UNIX系統(tǒng)安全培訓(xùn)

1、UNIX操作系統(tǒng)安全v 版本控制版本控制目 錄第一章 UNIX安全基礎(chǔ)知識(shí)第二章 Linux主機(jī)安全運(yùn)行第三章 Solaris主機(jī)安全運(yùn)行第四章 AIX主機(jī)安全運(yùn)行 第五章 HP-UX主機(jī)安全運(yùn)行 第六章 UNIX常見(jiàn)應(yīng)用服務(wù)安全 第七章 UNIX異常檢查第一章UNIX安全基礎(chǔ)知識(shí)目錄 1.1 文件完整性審計(jì) 1.3 安全補(bǔ)丁審計(jì) 1.4 端口審計(jì) 1.5 進(jìn)程審計(jì) 1.2 帳戶、口令審計(jì) 1.6 系統(tǒng)日志審計(jì)文件完整性審計(jì)-原理通過(guò)Hash函數(shù)計(jì)算得到每個(gè)文件的數(shù)字文摘MD5SHA每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較不同，則文件已被修改，若相同，文件則未發(fā)生變化。

2、文件完整性審計(jì)-意義檢測(cè)系統(tǒng)關(guān)鍵文件變化情況檢測(cè)各種誤操作導(dǎo)致的系統(tǒng)變化在事件發(fā)生后，快速恢復(fù)系統(tǒng)的依據(jù)發(fā)現(xiàn)系統(tǒng)隱藏的后門BACKDOORROOTKITLKM文件完整性審計(jì)-安全周期文件完整性審計(jì)-手段Tripwire最成熟的商業(yè)文件完整性審計(jì)工具支持各種操作系統(tǒng)甚至網(wǎng)絡(luò)設(shè)備CS結(jié)構(gòu)方便集中管理和配置結(jié)果存放于數(shù)據(jù)庫(kù)MD5SUM最通用的免費(fèi)的完整性審計(jì)工具簡(jiǎn)單易用只能對(duì)單一文件進(jìn)行審計(jì)AIDEfree, GPL支持各種操作系統(tǒng)文件完整性審計(jì)-部署邏輯圖文件完整性審計(jì)-其他工具M(jìn)D5SUM$ md5sum *98343c7ee558fc6cc19cd5319c44f3d5 *README-WIN

3、322bf260615d34d7d46392e21b82b195b4 *nmap-os-fingerprints8975f7180e8f8735867e49cf3ebed5c3 *nmap-protocolsa365edeebbafaeca057397c19cf94c2d *nmap-rpc717a6cdbf5feb73617471cd041c45580 *nmap-service-probes43dca708961769cb09780c9eba8b8712 *nmap-servicesb00bd7728c6e7d3e9a37ad84147dd983 *nmap.exe5d6ecce78132

4、3aec8c58b0de1a3e6888 *nmap_performance.reg文件完整性審計(jì)-其他工具SUN網(wǎng)站提供md5提交、驗(yàn)證頁(yè)面文件完整性審計(jì)-其他工具AIDEaide iaide.conf文件完整性審計(jì)-注意事項(xiàng)完整性檢查的工具本身完整性檢查的數(shù)據(jù)庫(kù)只讀介質(zhì)異地存儲(chǔ)用戶、弱口令審計(jì)-原理UNIX系統(tǒng)用戶數(shù)據(jù)庫(kù)/etc/passwdUSER:x:UID:GID:HOME:SHELL/etc/shadow 加密后的用戶密碼MD5-basedStandard DES-basedDouble-length DES-basedBSDIs extended DES-basedFreeBSD

5、s MD5-basedOpenBSDs Blowfish-basedAFS用戶、弱口令審計(jì)-意義發(fā)現(xiàn)系統(tǒng)中無(wú)用、默認(rèn)的用戶發(fā)現(xiàn)使用弱密碼的用戶檢查密碼策略實(shí)施情況發(fā)現(xiàn)系統(tǒng)中的后門帳戶用戶、弱口令審計(jì)-手段手工直接查看系統(tǒng)用戶數(shù)據(jù)庫(kù)，人工簡(jiǎn)單判斷JOHN最通用的UNIX密碼破解軟件有各種常見(jiàn)操作系統(tǒng)下的版本可以破解各種常見(jiàn)操作系統(tǒng)的用戶數(shù)據(jù)庫(kù)外加軟件也可以實(shí)現(xiàn)分布式用戶、弱口令審計(jì)-手段手工檢查Solariscat /etc/passwdcat /etc/shadow （AIX /etc/security/passwd ）passwdUSER:x:UID:GID:HOME:SHELLx為用戶未鎖

6、定，:為空密碼，*/*LK*為鎖定UID/GID 0為root常見(jiàn)可登陸shell /bin/sh /bin/bash /bin/ksh ShadowUSER:加密過(guò)的密碼:UNIX系統(tǒng)帳號(hào)安全Passwd文件剖析 name:coded-passwd:UID:GID:user-info:home-directory:shell 7個(gè)域中的每一個(gè)由冒號(hào)隔開(kāi)。name給用戶分配的用戶名。Coded-passwd經(jīng)過(guò)加密的用戶口令。如果一個(gè)系統(tǒng)管理員需要阻止一個(gè)用戶登錄，則經(jīng)常用一個(gè)星號(hào)（ : * :）代替。該域通常不手工編輯。UID用戶的唯一標(biāo)識(shí)號(hào)。習(xí)慣上，小于100的UID是為系統(tǒng)帳號(hào)保留的。U

7、NIX系統(tǒng)帳號(hào)安全GID用戶所屬的基本分組。通常它將決定用戶創(chuàng)建文件的分組擁有權(quán)。User_info習(xí)慣上它包括用戶的全名。郵件系統(tǒng)和finger這樣的工具習(xí)慣使用該域中的信息。home-directory該域指明用戶的起始目錄，它是用戶登錄進(jìn)入后的初始工作目錄。shell該域指明用戶登錄進(jìn)入后執(zhí)行的命令解釋器所在的路徑。注意可以為用戶在該域中賦一個(gè)/bin/false值，這將阻止用戶登錄。UNIX帳號(hào)安全（shadow文件）UNIX系統(tǒng)帳號(hào)安全上一次修改口令的日期，以從1970年1月1日開(kāi)始的天數(shù)表示。口令在兩次修改間的最小天數(shù)。口令在建立后必須更改的天數(shù)?？诹罡闹跋蛴脩舭l(fā)出警告的天數(shù)。

8、口令終止后帳號(hào)被禁用的天數(shù)。自從1970年1月1日起帳號(hào)被禁用的天數(shù)。保留域。UNIX系統(tǒng)帳號(hào)安全缺省帳號(hào)UNIX系統(tǒng)帳號(hào)安全禁用和刪除帳號(hào)： 禁用帳號(hào)最快的方式是在/etc/passwd或影子口令文件中用戶加密口令的開(kāi)始加一個(gè)星號(hào)（*）。該用戶將不能再次登錄。 # userdel test用戶、弱口令審計(jì)-手段JOHNjohn passwd一般運(yùn)行john -word -rules passwd加字典、自定義策略john -show passwd查看已破解密碼john restore恢復(fù)上次運(yùn)行用戶、弱口令審計(jì)-注意事項(xiàng)密碼文件要注意保存有的系統(tǒng)用戶數(shù)據(jù)庫(kù)文件不是標(biāo)準(zhǔn)模式，需要手工或腳本進(jìn)行

9、轉(zhuǎn)換不要輕易刪除帳戶、建議先鎖定帳戶可能跟應(yīng)用系統(tǒng)有關(guān)安全補(bǔ)丁審計(jì)-原理當(dāng)前系統(tǒng)/應(yīng)用的補(bǔ)丁升級(jí)，絕大部分是安全方面的升級(jí)系統(tǒng)/應(yīng)用補(bǔ)丁后，即可修補(bǔ)當(dāng)前已知的安全問(wèn)題SUN定期（基本每周）會(huì)發(fā)布補(bǔ)丁集和包，包含所有補(bǔ)丁AIX以Recommended Maintenance Package + Hotfix方式提供最新為14？安全補(bǔ)丁審計(jì)-意義得到系統(tǒng)/應(yīng)用準(zhǔn)確版本信息判斷系統(tǒng)是否存在安全漏洞為下一步安全補(bǔ)丁的實(shí)施提供準(zhǔn)確的依據(jù)安全補(bǔ)丁審計(jì)-手段系統(tǒng)版本uname -an系統(tǒng)本身支持補(bǔ)丁查看命令Solarisshowdev pAIX oslevel rHP-UXswlist -l product

10、 PH?_*應(yīng)用補(bǔ)丁/版本telnet ip portNmap 安全補(bǔ)丁審計(jì)-手段最新補(bǔ)丁列表取得方式SolarisAIX安全補(bǔ)丁審計(jì)-手段安全補(bǔ)丁審計(jì)-手段安全補(bǔ)丁審計(jì)-注意事項(xiàng)補(bǔ)丁可能引起系統(tǒng)/應(yīng)用的問(wèn)題補(bǔ)丁時(shí)要注意文件的備份除系統(tǒng)補(bǔ)丁外，應(yīng)用的補(bǔ)丁也很重要端口審計(jì)-原理系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)服務(wù)，均會(huì)導(dǎo)致開(kāi)放特定的端口開(kāi)放端口后，網(wǎng)絡(luò)即可對(duì)此端口進(jìn)行訪問(wèn)，如果此端口的應(yīng)用存在安全漏洞，則可能導(dǎo)致系統(tǒng)的安全問(wèn)題大部分的黑客留下的后門，均開(kāi)放端口實(shí)現(xiàn)BindshellSshd backdoor端口審計(jì)-意義發(fā)現(xiàn)系統(tǒng)開(kāi)放的不必要的服務(wù)發(fā)現(xiàn)系統(tǒng)可能存在的后門為下一步加固關(guān)閉服務(wù)提供依據(jù)端口審計(jì)-手段系統(tǒng)

11、本身命令netstat系統(tǒng)外部工具nmap端口掃描工具可以掃描開(kāi)放的TCP、UDP端口可以進(jìn)行端口-服務(wù)識(shí)別Lsof i :3306查看系統(tǒng)打開(kāi)的文件端口審計(jì)-手段netstat a 顯示所有TCP UDP端口n 數(shù)字顯示地址和端口（不進(jìn)行IP反向解析）舉例netstat na |grep LISTEN 端口審計(jì)-手段nmap-sT TCP connect() 端口掃描-sU UDP 端口掃描-sV 服務(wù)版本識(shí)別-O TCP/IP指紋判斷系統(tǒng)類型-P0 不預(yù)先ping主機(jī)-p 端口掃描范圍示例nmap -sT -sU 端口審計(jì)-手段lsoflsof 列舉打開(kāi)此文件的程序lsof -i 列舉所有

12、打開(kāi)Internet socket的程序lsof -p 列舉此PID程序打開(kāi)的文件lsof -c 列舉此進(jìn)程打開(kāi)的文件端口審計(jì)-注意事項(xiàng)啟動(dòng)時(shí)打開(kāi)端口的服務(wù)可能的位置/etc/rc.local/etc/rc.sysinit/etc/system/etc/rc*.d/etc/inetd.conf部分端口為系統(tǒng)默認(rèn)必須開(kāi)放111 RPC端口關(guān)閉，CDE將不能運(yùn)行Rootkit、lkm等后門程序會(huì)隱藏開(kāi)放的特定端口進(jìn)程審計(jì)-原理服務(wù)器啟動(dòng)后運(yùn)行的程序，均可以以查看進(jìn)程的方式看到黑客留下的后門程序，除了對(duì)系統(tǒng)本身文件進(jìn)行修改的，大部分均會(huì)增添運(yùn)行進(jìn)程進(jìn)程審計(jì)-意義發(fā)現(xiàn)系統(tǒng)運(yùn)行的不必要服務(wù)發(fā)現(xiàn)黑客留下來(lái)

13、的后門程序?yàn)橄乱徊郊庸烫峁┮罁?jù)進(jìn)程審計(jì)-手段Ps-a /-e列出所有用戶進(jìn)程-f列出進(jìn)程的uid,ppids-l列出進(jìn)程的uids, ppids, pgids, winpids-u列出某用戶進(jìn)程舉例：ps -ef 進(jìn)程審計(jì)-手段lsoflsof 列舉打開(kāi)此文件的程序lsof -i 列舉所有打開(kāi)Internet socket的程序lsof -p 列舉此PID程序打開(kāi)的文件lsof -c 列舉此進(jìn)程打開(kāi)的文件進(jìn)程審計(jì)-手段其他相關(guān)系統(tǒng)命令pcred pid | core 查看進(jìn)程的身份（有效的和真實(shí)的用戶ID和組ID） pfiles -F pid 查看進(jìn)程打開(kāi)的文件 pflags -r pid |

14、 core 查看進(jìn)程的跟蹤標(biāo)志和信號(hào)狀態(tài) pldd -F pid | core 查看鏈接到進(jìn)程上的動(dòng)態(tài)鏈接 pmap -rxlF pid | core 查看進(jìn)程的地址空間映射表（詳細(xì)檢查進(jìn)程占用了多少虛擬內(nèi)存） psig pid 查看進(jìn)程的信號(hào) pstack -F pid | core 查看進(jìn)程的十六進(jìn)制/符號(hào)形式的堆棧記錄 ptime command args . 高精度地統(tǒng)計(jì)進(jìn)程占用CPU的時(shí)間 /usr/proc/bin/ptree 分層查看進(jìn)程的所有子進(jìn)程 pwait -v pid 等待指定的進(jìn)程終止 pwdx pid 查看進(jìn)程的當(dāng)前工作目錄 系統(tǒng)日志審計(jì)-原理系統(tǒng)日志記帳的兩個(gè)最主要

15、守護(hù)進(jìn)程 klogd syslogd會(huì)監(jiān)視基本上所有的系統(tǒng)動(dòng)作。其中klogd主要記錄一些系統(tǒng)內(nèi)核動(dòng)作。syslogd，它可以接收訪問(wèn)系統(tǒng)的日志信息并且根據(jù)/etc/syslog.conf配置文件中的指令處理這些信息。任何希望生成日志信息的程序都可向syslog接口呼叫來(lái)生成改信息。其他的一些日志utmpd，wtmpd這兩個(gè)進(jìn)程來(lái)進(jìn)行記帳的，然后通過(guò)utmppipe這個(gè)管道文件向/var/adm/utmpx這個(gè)文件寫(xiě)數(shù)據(jù) 系統(tǒng)日志審計(jì)-意義觀察系統(tǒng)的運(yùn)行狀態(tài)發(fā)現(xiàn)系統(tǒng)運(yùn)行中出現(xiàn)的錯(cuò)誤報(bào)警觀察程序的運(yùn)行情況和用戶的登陸情況，甚至運(yùn)行的命令。發(fā)現(xiàn)系統(tǒng)被黑客攻擊后殘留的痕跡。系統(tǒng)日志審計(jì)-手段/var

16、/adm/*messages系統(tǒng)核心的各種運(yùn)行日志（認(rèn)證、inetd）sulog普通用戶嘗試su成為其它用戶的紀(jì)錄 utmp/utmpx不具可讀性的，記錄著當(dāng)前登錄在主機(jī)上的用戶,用w，who等命令來(lái)看wtmp，wtmps 記錄著所有登錄過(guò)主機(jī)的用戶，時(shí)間，來(lái)源等內(nèi)容,也是不具可讀性的用last命令來(lái)看 syslog一般記錄mail事件 系統(tǒng)日志審計(jì)-手段如果使用bash，則可查看用戶運(yùn)行過(guò)的命令.bash_history額外的記帳功能需要執(zhí)行/usr/lib/acct目錄下的accton文件 格式如下/usr/lib/acct/accton /var/adm/pacct 系統(tǒng)日志審計(jì)-注意事

17、項(xiàng)日志可能被偽造最好系統(tǒng)配置為網(wǎng)絡(luò)統(tǒng)一接收日志可以使用一些日志分析軟件進(jìn)行深入挖掘系統(tǒng)日志審計(jì)-附加網(wǎng)絡(luò)日志發(fā)送服務(wù)器作如下配置/etc/syslog.conf*.err;kern.debug;daemon.notice;mail.crit;auth.notice 202.*.*.*接收服務(wù)器作如下配置確定/etc/services文件有syslog修改/etc/rc.d/init.d/syslog文件（syslogd_optoins“r”）修改/etc/syslog.conf文件，添加*.* /var/log/*.log推薦使用商業(yè)或是WINDOWS系統(tǒng)上使用的SYSLOG收集軟件文件權(quán)限文

18、件權(quán)限的8進(jìn)制表示屬主,組,其它分別以一個(gè)8進(jìn)制位表示,其中:r - 4w - 2x - 1例子: “-rwxr-x-” 8進(jìn)制表示為0750 040002000100004000000010 0000 -0750文件權(quán)限八進(jìn)制數(shù)表示文件權(quán)限文件權(quán)限Chmod/chown/chgrpchmod (改變權(quán)限）#chmod o+r file (用戶（u）、分組（g）、其他（0）)chown（改變擁有權(quán)）#chown user1 filechgrp（改變分組）#chgrp group1 file文件權(quán)限umask值當(dāng)創(chuàng)建了一個(gè)新文件或目錄時(shí)，它基于用戶的權(quán)限屏蔽“umask”來(lái)確定缺省的權(quán)限設(shè)置。c

19、hmod命令用來(lái)聲明要打開(kāi)的權(quán)限，而umask命令用來(lái)指明要禁止的權(quán)限。它用一個(gè)簡(jiǎn)單的三位數(shù)變?cè)獊?lái)聲明在一個(gè)文件或目錄被創(chuàng)建時(shí)應(yīng)該被禁止的訪問(wèn)權(quán)限或被屏蔽的。umask主要在系統(tǒng)范圍及個(gè)人的登錄文件.login或.profile中建立。文件權(quán)限應(yīng)該設(shè)置root用戶的umask為077，這使其它用戶不能讀寫(xiě)root新創(chuàng)建的文件。在多數(shù)系統(tǒng)中，u m a s k的缺省值是0 2 2。SUID和SGID文件SUID表示“設(shè)置用戶ID”，SGID表示“設(shè)置組ID”。當(dāng)用戶執(zhí)行一個(gè)SUID文件時(shí)，用戶ID在程序運(yùn)行過(guò)程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級(jí)用戶。同樣，當(dāng)一個(gè)

20、用戶執(zhí)行SGID文件時(shí)，用戶的組被置為文件的組。Unix實(shí)際上有兩種類型的用戶ID。 “real user ID”是在登錄過(guò)程中建立的用戶ID。 effective user ID是在登錄后的會(huì)話過(guò)程中通過(guò)SUID和SGID位來(lái)修改。 文件權(quán)限#find /-type f (-perm -4000 -o -perm -2000) ls這告訴find列出所有設(shè)置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。應(yīng)該在每個(gè)本地系統(tǒng)中運(yùn)行它。 使用基于utmp/wtmp的命令who命令查詢utmp文件并報(bào)告當(dāng)前每個(gè)登錄的用戶。使用基于utmp/wtmp的命令w命令查詢utm

21、p文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和他所運(yùn)行的進(jìn)程信息。標(biāo)題欄顯示當(dāng)前時(shí)間、系統(tǒng)已運(yùn)行了多長(zhǎng)時(shí)間、當(dāng)前有多少用戶登錄以及過(guò)去1、5和15分鐘內(nèi)的系統(tǒng)平均負(fù)載。日志子系統(tǒng)users命令users命令用單獨(dú)一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名將顯示相同的次數(shù)。$ usersalice carol dave bob日志子系統(tǒng) last命令往回搜索wtmp來(lái)顯示自從文件第一次創(chuàng)建后登錄過(guò)的用戶。它還報(bào)告終端類型和日期。日志子系統(tǒng)ac命令根據(jù)當(dāng)前/var/log/wtmp文件中的登錄進(jìn)入和退出來(lái)報(bào)告用戶連接的時(shí)間（小時(shí)）。如果不使用標(biāo)志，則

22、報(bào)告總的時(shí)間。 $ actotal 136.25“- d”標(biāo)志產(chǎn)生每天的總的連接時(shí)間?！? p”標(biāo)志報(bào)告每個(gè)用戶的總的連接時(shí)間日志子系統(tǒng)lastcomm命令報(bào)告以前執(zhí)行的命令。不帶變?cè)獣r(shí)， lastcomm命令顯示當(dāng)前統(tǒng)計(jì)文件生命周期內(nèi)記錄的所有命令的有關(guān)信息，包括命令名、用戶、tty、命令花費(fèi)的CPU時(shí)間和一個(gè)時(shí)間戳。第二章 Linux主機(jī)安全運(yùn)行目錄 2.1 帳號(hào)、口令 2.2 網(wǎng)絡(luò)與服務(wù) 2.3 日志 2.4 其他LINUX-賬號(hào)、口令賬號(hào)要求內(nèi)容清除或鎖定系統(tǒng)賬號(hào):操作指南1、參考配置操作cat /etc/passwd|awk -F: ($3=0) print $1usermod -s

23、 /sbin/nologin haltLINUX-賬號(hào)、口令賬號(hào)要求內(nèi)容為用戶設(shè)置合適的缺省umask值:操作指南1、參考配置操作cd /etcfor pro csh.cshrc bashrcdoif grep -c umask $file -eq 0 ;thenecho umask 022 $filefichown root:root $filechmod 444 $filedoneLINUX-賬號(hào)、口令口令要求內(nèi)容/etc/login.defs中設(shè)置口令策略操作指南1、參考配置操作在/etc/login.defs文件中定義，其中有四項(xiàng)相關(guān)內(nèi)容：PASS_MAX_DAYS 密碼最長(zhǎng)時(shí)效（天）

24、PASS_MIN_DAYS 密碼最短時(shí)效（天）PASS_MIN_LEN 最短密碼長(zhǎng)度PASS_WARN_AGE 密碼過(guò)期前PASS_WARN_AGE天警告用戶編輯/etc/login.defs文件，設(shè)定：PASS_MAX_DAYS=90PASS_MIN_DAYS=0PASS_MIN_LEN=8PASS_WARN_AGE=30LINUX-網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)要求內(nèi)容網(wǎng)絡(luò)參數(shù)調(diào)整:操作指南1、參考配置操作cat /etc/sysctl.confnet.ipv4.ip_forward = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.tcp_max_

25、syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1END_SCRIPTcat /etc/sysctl.confnet.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0END_SCRIPTchown root:root /etc/sysctl.confchmod 0600 /etc/sysctl.confLINUX-網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)連接訪問(wèn)控制要求內(nèi)容網(wǎng)絡(luò)連接訪問(wèn)控制的設(shè)置操作

26、指南設(shè)置方法：1、使用iptable或ipchains進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制2、使用xinetd本身的訪問(wèn)控制機(jī)制對(duì)xinetd啟動(dòng)的服務(wù)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制；xinetd可以在其配置文件中使用only_from和no_access指令限制可以訪問(wèn)該服務(wù)的主機(jī)，tcpd的配置文件是/etc/hosts.allow和/etc/hosts.deny；具體配置方法參見(jiàn)manual。使用xinetd自帶的訪問(wèn)控制機(jī)制控制對(duì)telnet服務(wù)的訪問(wèn)# default: on# description: The telnet server serves telnet sessions; it uses # unenc

27、rypted username/password pairs for authentication.service telnet disable = no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID# allow access from host freebsd and network /24 only_from = freebsd /24# also allow access from host 59 only_f

28、rom += 59# deny access from host freebsd if uncomment the following line# no_access = freebsdLINUX-網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)連接訪問(wèn)控制要求內(nèi)容網(wǎng)絡(luò)連接訪問(wèn)控制的設(shè)置操作指南設(shè)置方法：3、使用pam系統(tǒng)中的pam_access模塊提供的訪問(wèn)控制機(jī)制；配置文件是/etc/security/access.conf，該文件中提供了該文件的語(yǔ)法。使用pam_access進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制在pam文件中添加pam_access模塊（以system-auth文件為例）#%PAM-1.0# This auto-genera

29、ted.# User changes will be destroyed the next time authconfig is run.auth required /lib/security/pam_env.soauth sufficient /lib/security/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword re

30、quired /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.sosession required /lib/security/pam_limits.sosession required /lib/security

31、/pam_unix.soLINUX-網(wǎng)絡(luò)與服務(wù)服務(wù)要求內(nèi)容rc?.d中的服務(wù)設(shè)置 操作指南1、參考配置操作Linux的服務(wù)主要由/etc/inittab和/etc/rc?.d/S*文件啟動(dòng)，事實(shí)上，/etc/inittab的主要任務(wù)是為每一個(gè)runlevel指定啟動(dòng)文件，從而啟動(dòng)/etc/rc?.d/S*文件。例如，在默認(rèn)的運(yùn)行級(jí)別3中系統(tǒng)將運(yùn)行/etc/rc3.d/目錄中所有S打頭的文件。runlevel 檢查當(dāng)前運(yùn)行級(jí)別（第一項(xiàng)是pre-runlevel，第二項(xiàng)是當(dāng)前的runlevel）chkconfig list 檢查所有級(jí)別中啟動(dòng)的服務(wù)情況chkconfig list |grep 3:

32、on 檢查某一級(jí)別（例如級(jí)別3）中啟動(dòng)的服務(wù)chkconfig sendmail off 將sendmail從啟動(dòng)目錄中除去LINUX-網(wǎng)絡(luò)與服務(wù)服務(wù)要求內(nèi)容/etc/xinetd.d中服務(wù)設(shè)置操作指南1、參考配置操作vi編輯/etc/xinetd.d/中的配置文件，在不需要啟動(dòng)的服務(wù)配置文件中添加disable=yes。建議關(guān)閉所有服務(wù)，如果管理需要，則可以打開(kāi)telnetd和ftpd服務(wù)。使用vi編輯/etc/xinetd.d/rlogin文件，控制rlogin服務(wù)的啟動(dòng)狀態(tài)# default: on# description: rlogind is the server for the

33、rlogin(1) program. The server # provides a remote login facility with authentication based on # privileged port numbers from trusted hosts.service login disable = yes socket_type = stream wait = no user = root log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rlogindLINUX-網(wǎng)絡(luò)與服務(wù)

34、NFS服務(wù)要求內(nèi)容NFS服務(wù)設(shè)置操作指南1、參考配置操作chkconfig -list nfs 顯示NFS服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)/etc/init.d/nfs start|stop 啟動(dòng)|停止nfs服務(wù)showmount -e 顯示本機(jī)輸出的NFS文件系統(tǒng)mount 顯示本機(jī)加載的文件系統(tǒng)（包括NFS文件系統(tǒng)）LINUX-網(wǎng)絡(luò)與服務(wù)SNMP服務(wù)要求內(nèi)容SNMP服務(wù)設(shè)置操作指南1、參考配置操作chkconfig -list snmpd顯示snmpd服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig snmpd off 將snmpd服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/snmpd start|st

35、op 啟動(dòng)|停止snmpd服務(wù)2、補(bǔ)充說(shuō)明如果系統(tǒng)不需要SNMP服務(wù)，可以關(guān)閉該服務(wù)（使用chkconfig命令）；如果不能關(guān)閉，需要在/etc/snmp/snmpd.conf中指定不同的community name。LINUX-網(wǎng)絡(luò)與服務(wù)Sendmail服務(wù)要求內(nèi)容Sendmail服務(wù)設(shè)置操作指南1、參考配置操作chkconfig -list sendmail顯示sendmail服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig sendmail off 將sendmail服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/sendmail start|stop 啟動(dòng)|停止sendmail服務(wù)2、補(bǔ)充說(shuō)明如

36、果系統(tǒng)不需要Sendmail服務(wù)，可以關(guān)閉該服務(wù)（使用chkconfig命令）；如果不能關(guān)閉，將sendmail服務(wù)升級(jí)到最新，并在其配置文件/etc/sendmail.cf中指定不同banner LINUX-網(wǎng)絡(luò)與服務(wù)DNS（Bind）服務(wù)要求內(nèi)容DNS服務(wù)設(shè)置操作指南1、參考配置操作chkconfig -list named顯示named服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig named off 將named服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/named start|stop 啟動(dòng)|停止named服務(wù)2、補(bǔ)充說(shuō)明如果系統(tǒng)不需要DNS服務(wù)，可以關(guān)閉該服務(wù)（使用chkconfig命

37、令）；如果不能關(guān)閉，將DNS服務(wù)升級(jí)到最新，并在其配置文件修改版本號(hào) LINUX-日志syslog文件 要求內(nèi)容syslog 文件設(shè)置操作指南1、參考配置操作對(duì)ssh、su登錄日志進(jìn)行記錄：# vi /etc/syslog.conf 加入以下信息，使和登陸驗(yàn)證有關(guān)的日志信息記錄到secure文件中# The authpriv restricted access.authpriv.* /var/log/secure重新啟動(dòng)syslogd：# /etc/init.d/syslog restart LINUX-日志日志系統(tǒng) 要求內(nèi)容日志系統(tǒng)設(shè)置操作指南1、參考配置操作捕捉發(fā)送給AUTH 和AUTHP

38、RIV facility的消息到日志文件/var/log/secure:if grep -c auth. /etc/syslog.conf -eq 0 thenecho -e auth.*tttt/var/log/secure /etc/syslog.conffiif grep -c authpriv. /etc/syslog.conf eq 0 thenecho -e authpriv.*tttt/var/log/secure /etc/syslog.conffitouch /var/log/securechown root:root /var/log/securechmod 600 /va

39、r/log/secure LINUX-其它文件/目錄訪問(wèn)許可權(quán)限 要求內(nèi)容設(shè)置/etc/fstab中的可移動(dòng)介質(zhì)增加”nosuid”選項(xiàng)操作指南1、參考配置操作awk ($2 /m.*/(floppy|cdrom)$/ & $3 != supermount) $4 = sprintf(%s,nosuid, $4) ; print /etc/fstab /etc/fstab.newmv /etc/fstab.new /etc/fstabchown root:root /etc/fstabchmod 0644 /etc/fstab LINUX-其它文件/目錄訪問(wèn)許可權(quán)限 要求內(nèi)容禁止普通用戶來(lái)mo

40、unt可移動(dòng)文件系統(tǒng)設(shè)置操作指南1、參考配置操作cd /etc/securityegrep -v (floppy|cdrom) console.perms console.perms.newmv console.perms.new console.permsgrep -v supermount /etc/fstab /etc/fstab.newmv /etc/fstab.new /etc/fstabchown root:root console.perms /etc/fstabchmod 0600 console.permschmod 0644 /etc/fstab LINUX-其它文件/目錄

41、訪問(wèn)許可權(quán)限 要求內(nèi)容設(shè)置passwd, shadow, 和group文件正確的許可權(quán)限 操作指南1、參考配置操作cd /etcchown root:root passwd shadow groupchmod 644 passwd groupchmod 400 shadow LINUX-其它系統(tǒng)訪問(wèn), 認(rèn)證和授權(quán) 要求內(nèi)容設(shè)置PAM文件中刪除.rhosts支持 操作指南1、參考配置操作for echo /etc/pam.d/* ; dogrep -v rhosts_auth $file $mv $ $filechown root:root $filechmod 644 $filedoneLIN

42、UX-其它系統(tǒng)訪問(wèn), 認(rèn)證和授權(quán) 要求內(nèi)容Crontab文件限制訪問(wèn)權(quán)限 操作指南1、參考配置操作chown root:root /etc/crontabchmod 400 /etc/crontabchown -R root:root /var/spool/cronchmod -R go-rwx /var/spool/cronchown -R root:root /etc/cron.*chmod -R go-rwx /etc/cron.*LINUX-其它系統(tǒng)訪問(wèn), 認(rèn)證和授權(quán) 要求內(nèi)容限制root登錄到系統(tǒng)控制臺(tái) 操作指南1、參考配置操作cat /etc/securettyconsoleEND

43、_FILEchown root:root /etc/securettychmod 400 /etc/securettyLINUX-其它系統(tǒng)的環(huán)境變量 要求內(nèi)容系統(tǒng)環(huán)境變量設(shè)置操作指南1、參考配置操作系統(tǒng)的環(huán)境變量在下列文件中設(shè)置：/etc/profileBash：/.bash_profile/.bash_login/.profile/.bashrc/etc/bashrcTcsh/Csh：/etc/csh.cshrc/etc/csh.login/.tcshrc或/.cshrc/.history/.login/.cshdirsPrintenv,env,set 查看用戶的環(huán)境變量檢查環(huán)境變量PATH

44、，確保其中不包含本地目錄（.）。LINUX-其它系統(tǒng)補(bǔ)丁要求內(nèi)容補(bǔ)丁安裝 操作指南1、參考配置操作rpm -qa 查看系統(tǒng)當(dāng)前安裝的rpm包rpm -ivh package1 安裝RPM包rpm -Uvh package1 升級(jí)RPM包rpm -Fvh package1 升級(jí)RPM包（如果原先沒(méi)有安裝，則不安裝）Yum -update 第三章Solaris主機(jī)安全運(yùn)行目錄 3.1 帳號(hào)管理、認(rèn)證授權(quán) 3.2 日志配置要求 3.3 IP協(xié)議安全配置要求 3.4 設(shè)備其他安全配置要求帳號(hào)管理、認(rèn)證授權(quán)-帳號(hào)帳號(hào)-安全要求-設(shè)備-SOLARIS-配置-1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)，避免不

45、同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號(hào)：#useradd username #創(chuàng)建賬號(hào)#passwd username #設(shè)置密碼修改權(quán)限：#chmod 750 directory #其中755為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。檢測(cè)方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作；帳號(hào)管理、認(rèn)證授權(quán)帳號(hào)-安全要求-設(shè)備-SOLARIS-配置-2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)

46、行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號(hào)，包括root,bin等。操作指南1、參考配置操作刪除用戶：#userdel username; 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd -l username只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwd -l username鎖定用戶,用#passwd d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說(shuō)明需要鎖定的用戶：listen,gdm,webse

47、rvd,nobody,nobody4、noaccess。檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無(wú)法登錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說(shuō)明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。帳號(hào)管理、認(rèn)證授權(quán)帳號(hào)-安全要求-設(shè)備-SOLARIS-配置-3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南參考配置操作編輯/etc/default/login，加上：CONSOLE=/dev/console # I

48、f CONSOLE is set, root can only login on that device.此項(xiàng)只能限制root用戶遠(yuǎn)程使用telnet登錄。用ssh登錄，修改此項(xiàng)不會(huì)看到效果的2、補(bǔ)充操作說(shuō)明如果限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。Solaris 8上沒(méi)有該路徑/usr/local/etc下有該文件Solaris 9上有該路徑/文件檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功，提示“Not on system console”；普通用戶可

49、以登錄成功，而且可以切換到root用戶；2、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄；普通用戶從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說(shuō)明限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。帳號(hào)管理、認(rèn)證授權(quán)帳號(hào)-安全要求-設(shè)備-SOLARIS-配置-4要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將用戶賬號(hào)分配到相應(yīng)的帳戶組 操作指南1、參考配置操作創(chuàng)建帳戶組：#groupadd g GID group

50、name #創(chuàng)建一個(gè)組，并為其設(shè)置GID號(hào)，若不設(shè)GID，系統(tǒng)會(huì)自動(dòng)為該組分配一個(gè)GID號(hào)；#usermod g group username #將用戶username分配到group組中。查詢被分配到的組的GID：#id username可以根據(jù)實(shí)際需求使用如上命令進(jìn)行設(shè)置。2、補(bǔ)充操作說(shuō)明可以使用 -g 選項(xiàng)設(shè)定新組的 GID。0 到 499 之間的值留給 root、bin、mail 這樣的系統(tǒng)賬號(hào)，因此最好指定該值大于 499。如果新組名或者 GID 已經(jīng)存在，則返回錯(cuò)誤信息。當(dāng)group_name字段長(zhǎng)度大于八個(gè)字符，groupadd命令會(huì)執(zhí)行失?。划?dāng)用戶希望以其他用戶組成員身份出現(xiàn)時(shí)

51、，需要使用newgrp命令進(jìn)行更改，如#newgrp sys 即把當(dāng)前用戶以sys組身份運(yùn)行； 檢測(cè)方法1、判定條件可以查看到用戶賬號(hào)分配到相應(yīng)的帳戶組中；或都通過(guò)命令檢查賬號(hào)是否屬于應(yīng)有的組：#id username 2、檢測(cè)操作查看組文件：cat /etc/group 帳號(hào)管理、認(rèn)證授權(quán)帳號(hào)-安全要求-設(shè)備-SOLARIS-配置-5要求內(nèi)容對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制，確保系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由該賬號(hào)登錄系統(tǒng)。如果系統(tǒng)沒(méi)有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，應(yīng)刪除這些賬號(hào) 操作指南1、參考配置操作禁止賬號(hào)交互式登錄：修改/etc/shadow文件，用戶名后密碼列為NP；刪除賬號(hào)：#use

52、rdel username;2、補(bǔ)充操作說(shuō)明禁止交互登錄的系統(tǒng)賬號(hào)，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 檢測(cè)方法1、判定條件被禁止賬號(hào)交互式登錄的帳戶遠(yuǎn)程登錄不成功；2、檢測(cè)操作用root登錄后，新建一賬號(hào)，密碼不設(shè)，從遠(yuǎn)程用此帳戶登錄，登錄會(huì)顯示login incorrect，如果root用戶沒(méi)設(shè)密碼沒(méi)有任何提示信息直接退出；帳號(hào)管理、認(rèn)證授權(quán)-口令口令-安全要求-設(shè)備-SOLARIS-配置-1要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類中至少2類 操作指南1、參考配置操作 vi /e

53、tc/default/passwd ，修改設(shè)置如下PASSLENGTH = 6 #設(shè)定最小用戶密碼長(zhǎng)度為6位MINALPHA=2；MINNONALPHA=1 #表示至少包括兩個(gè)字母和一個(gè)非字母；具體設(shè)置可以參看補(bǔ)充說(shuō)明。當(dāng)用root帳戶給用戶設(shè)定口令的時(shí)候不受任何限制，只要不超長(zhǎng)。2、補(bǔ)充操作說(shuō)明Solaris10默認(rèn)如下各行都被注釋掉，并且數(shù)值設(shè)置和解釋如下：MINDIFF=3 # Minimum differences required between an old and a new password.MINALPHA=2 # Minimum number of alpha charac

54、ter required.MINNONALPHA=1 # Minimum number of non-alpha (including numeric and special) required.MINUPPER=0 # Minimum number of upper case letters required.MINLOWER=0 # Minimum number of lower case letters required.MAXREPEATS=0 # Maximum number of allowable consecutive repeating characters.MINSPECI

55、AL=0 # Minimum number of special (non-alpha and non-digit) characters required.MINDIGIT=0 # Minimum number of digits required.WHITESPACE=YESSolaris8默認(rèn)沒(méi)有這部分的數(shù)值設(shè)置需要手工添加NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。 帳號(hào)管理、認(rèn)證授權(quán)-口令口令-安全要求-設(shè)備-SOLARIS-配置-2檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置選項(xiàng)

56、是否可以進(jìn)行如下配置：配置口令的最小長(zhǎng)度；將口令配置為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于6位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。3、補(bǔ)充說(shuō)明對(duì)于Solaris 8以前的版本，PWLEN對(duì)應(yīng)PASSLENGTH等，需根據(jù)/etc/default/passwd文件說(shuō)明確定。NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。 帳號(hào)管理、認(rèn)證授權(quán)-口令口令-安全要求-設(shè)備-SOLARIS-配置-3要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于

57、90天 操作指南1、參考配置操作vi /etc/default/passwd文件：MAXWEEKS=13密碼的最大生存周期為13周；（Solaris 8&10）PWMAX= 90 #密碼的最大生存周期；（Solaris 其它版本）2、補(bǔ)充操作說(shuō)明對(duì)于Solaris 8以前的版本，PWMIN對(duì)應(yīng)MINWEEKS,PWMAX對(duì)應(yīng)MAXWEEKS等，需根據(jù)/etc/default/passwd文件說(shuō)明確定。NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。 檢測(cè)方法1、判定條件登錄不成功；2、檢測(cè)操作使用超過(guò)90天的帳戶口令登錄；3、補(bǔ)充說(shuō)明測(cè)試時(shí)可以將90天的設(shè)置縮短來(lái)做測(cè)試；NIS系統(tǒng)無(wú)法

58、生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。 帳號(hào)管理、認(rèn)證授權(quán)-口令口令-安全要求-設(shè)備-SOLARIS-配置-4要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令 操作指南1、參考配置操作vi /etc/default/passwd ，修改設(shè)置如下HISTORY52、補(bǔ)充操作說(shuō)明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORY# value

59、to zero (0), or removing/commenting out the flag will# cause all users prior password history to be discarded at the# next password change by any user. No password history will# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效 檢

60、測(cè)方法1、判定條件設(shè)置密碼不成功2、檢測(cè)操作cat /etc/default/passwd ，設(shè)置如下HISTORY53、補(bǔ)充說(shuō)明默認(rèn)沒(méi)有HISTORY的標(biāo)記，即不記錄以前的密碼NIS系統(tǒng)無(wú)法生效，非NIS系統(tǒng)或NIS+系統(tǒng)能夠生效。 帳號(hào)管理、認(rèn)證授權(quán)-口令口令-安全要求-設(shè)備-SOLARIS-配置-5要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指南1、參考配置操作指定當(dāng)本地用戶登陸失敗次數(shù)等于或者大于允許的重試次數(shù)則賬號(hào)被鎖定：vi /etc/user_attrvi /etc/security/policy.conf設(shè)