CISP2UNIX安全管理PPT推荐.ppt

1、58 manage123456789101:目录或文件，文件,b块文件,c字符设备，d目录，l符号链接234:用户rwx567:组rwx8910:其他rwx,Unix文件系统的权限,Chmod/chown/chgrp八进制数值试验:chmod 7777 test注意：1000 粘合位2000 setgid4000 setuid,Unix的密码系统,/etc/passwd;/etc/shadow;/etc/master.passwduser:x:538:/home/user:/bin/passwduser:$1$DpPTuMQH$dmnhHNLNNlpnFuTbUoQaJ/:11204:0:99

2、999:7:-1:134540364用户密码的强度问题Shell的控制密码过期的优缺点PAM认证系统,Unix的系统服务,/etc/inetd.conf/etc/service/etc/Rc*.d,Unix的log系统,/etc/syslog.conf*.err;kern.notice;auth.notice/dev/console*.err;kern.debug;daemon.notice;mail.crit/var/adm/messages*.alert;kern.err;daemon.err operator*.alert root*.emerg*mail.debug ifdef（LOG

3、HOST,/var/log/syslog,loghost）ifdef（LOGHOST,user.err/dev/consoleuser.err/var/adm/messagesuser.alert root,operatoruser.emerg*）,Unix Log系统,syslog.conf的格式如下设备.行为级别；设备.行为级别 记录行为注意各栏之间用Tab来分隔，用空格是无效的。第一栏：设备 描述auth认证系统，即询问用户名和口令cron 系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern 内核的syslog信息lp

4、r 打印机的syslog信息mail 邮件系统的syslog信息mark 定时发送消息的时标程序news 新闻系统的syslog信息user本地用户应用程序的syslog信息uucp uucp子系统的syslog信息local0.7 种本地类型的syslog信息,这些信息可以又用户来定义*:代表以上各种设备,Unix Log系统,第二栏：行为级别 描述（危险程度递加）debug 程序的调试信息info 信息消息notice 要注意的消息warning 警告err 一般性错误crit 严重情况alert 应该立即被纠正的情况emerg紧急情况none 指定的服务程序未给所选择的,Syslog系统

5、举例,这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,mail log单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。,Syslog系统举例,在/etc/hosts中定义一台主机的别名为loghost（当然你可以也可以直接在syslog.conf里指定loghost）如:192.168.1.88 loghost下面是符合条件的 syslog.conf的内容:*.info;mail

6、.none;auth.none;deamon.none/var/adm/messages*.info;deamon.none loghostauth.notice/var/log/auth.logauth.notice loghostdeamon.info/var/log/deamon.logdeamon.info loghostmail.debug/var/log/mail.logmail.debug loghost,Unix常见应用服务,应用服务安全要点,DNSFTPTELNETMAILWeb,DNS,DNS服务的安全历史4.9.68.2/8.2.19.xName:nxt bugVersi

7、ons affected:8.2,8.2 patchlevel 1,8.2.1Severity:CRITICALExploitable:RemotelyType:Access possible,Bind的一些问题,Name:solinger bugName:fdmax bugName:sig bugName:naptr bugName:maxdname bug,基本措施,安装最新的bind禁止或限制DNS zone传输设计备用DNSChroot的DNS环境,Chroot的bind-1,ISC FTP站点下载BIND的最新版本 下载本文必需的免费软件：holelogd 按照软件文档安装holel

8、ogd（通常被安装到/usr/local/sbin）构造静态（static）的named和named-xfer二进制文件 对%BIND%/src/port/linux目录下的Makefile.set文件稍加修改后即可。修改文件内容：CDEBUG=-O2-g替换为：CDEBUG=-O2-static,Chroot的bind-2,/无/etc复制系统/etc目录下的named.conf文件复制系统/etc目录下的localtime文件（为syslog提供正确的named日志记录时间）创建仅包含named GID的/etc/group文件/etc/namedb复制系统/etc/namedb目录下的所

9、有“区（zone）”数据库和文件/devmknod./null c 1 3;chmod 666 null（请参阅相应版本的mknod命令）/usr/sbin复制系统%BIND%/src/bin/named目录和系统%BIND%/src/bin/named-xfer目录下的named和named-xfer二进制文件（静态链接版本）/var/run无,Chroot的bind-3,步骤四：添加named用户和组步骤五：编辑启动脚本 在运行named前插入一行以启动holelogd 修改BIND的启动参数“ndc”脚本,编辑这个文件以将PID文件位置从/var/run/named.pid修改为/chr

10、oot/named/var/run/named.pid。步骤六：服务器测试,FTP,了解那些FTP有安全问题proftp pre3 remote shellProftp pre10 DoSWuftp 2.4.18Wuftp 2.5Wuftp 2.6Sun ftp coreOld:cd root,Ftp安全要点,使用最新版本http:/www.wu-ftpd.org/2.6.1http:/1.2.0rc2用ftpuser限制ftp用户ftpaccess控制用户行为，流量等等ftp的chroot使用ssh或sftp代替ftp,TELNET,不安全的telnettelnet历史上的安全问题（97年前

11、的安全问题,orix最近的安全问题）使用ssh代替telnetSSH介绍Ssh的安全问题Ssh的其他作用,MAIL,Sendmail的安全历史Sendmail 5以前Sendmail 8.8.3/8.8.8溢出Sendmail基本安全配置expn和vrfy修改版本号/sendmail-8.11.0/sendmail/version.c 和sendmail.cf其他:邮件大小控制,黑名单relay的控制Localhost-namrRelay-domainsCw,QMail,使用Qmail来代替sendmailQmail的优点Qmail的smtp authQmail的sigle UIDwww.qm

12、ail.org,Qpop,Qpop的安全问题使用最新的qpop 4.0.4qpoper$POP/popper/version.c$POP/popper/banner.h编译选项-enable-shy 隐藏细节,其他mail,PostfixMaillistMajadomoMailmanMial客户端的问题PineMailx,Web,Apache安全历史Phf.cgi/test.cgiNetscape Entrerpricehttp:/target/?wp-cs-dumphttp:wp-ver-infohttp:wp-html-rendhttp:wp-usr-propChroot的webserve

13、r 查看netscape的安全记录,安全要点,Apache一般情况下不要索引目录对重要目录加上权限保护目录属性要保护Chroot的apache,Unix系统安全安装和设置,系统安全配置工作,安全的安装和规划unix系统本地测略系统服务的清理系统服务的升级和配置最新安全补丁的获得和使用,unix安全配置step by step,简单的说：就是如何在不使用任何第三方工具的情况下，如何从头开始配置一台相对安全的unix系统。,系统安全配置工作,分区，分区的好处1.部分防止DOS攻击2.部分防止suid程序的滥用3.快速的启动时间4.容易备份和升级5.更好的控制mount文件系统6.限制每一种文件系统

14、的特性,系统安全配置工作,以一个3.2的SCSI硬盘为例分区,用的系统是redhat Linux/boot 5M/usr/1000M/home 500M 10X50（50 用户）/chroot 400M 如果想运行chroot的环境,如DNS/http/cache 400M 如果想装squid之类的proxy/var 200M 如果log量巨大,可以分得更大一些swap 150M swap分区一般和内存一样大或2倍/tmp 100M/315M 根分区可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境（分区）,Solaris基本安全配置step by step,系统启动与系统分区系统安装与基本网络配置系统启动服务清理文件系统配置日