ImageVerifierCode 换一换
格式:PPT , 页数:121 ,大小:1.17MB ,
资源ID:1386634      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/1386634.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(CISP2UNIX安全管理.ppt)为本站会员(b****1)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

CISP2UNIX安全管理.ppt

1、信息安全技术UNIX安全管理,中国信息安全产品测评认证中心(CNITSEC)CISP-2-UNIX安全管理(培训样稿),系统安全:安全度量,度量标准:Trusted Computer System Evaluation Criteria(1985)系统安全程度的七个等级:(D1、C1、C2、B1、B2、B3、A1),安全威胁:系统为什么不安全,网络建设非常迅猛,较少考虑安全问题缺乏安全知识和意识网络仍然在不断发生变化安全工具不能完全自动处理安全漏洞和威胁缺乏安全管理人员,直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果,安全威胁:安全事故的后果,黑客技术并不神秘

2、,什么是黑客,通过网络,利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人hacker与cracker:Hacker Cracker,但对于大众,hacker 即 cracker,常见黑客攻击方式,直接入侵攻击主机盗用破坏或者修改数据拒绝服务(缩写DoS)等等,常见unix系统攻击手法,黑客攻击手法(一),收集信息扫描Nmap扫描的演示社会工程公开信息利用系统漏洞DNS的配置失误,搜集演示Finger的演示,黑客攻击手法(二),尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞绕道,黑客攻击手法(三),尝试获得最高权限本地溢出木马社会工程窃取,欺骗程序漏洞,黑客攻击手法(四),扩

3、大攻击范围清除系统记录Log记录清除试验留下系统后门Bind shell演示跳跃攻击其他主机,unix系统安全基本知识,Unix文件系统的权限,drwxr-xr-x 3 root root 1024 Sep 13 11:58 manage123456789101:目录或文件,文件,b块文件,c字符设备,d目录,l符号链接234:用户rwx567:组rwx8910:其他rwx,Unix文件系统的权限,Chmod/chown/chgrp八进制数值试验:chmod 7777 test注意:1000 粘合位2000 setgid4000 setuid,Unix的密码系统,/etc/passwd;/et

4、c/shadow;/etc/master.passwduser:x:538:538:/home/user:/bin/passwduser:$1$DpPTuMQH$dmnhHNLNNlpnFuTbUoQaJ/:11204:0:99999:7:-1:-1:134540364用户密码的强度问题Shell的控制密码过期的优缺点PAM认证系统,Unix的系统服务,/etc/inetd.conf/etc/service/etc/Rc*.d,Unix的log系统,/etc/syslog.conf*.err;kern.notice;auth.notice/dev/console*.err;kern.debug

5、;daemon.notice;mail.crit/var/adm/messages*.alert;kern.err;daemon.err operator*.alert root*.emerg*mail.debug ifdef(LOGHOST,/var/log/syslog,loghost)ifdef(LOGHOST,user.err/dev/consoleuser.err/var/adm/messagesuser.alert root,operatoruser.emerg*),Unix Log系统,syslog.conf的格式如下设备.行为级别;设备.行为级别 记录行为注意各栏之间用Tab来

6、分隔,用空格是无效的。第一栏:设备 描述auth认证系统,即询问用户名和口令cron 系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern 内核的syslog信息lpr 打印机的syslog信息mail 邮件系统的syslog信息mark 定时发送消息的时标程序news 新闻系统的syslog信息user本地用户应用程序的syslog信息uucp uucp子系统的syslog信息local0.7 种本地类型的syslog信息,这些信息可以又用户来定义*:代表以上各种设备,Unix Log系统,第二栏:行为级别 描述(危险程度递

7、加)debug 程序的调试信息info 信息消息notice 要注意的消息warning 警告err 一般性错误crit 严重情况alert 应该立即被纠正的情况emerg紧急情况none 指定的服务程序未给所选择的,Syslog系统举例,这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,mail log单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。,Syslog系统举例,在/e

8、tc/hosts中定义一台主机的别名为loghost(当然你可以也可以直接在syslog.conf里指定loghost)如:192.168.1.88 loghost下面是符合条件的 syslog.conf的内容:*.info;mail.none;auth.none;deamon.none/var/adm/messages*.info;mail.none;auth.none;deamon.none loghostauth.notice/var/log/auth.logauth.notice loghostdeamon.info/var/log/deamon.logdeamon.info logh

9、ostmail.debug/var/log/mail.logmail.debug loghost,Unix常见应用服务,应用服务安全要点,DNSFTPTELNETMAILWeb,DNS,DNS服务的安全历史4.9.68.2/8.2.19.xName:nxt bugVersions affected:8.2,8.2 patchlevel 1,8.2.1Severity:CRITICALExploitable:RemotelyType:Access possible,Bind的一些问题,Name:solinger bugName:fdmax bugName:sig bugName:naptr bu

10、gName:maxdname bug,基本措施,安装最新的bind禁止或限制DNS zone传输设计备用DNSChroot的DNS环境,Chroot的bind-1,ISC FTP站点下载BIND的最新版本 下载本文必需的免费软件:holelogd 按照软件文档安装holelogd(通常被安装到/usr/local/sbin)构造静态(static)的named和named-xfer二进制文件 对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。修改文件内容:CDEBUG=-O2-g替换为:CDEBUG=-O2-static,Chroot的bind-2

11、,/无/etc复制系统/etc目录下的named.conf文件复制系统/etc目录下的localtime文件(为syslog提供正确的named日志记录时间)创建仅包含named GID的/etc/group文件/etc/namedb复制系统/etc/namedb目录下的所有“区(zone)”数据库和文件/devmknod./null c 1 3;chmod 666 null(请参阅相应版本的mknod命令)/usr/sbin复制系统%BIND%/src/bin/named目录和系统%BIND%/src/bin/named-xfer目录下的named和named-xfer二进制文件(静态链接版

12、本)/var/run无,Chroot的bind-3,步骤四:添加named用户和组步骤五:编辑启动脚本 在运行named前插入一行以启动holelogd 修改BIND的启动参数“ndc”脚本,编辑这个文件以将PID文件位置从/var/run/named.pid修改为/chroot/named/var/run/named.pid。步骤六:服务器测试,FTP,了解那些FTP有安全问题proftp pre3 remote shellProftp pre10 DoSWuftp 2.4.18Wuftp 2.5Wuftp 2.6Sun ftp coreOld:cd root,Ftp安全要点,使用最新版本h

13、ttp:/www.wu-ftpd.org/2.6.1http:/1.2.0rc2用ftpuser限制ftp用户ftpaccess控制用户行为,流量等等ftp的chroot使用ssh或sftp代替ftp,TELNET,不安全的telnettelnet历史上的安全问题(97年前的安全问题,orix最近的安全问题)使用ssh代替telnetSSH介绍Ssh的安全问题Ssh的其他作用,MAIL,Sendmail的安全历史Sendmail 5以前Sendmail 8.8.3/8.8.8溢出Sendmail基本安全配置expn和vrfy修改版本号/sendmail-8.11.0/sendmail/vers

14、ion.c 和sendmail.cf其他:邮件大小控制,黑名单relay的控制Localhost-namrRelay-domainsCw,QMail,使用Qmail来代替sendmailQmail的优点Qmail的smtp authQmail的sigle UIDwww.qmail.org,Qpop,Qpop的安全问题使用最新的qpop 4.0.4qpoper$POP/popper/version.c$POP/popper/banner.h编译选项-enable-shy 隐藏细节,其他mail,PostfixMaillistMajadomoMailmanMial客户端的问题PineMailx,W

15、eb,Apache安全历史Phf.cgi/test.cgiNetscape Entrerpricehttp:/target/?wp-cs-dumphttp:/target/?wp-ver-infohttp:/target/?wp-html-rendhttp:/target/?wp-usr-propChroot的webserver 查看netscape的安全记录,安全要点,Apache一般情况下不要索引目录对重要目录加上权限保护目录属性要保护Chroot的apache,Unix系统安全安装和设置,系统安全配置工作,安全的安装和规划unix系统本地测略系统服务的清理系统服务的升级和配置最新安全补丁

16、的获得和使用,unix安全配置step by step,简单的说:就是如何在不使用任何第三方工具的情况下,如何从头开始配置一台相对安全的unix系统。,系统安全配置工作,分区,分区的好处1.部分防止DOS攻击2.部分防止suid程序的滥用3.快速的启动时间4.容易备份和升级5.更好的控制mount文件系统6.限制每一种文件系统的特性,系统安全配置工作,以一个3.2的SCSI硬盘为例分区,用的系统是redhat Linux/boot 5M/usr/1000M/home 500M 10X50(50 用户)/chroot 400M 如果想运行chroot的环境,如DNS/http/cache 400M 如果想装squid之类的proxy/var 200M 如果log量巨大,可以分得更大一些swap 150M swap分区一般和内存一样大或2倍/tmp 100M/315M 根分区可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区),Solaris基本安全配置step by step,系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1