是否可以运行crontab命令daemon、bin、smtp、nuucp、listen、nobody、noaccess这些用户不应该有执行crontab权限,Solaris系列cron和at,at用户配置/etc/cron.d/at.allow和/etc/cron.d/at.deny两个文件决定了一个特定用户是否可以运行at命令daemon、bin、smtp、nuucp、listen、nobody、noaccess这些用户不应该有执行at权限,Solaris系列cron和at,cron和TripwireTripwire应该配置成定期检查下面文件和目录/etc/cron.d/etc/default/var/cron/var/spool/cron/etc/cron.d/cron.allow/etc/cron.d/at.allow/etc/cron.d/at.deny,Solaris系列系统日志,UNIX日志系统简介/var/adm不同用户下各自的日志文件创建所有重要的日志文件的硬拷贝日志是最后一道防范措施硬拷贝，例如把日志打印出来,Solaris系列系统补丁,任何复杂系统都存在安全漏洞SUN公司提供了系统的补丁应用程序的补丁参考相关手册学习补丁的安装方法,Solaris系列高级指南,如何防止在堆栈中执行代码堆栈溢出是很重要的攻击手段防止在堆栈中执行代码可以有效的防止缓冲区溢出攻击在/etc/system里加上如下语句：

setnoexec_user_stack=1setnoexec_user_stack_log=1正常应用程序很少在堆栈中执行代码,Solaris系列高级指南,ARParp攻击主要有DoS和spoof防止ARP攻击是比较困难的有一些工作是可以提高本地网络的安全性减少过期时间建立静态ARP表禁止ARP,Solaris系列高级指南,IPforwarding（IP转发）关闭IP转发攻击者可能通过ip转发的方式访问到私有网络简单的生成一个文件/etc/notrouter,下次启动的时候关闭ip转发ndd-set/dev/ipip_forwarding0严格限定多主宿主机限定防止ipspoof的攻击ndd-set/dev/ipip_strict_dst_multihoning1转发包广播防止被用来实施smurf攻击ndd-set/dev/ipip-forward_directed_broadcasts0,Solaris系列高级指南,路由攻击者能伪造虚假的路由更新信息发送过来，从而达到DoS的效果尽量使用静态路由转发源路由包攻击者可能使用源路由包绕过某些特定的路由器和防火墙设备ndd-set/dev/ipip_forward_src_routed0,Solaris系列高级指南,ICMP广播防止Smurf攻击，关闭ICMP对广播的响应响应Echo广播恶意定制过量的echo包，系统中的流量将大为增加ndd-set/dev/ipip_respond_to_echo_boadcast0地址掩码广播ndd-set/dev/ipip_respind_to_address_mask_broadcast0,Solaris系列高级指南,重定向错误路由器用来通知主机使用另一个路由器来传输数据的指示报文接受重定向错误大多数只有一条默认路由主机系统是不需要理会redirect报文ndd-set/dev/ipip_ignore_redirect1发送重定向错误报文只有路由器才需要发送重定向错误ndd-set/dev/ipip_send_redirects0,Solaris系列高级指南,SYN_flood攻击solairs2.6/7和安装了patch以后的2.5.1系统,现在存在两条队列，一个是已连接的队列，一条是未连接完成的队列新队列的大小也是可以调节的ndd-set/dev/tcptcp_conn_req_max_q04096,Solaris系列高级指南,IP欺骗RFC1498定义了更好的随机ISN生成方法/etc/default/inetinit中将TCP_STRONG_ISS=1改为TCP_STRONG_ISS=2重起系统使他生效,UNIX的日常管理,UNIX的日常管理,原则管理员必须对主机全权管理必须是管理员管理管理员必须管理管理员必须定期审计主机系统软件的安装必须进行授权超级用户的控制原则上只有管理员和备份管理员有超级用户口令超户的扩散必须有足够的理由,UNIX的日常管理,日常审计系统进程检查系统服务端口检查系统日志检查针对性审计怀疑发生攻击后，对系统进行针对性审计针对具体怀疑情况，具体操作。

UNIX常用工具介绍,UNIX常用工具介绍,系统审计工具copstaratiger扫描工具SATAN/SAINTNMAPNESSUSISS（InternetSecurityScanner）,UNIX常用工具介绍,日志审计工具LogcheckSwatch报文获取工具tcpdumpsnoop,Linux系列,与Solaris系列类似参见参考文献,