CISP2UNIX安全管理.ppt

1、信息安全技术UNIX安全管理,中国信息安全产品测评认证中心（CNITSEC）CISP-2-UNIX安全管理（培训样稿）,系统安全:安全度量,度量标准：Trusted Computer System Evaluation Criteria(1985)系统安全程度的七个等级：(D1、C1、C2、B1、B2、B3、A1),安全威胁:系统为什么不安全,网络建设非常迅猛,较少考虑安全问题缺乏安全知识和意识网络仍然在不断发生变化安全工具不能完全自动处理安全漏洞和威胁缺乏安全管理人员,直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果,安全威胁:安全事故的后果,黑客技术并不神秘

2、,什么是黑客,通过网络,利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人hacker与cracker:Hacker Cracker,但对于大众,hacker 即 cracker,常见黑客攻击方式,直接入侵攻击主机盗用破坏或者修改数据拒绝服务(缩写DoS)等等,常见unix系统攻击手法,黑客攻击手法(一),收集信息扫描Nmap扫描的演示社会工程公开信息利用系统漏洞DNS的配置失误,搜集演示Finger的演示,黑客攻击手法(二),尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞绕道,黑客攻击手法(三）,尝试获得最高权限本地溢出木马社会工程窃取，欺骗程序漏洞,黑客攻击手法(四),扩

3、大攻击范围清除系统记录Log记录清除试验留下系统后门Bind shell演示跳跃攻击其他主机,unix系统安全基本知识,Unix文件系统的权限,drwxr-xr-x 3 root root 1024 Sep 13 11:58 manage123456789101:目录或文件，文件,b块文件,c字符设备，d目录，l符号链接234:用户rwx567:组rwx8910:其他rwx,Unix文件系统的权限,Chmod/chown/chgrp八进制数值试验:chmod 7777 test注意：1000 粘合位2000 setgid4000 setuid,Unix的密码系统,/etc/passwd;/et

4、c/shadow;/etc/master.passwduser:x:538:538:/home/user:/bin/passwduser:$1$DpPTuMQH$dmnhHNLNNlpnFuTbUoQaJ/:11204:0:99999:7:-1:-1:134540364用户密码的强度问题Shell的控制密码过期的优缺点PAM认证系统,Unix的系统服务,/etc/inetd.conf/etc/service/etc/Rc*.d,Unix的log系统,/etc/syslog.conf*.err;kern.notice;auth.notice/dev/console*.err;kern.debug

5、;daemon.notice;mail.crit/var/adm/messages*.alert;kern.err;daemon.err operator*.alert root*.emerg*mail.debug ifdef(LOGHOST,/var/log/syslog,loghost)ifdef(LOGHOST,user.err/dev/consoleuser.err/var/adm/messagesuser.alert root,operatoruser.emerg*),Unix Log系统,syslog.conf的格式如下设备.行为级别；设备.行为级别 记录行为注意各栏之间用Tab来

6、分隔，用空格是无效的。第一栏：设备 描述auth认证系统，即询问用户名和口令cron 系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern 内核的syslog信息lpr 打印机的syslog信息mail 邮件系统的syslog信息mark 定时发送消息的时标程序news 新闻系统的syslog信息user本地用户应用程序的syslog信息uucp uucp子系统的syslog信息local0.7 种本地类型的syslog信息,这些信息可以又用户来定义*:代表以上各种设备,Unix Log系统,第二栏：行为级别 描述（危险程度递

7、加）debug 程序的调试信息info 信息消息notice 要注意的消息warning 警告err 一般性错误crit 严重情况alert 应该立即被纠正的情况emerg紧急情况none 指定的服务程序未给所选择的,Syslog系统举例,这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,mail log单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。,Syslog系统举例,在/e

8、tc/hosts中定义一台主机的别名为loghost(当然你可以也可以直接在syslog.conf里指定loghost)如:192.168.1.88 loghost下面是符合条件的 syslog.conf的内容:*.info;mail.none;auth.none;deamon.none/var/adm/messages*.info;mail.none;auth.none;deamon.none loghostauth.notice/var/log/auth.logauth.notice loghostdeamon.info/var/log/deamon.logdeamon.info logh

9、ostmail.debug/var/log/mail.logmail.debug loghost,Unix常见应用服务,应用服务安全要点,DNSFTPTELNETMAILWeb,DNS,DNS服务的安全历史4.9.68.2/8.2.19.xName:nxt bugVersions affected:8.2,8.2 patchlevel 1,8.2.1Severity:CRITICALExploitable:RemotelyType:Access possible,Bind的一些问题,Name:solinger bugName:fdmax bugName:sig bugName:naptr bu

10、gName:maxdname bug,基本措施,安装最新的bind禁止或限制DNS zone传输设计备用DNSChroot的DNS环境,Chroot的bind-1,ISC FTP站点下载BIND的最新版本 下载本文必需的免费软件：holelogd 按照软件文档安装holelogd（通常被安装到/usr/local/sbin）构造静态(static)的named和named-xfer二进制文件 对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。修改文件内容：CDEBUG=-O2-g替换为：CDEBUG=-O2-static,Chroot的bind-2

11、,/无/etc复制系统/etc目录下的named.conf文件复制系统/etc目录下的localtime文件（为syslog提供正确的named日志记录时间）创建仅包含named GID的/etc/group文件/etc/namedb复制系统/etc/namedb目录下的所有“区(zone)”数据库和文件/devmknod./null c 1 3;chmod 666 null（请参阅相应版本的mknod命令）/usr/sbin复制系统%BIND%/src/bin/named目录和系统%BIND%/src/bin/named-xfer目录下的named和named-xfer二进制文件（静态链接版

12、本）/var/run无,Chroot的bind-3,步骤四：添加named用户和组步骤五：编辑启动脚本 在运行named前插入一行以启动holelogd 修改BIND的启动参数“ndc”脚本,编辑这个文件以将PID文件位置从/var/run/named.pid修改为/chroot/named/var/run/named.pid。步骤六：服务器测试,FTP,了解那些FTP有安全问题proftp pre3 remote shellProftp pre10 DoSWuftp 2.4.18Wuftp 2.5Wuftp 2.6Sun ftp coreOld:cd root,Ftp安全要点,使用最新版本h

13、ttp:/www.wu-ftpd.org/2.6.1http:/1.2.0rc2用ftpuser限制ftp用户ftpaccess控制用户行为，流量等等ftp的chroot使用ssh或sftp代替ftp,TELNET,不安全的telnettelnet历史上的安全问题(97年前的安全问题,orix最近的安全问题)使用ssh代替telnetSSH介绍Ssh的安全问题Ssh的其他作用,MAIL,Sendmail的安全历史Sendmail 5以前Sendmail 8.8.3/8.8.8溢出Sendmail基本安全配置expn和vrfy修改版本号/sendmail-8.11.0/sendmail/vers

14、ion.c 和sendmail.cf其他:邮件大小控制,黑名单relay的控制Localhost-namrRelay-domainsCw,QMail,使用Qmail来代替sendmailQmail的优点Qmail的smtp authQmail的sigle UIDwww.qmail.org,Qpop,Qpop的安全问题使用最新的qpop 4.0.4qpoper$POP/popper/version.c$POP/popper/banner.h编译选项-enable-shy 隐藏细节,其他mail,PostfixMaillistMajadomoMailmanMial客户端的问题PineMailx,W

15、eb,Apache安全历史Phf.cgi/test.cgiNetscape Entrerpricehttp:/target/?wp-cs-dumphttp:/target/?wp-ver-infohttp:/target/?wp-html-rendhttp:/target/?wp-usr-propChroot的webserver 查看netscape的安全记录,安全要点,Apache一般情况下不要索引目录对重要目录加上权限保护目录属性要保护Chroot的apache,Unix系统安全安装和设置,系统安全配置工作,安全的安装和规划unix系统本地测略系统服务的清理系统服务的升级和配置最新安全补丁

16、的获得和使用,unix安全配置step by step,简单的说：就是如何在不使用任何第三方工具的情况下，如何从头开始配置一台相对安全的unix系统。,系统安全配置工作,分区，分区的好处1.部分防止DOS攻击2.部分防止suid程序的滥用3.快速的启动时间4.容易备份和升级5.更好的控制mount文件系统6.限制每一种文件系统的特性,系统安全配置工作,以一个3.2的SCSI硬盘为例分区,用的系统是redhat Linux/boot 5M/usr/1000M/home 500M 10X50(50 用户)/chroot 400M 如果想运行chroot的环境,如DNS/http/cache 400M 如果想装squid之类的proxy/var 200M 如果log量巨大,可以分得更大一些swap 150M swap分区一般和内存一样大或2倍/tmp 100M/315M 根分区可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区),Solaris基本安全配置step by step,系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日