linux第10章系統(tǒng)安全課件

Linux操作系統(tǒng)實(shí)訓(xùn)教程主講人劉曉輝Linux操作系統(tǒng)實(shí)訓(xùn)教程主講人劉曉輝1第10章Linux系統(tǒng)安全本章要點(diǎn)常見(jiàn)攻擊類(lèi)型Linux系統(tǒng)安全策略網(wǎng)絡(luò)服務(wù)安全腳本安全使用Snort進(jìn)行入侵檢測(cè)網(wǎng)絡(luò)防火墻第10章Linux系統(tǒng)安全本章要點(diǎn)210.1常見(jiàn)的攻擊類(lèi)型10.1.1掃描10.1.2嗅探10.1.3木馬10.1.4病毒幾種常見(jiàn)的攻擊方式，包括端口掃描、嗅探、種植木馬、傳播病毒等等。10.1常見(jiàn)的攻擊類(lèi)型10.1.1掃描310.1.1掃描1.什么是掃描器2.工作原理3.掃描器能干什么4.常用的端口掃描技術(shù)（1）TCPconnect()掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描（5）TCP反向ident掃描（6）FTP返回攻擊10.1.1掃描1.什么是掃描器410.1.2嗅探1.嗅探原理2.嗅探造成的危害竊取用戶(hù)名和密碼捕獲專(zhuān)用或機(jī)密信息竊取高級(jí)訪(fǎng)問(wèn)權(quán)限窺探低級(jí)的協(xié)議信息3.常見(jiàn)的嗅探器Tcpdump/WindumpSniffitEttercapSnarp4.嗅探特征網(wǎng)絡(luò)通信丟包率反常網(wǎng)絡(luò)帶寬出現(xiàn)反常5.嗅探對(duì)策及時(shí)打補(bǔ)丁本機(jī)監(jiān)控監(jiān)控本地局域網(wǎng)的數(shù)據(jù)幀對(duì)敏感數(shù)據(jù)加密使用安全的拓樸結(jié)構(gòu)10.1.2嗅探1.嗅探原理4.嗅探特征510.1.3木馬提示網(wǎng)絡(luò)客戶(hù)/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)（服務(wù)器），另一臺(tái)主機(jī)接受服務(wù)（客戶(hù)機(jī)）。作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(tīng)，如果有客戶(hù)機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶(hù)機(jī)的請(qǐng)求，這個(gè)程序稱(chēng)為守護(hù)進(jìn)程。對(duì)于特洛伊木馬，被控制端就成為一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶(hù)機(jī)。10.1.3木馬提示網(wǎng)絡(luò)客戶(hù)/服務(wù)模式的原理是一610.1.4病毒1.可執(zhí)行文件型病毒2.蠕蟲(chóng)（worm）病毒3.腳本病毒4.后門(mén)程序10.1.4病毒1.可執(zhí)行文件型病毒710.2Linux系統(tǒng)安全策略10.2.1分區(qū)安全10.2.2系統(tǒng)引導(dǎo)安全10.2.3賬號(hào)安全10.2.4密碼安全10.2.5系統(tǒng)日志系統(tǒng)安全包括分區(qū)安全、系統(tǒng)引導(dǎo)安全、賬號(hào)安全、密碼安全等10.2Linux系統(tǒng)安全策略10.2.1分區(qū)安全810.2.1分區(qū)安全修改/etc/fstab提示各個(gè)單獨(dú)分區(qū)的磁盤(pán)空間大小應(yīng)充分考慮，避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰。10.2.1分區(qū)安全修改/etc/fstab提示910.2.3賬號(hào)安全使用su命令刪除用戶(hù)修改文件屬性10.2.3賬號(hào)安全使用su命令刪除用戶(hù)修改文件1010.2.4密碼安全1.強(qiáng)制密碼設(shè)置規(guī)范2.密碼數(shù)據(jù)庫(kù)的保護(hù)手段提示系統(tǒng)管理員可以采取各種策略來(lái)確保密碼安全。但首先要讓用戶(hù)們明白密碼安全的重要性，同時(shí)制定密碼策略來(lái)強(qiáng)制密碼設(shè)置規(guī)范。這包括確定可接受的密碼設(shè)置要求、更換密碼的時(shí)限、密碼需要包含多少字符等等。系統(tǒng)管理員還可以運(yùn)行檢測(cè)工具來(lái)查找密碼數(shù)據(jù)庫(kù)的安全漏洞。10.2.4密碼安全1.強(qiáng)制密碼設(shè)置規(guī)范提示1110.2.5系統(tǒng)日志1.基本日志命令的使用2.使用Syslog設(shè)備連接時(shí)間日志進(jìn)程統(tǒng)計(jì)錯(cuò)誤日志10.2.5系統(tǒng)日志1.基本日志命令的使用連接時(shí)間日12連接時(shí)間日志和錯(cuò)誤日志查看錯(cuò)誤日志連結(jié)時(shí)間日志所有位置連接時(shí)間日志和錯(cuò)誤日志查看錯(cuò)誤日志連結(jié)時(shí)間日志132.使用Syslog設(shè)備記錄郵件信息到一個(gè)文件中存儲(chǔ)日志并設(shè)置級(jí)別2.使用Syslog設(shè)備記錄郵件信息存儲(chǔ)日志142.使用Syslog設(shè)備將日志發(fā)送到郵箱將消息傳送至messages提示在有些情況下，可以把日志送到打印機(jī)，這樣網(wǎng)絡(luò)入侵者怎么修改日志都不能清除入侵的痕跡。因此，syslog設(shè)備是一個(gè)攻擊者的顯著目標(biāo)，破壞了它將會(huì)使用戶(hù)很難發(fā)現(xiàn)入侵以及入侵的痕跡，因此要特別注意保護(hù)其守護(hù)進(jìn)程以及配置文件。2.使用Syslog設(shè)備將日志發(fā)送到郵箱將消息傳送至1510.3網(wǎng)絡(luò)服務(wù)安全10.3.1iptables10.3.2TCPWrappers10.3.3xinetd10.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題網(wǎng)絡(luò)服務(wù)安全包括：iptables、TCPWrappers、xinetd及其他常見(jiàn)網(wǎng)絡(luò)服務(wù)安全。10.3網(wǎng)絡(luò)服務(wù)安全10.3.1iptables1610.3.1iptables1.iptables基礎(chǔ)2.簡(jiǎn)單iptable管理10.3.1iptables1.iptables基礎(chǔ)171.iptables基礎(chǔ)用man查看iptables幫助信息GNOME進(jìn)入安全級(jí)別設(shè)置提示基于瀏覽器界面的服務(wù)器管理系統(tǒng)Webmin也具備iptable的管理能力。甚至有些Linux的發(fā)布版本的整個(gè)目的就是為了提供一個(gè)iptable的GUI前臺(tái)、一定的配置功能、合理健全的默認(rèn)配置、路由服務(wù)配置界面的整合以及其他常用的網(wǎng)絡(luò)防火墻設(shè)備的功能。1.iptables基礎(chǔ)用man查看iptables幫182.簡(jiǎn)單iptable管理（1）備份（2）恢復(fù)（3）安全設(shè)置修改內(nèi)核變量修改腳本2.簡(jiǎn)單iptable管理（1）備份19（1）備份進(jìn)行設(shè)置執(zhí)行“iptables-L”命令（1）備份進(jìn)行設(shè)置執(zhí)行“iptables-L”命令20（1）備份存儲(chǔ)iptables設(shè)置（1）備份存儲(chǔ)iptables設(shè)置21（2）恢復(fù)和（3）安全設(shè)置恢復(fù)設(shè)置修改network腳本（2）恢復(fù)和（3）安全設(shè)置恢復(fù)設(shè)置修改netwo2210.3.2TCPWrappers1.TcpWrappers的功能2.TcpWrappers的配置查看tcp_wrappers具體信息的文件所有位置配置hosts.allow10.3.2TCPWrappers1.TcpWr2310.3.3xinetdxinetd服務(wù)配置10.3.3xinetdxinetd服務(wù)配置2410.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題1.WuFTPD2.Telnet3.Sd10.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題1.WuFTPD2510.4腳本安全10.4.1處理用戶(hù)輸入10.4.2注意隱式輸入腳本就是運(yùn)行在網(wǎng)頁(yè)服務(wù)器上的文本程序，例如：ASP、PHP、CGI、JSP、ISAP等，腳本攻擊就是利用這些文件的設(shè)置和編寫(xiě)時(shí)的錯(cuò)誤或疏忽，進(jìn)行攻擊的，如果一個(gè)服務(wù)器存在這些漏洞，那么它就很容易被攻破。這些文本文件一般都是要結(jié)合數(shù)據(jù)庫(kù)來(lái)使用的，這些數(shù)據(jù)庫(kù)有Access、MsSQL、MySQL、Oracle等。10.4腳本安全10.4.1處理用戶(hù)輸入2610.5使用Snort進(jìn)行入侵檢測(cè)10.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介10.5.2snort介紹10.5.3安裝Snort10.5.4使用Snort10.5.5配置snort規(guī)則10.5.6編寫(xiě)Snort規(guī)則10.5.7snort規(guī)則應(yīng)用舉例入侵檢測(cè)和使用網(wǎng)絡(luò)防火墻，正是安全防范的兩大措施。10.5使用Snort進(jìn)行入侵檢測(cè)10.5.1入侵檢2710.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)2.基于主機(jī)的入侵檢測(cè)系統(tǒng)3.混合式入侵檢測(cè)系統(tǒng)4.文件完整性檢查工具10.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介1.基于網(wǎng)絡(luò)的入侵檢測(cè)系2810.5.2snort介紹1.snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)2.snort的可移植性很好3.snort的功能非常強(qiáng)大10.5.2snort介紹1.snort是一個(gè)輕量級(jí)2910.5.3安裝Snort1.獲得snortSnort下載地址：2.安裝snort10.5.3安裝Snort1.獲得snort301.獲得snort下載snort壓縮包下載libpcap庫(kù)壓縮包1.獲得snort下載snort下載libpcap312.安裝snort（1）解壓libpcap包和snort包（2）編譯libpcap庫(kù)（3）安裝snort（4）編譯snort鼠標(biāo)右鍵解壓執(zhí)行./configure命令2.安裝snort（1）解壓libpcap包和sno3210.5.4使用Snort1.作為嗅探器2.記錄數(shù)據(jù)包3.作為入侵檢測(cè)系統(tǒng)查看snort用法提示Snort命令的各個(gè)參數(shù)可以分開(kāi)寫(xiě)或任意結(jié)合在一塊。例如，./snort-d-v-e和./snort-vde的效果是完全相同的。10.5.4使用Snort1.作為嗅探器查看snor332.記錄數(shù)據(jù)包使用-vde參數(shù)記錄數(shù)據(jù)包2.記錄數(shù)據(jù)包使用-vde參數(shù)記錄數(shù)據(jù)包342.記錄數(shù)據(jù)包執(zhí)行“snort–l/log-b”2.記錄數(shù)據(jù)包執(zhí)行“snort–l/log-b”353.作為入侵檢測(cè)系統(tǒng)snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS），使用下面的命令行可以啟動(dòng)這種模式：./snort-dev-l./log-h5/24-csnort.conf提示如果用戶(hù)想長(zhǎng)期使用snort作為自己的入侵檢測(cè)系統(tǒng)，最好不要使用-v選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng)，使snort向屏幕上輸出一些信息，會(huì)大大降低snort的處理速度，從而在向顯示器輸出的過(guò)程中丟棄一些包。3.作為入侵檢測(cè)系統(tǒng)snort最重要的用3610.5.5配置snort規(guī)則pass：放行數(shù)據(jù)包log：把數(shù)據(jù)包記錄到日志文件alert：產(chǎn)生報(bào)警消息并日志數(shù)據(jù)包10.5.5配置snort規(guī)則pass：放行數(shù)據(jù)包3710.6動(dòng)手實(shí)踐安裝snort并用snort進(jìn)行入侵檢測(cè)（1）下載（2）安裝10.6動(dòng)手實(shí)踐安裝snort并用snort進(jìn)行入侵檢38Linux操作系統(tǒng)實(shí)訓(xùn)教程主講人劉曉輝Linux操作系統(tǒng)實(shí)訓(xùn)教程主講人劉曉輝39第10章Linux系統(tǒng)安全本章要點(diǎn)常見(jiàn)攻擊類(lèi)型Linux系統(tǒng)安全策略網(wǎng)絡(luò)服務(wù)安全腳本安全使用Snort進(jìn)行入侵檢測(cè)網(wǎng)絡(luò)防火墻第10章Linux系統(tǒng)安全本章要點(diǎn)4010.1常見(jiàn)的攻擊類(lèi)型10.1.1掃描10.1.2嗅探10.1.3木馬10.1.4病毒幾種常見(jiàn)的攻擊方式，包括端口掃描、嗅探、種植木馬、傳播病毒等等。10.1常見(jiàn)的攻擊類(lèi)型10.1.1掃描4110.1.1掃描1.什么是掃描器2.工作原理3.掃描器能干什么4.常用的端口掃描技術(shù)（1）TCPconnect()掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描（5）TCP反向ident掃描（6）FTP返回攻擊10.1.1掃描1.什么是掃描器4210.1.2嗅探1.嗅探原理2.嗅探造成的危害竊取用戶(hù)名和密碼捕獲專(zhuān)用或機(jī)密信息竊取高級(jí)訪(fǎng)問(wèn)權(quán)限窺探低級(jí)的協(xié)議信息3.常見(jiàn)的嗅探器Tcpdump/WindumpSniffitEttercapSnarp4.嗅探特征網(wǎng)絡(luò)通信丟包率反常網(wǎng)絡(luò)帶寬出現(xiàn)反常5.嗅探對(duì)策及時(shí)打補(bǔ)丁本機(jī)監(jiān)控監(jiān)控本地局域網(wǎng)的數(shù)據(jù)幀對(duì)敏感數(shù)據(jù)加密使用安全的拓樸結(jié)構(gòu)10.1.2嗅探1.嗅探原理4.嗅探特征4310.1.3木馬提示網(wǎng)絡(luò)客戶(hù)/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)（服務(wù)器），另一臺(tái)主機(jī)接受服務(wù)（客戶(hù)機(jī)）。作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(tīng)，如果有客戶(hù)機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶(hù)機(jī)的請(qǐng)求，這個(gè)程序稱(chēng)為守護(hù)進(jìn)程。對(duì)于特洛伊木馬，被控制端就成為一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶(hù)機(jī)。10.1.3木馬提示網(wǎng)絡(luò)客戶(hù)/服務(wù)模式的原理是一4410.1.4病毒1.可執(zhí)行文件型病毒2.蠕蟲(chóng)（worm）病毒3.腳本病毒4.后門(mén)程序10.1.4病毒1.可執(zhí)行文件型病毒4510.2Linux系統(tǒng)安全策略10.2.1分區(qū)安全10.2.2系統(tǒng)引導(dǎo)安全10.2.3賬號(hào)安全10.2.4密碼安全10.2.5系統(tǒng)日志系統(tǒng)安全包括分區(qū)安全、系統(tǒng)引導(dǎo)安全、賬號(hào)安全、密碼安全等10.2Linux系統(tǒng)安全策略10.2.1分區(qū)安全4610.2.1分區(qū)安全修改/etc/fstab提示各個(gè)單獨(dú)分區(qū)的磁盤(pán)空間大小應(yīng)充分考慮，避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰。10.2.1分區(qū)安全修改/etc/fstab提示4710.2.3賬號(hào)安全使用su命令刪除用戶(hù)修改文件屬性10.2.3賬號(hào)安全使用su命令刪除用戶(hù)修改文件4810.2.4密碼安全1.強(qiáng)制密碼設(shè)置規(guī)范2.密碼數(shù)據(jù)庫(kù)的保護(hù)手段提示系統(tǒng)管理員可以采取各種策略來(lái)確保密碼安全。但首先要讓用戶(hù)們明白密碼安全的重要性，同時(shí)制定密碼策略來(lái)強(qiáng)制密碼設(shè)置規(guī)范。這包括確定可接受的密碼設(shè)置要求、更換密碼的時(shí)限、密碼需要包含多少字符等等。系統(tǒng)管理員還可以運(yùn)行檢測(cè)工具來(lái)查找密碼數(shù)據(jù)庫(kù)的安全漏洞。10.2.4密碼安全1.強(qiáng)制密碼設(shè)置規(guī)范提示4910.2.5系統(tǒng)日志1.基本日志命令的使用2.使用Syslog設(shè)備連接時(shí)間日志進(jìn)程統(tǒng)計(jì)錯(cuò)誤日志10.2.5系統(tǒng)日志1.基本日志命令的使用連接時(shí)間日50連接時(shí)間日志和錯(cuò)誤日志查看錯(cuò)誤日志連結(jié)時(shí)間日志所有位置連接時(shí)間日志和錯(cuò)誤日志查看錯(cuò)誤日志連結(jié)時(shí)間日志512.使用Syslog設(shè)備記錄郵件信息到一個(gè)文件中存儲(chǔ)日志并設(shè)置級(jí)別2.使用Syslog設(shè)備記錄郵件信息存儲(chǔ)日志522.使用Syslog設(shè)備將日志發(fā)送到郵箱將消息傳送至messages提示在有些情況下，可以把日志送到打印機(jī)，這樣網(wǎng)絡(luò)入侵者怎么修改日志都不能清除入侵的痕跡。因此，syslog設(shè)備是一個(gè)攻擊者的顯著目標(biāo)，破壞了它將會(huì)使用戶(hù)很難發(fā)現(xiàn)入侵以及入侵的痕跡，因此要特別注意保護(hù)其守護(hù)進(jìn)程以及配置文件。2.使用Syslog設(shè)備將日志發(fā)送到郵箱將消息傳送至5310.3網(wǎng)絡(luò)服務(wù)安全10.3.1iptables10.3.2TCPWrappers10.3.3xinetd10.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題網(wǎng)絡(luò)服務(wù)安全包括：iptables、TCPWrappers、xinetd及其他常見(jiàn)網(wǎng)絡(luò)服務(wù)安全。10.3網(wǎng)絡(luò)服務(wù)安全10.3.1iptables5410.3.1iptables1.iptables基礎(chǔ)2.簡(jiǎn)單iptable管理10.3.1iptables1.iptables基礎(chǔ)551.iptables基礎(chǔ)用man查看iptables幫助信息GNOME進(jìn)入安全級(jí)別設(shè)置提示基于瀏覽器界面的服務(wù)器管理系統(tǒng)Webmin也具備iptable的管理能力。甚至有些Linux的發(fā)布版本的整個(gè)目的就是為了提供一個(gè)iptable的GUI前臺(tái)、一定的配置功能、合理健全的默認(rèn)配置、路由服務(wù)配置界面的整合以及其他常用的網(wǎng)絡(luò)防火墻設(shè)備的功能。1.iptables基礎(chǔ)用man查看iptables幫562.簡(jiǎn)單iptable管理（1）備份（2）恢復(fù)（3）安全設(shè)置修改內(nèi)核變量修改腳本2.簡(jiǎn)單iptable管理（1）備份57（1）備份進(jìn)行設(shè)置執(zhí)行“iptables-L”命令（1）備份進(jìn)行設(shè)置執(zhí)行“iptables-L”命令58（1）備份存儲(chǔ)iptables設(shè)置（1）備份存儲(chǔ)iptables設(shè)置59（2）恢復(fù)和（3）安全設(shè)置恢復(fù)設(shè)置修改network腳本（2）恢復(fù)和（3）安全設(shè)置恢復(fù)設(shè)置修改netwo6010.3.2TCPWrappers1.TcpWrappers的功能2.TcpWrappers的配置查看tcp_wrappers具體信息的文件所有位置配置hosts.allow10.3.2TCPWrappers1.TcpWr6110.3.3xinetdxinetd服務(wù)配置10.3.3xinetdxinetd服務(wù)配置6210.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題1.WuFTPD2.Telnet3.Sd10.3.4常見(jiàn)網(wǎng)絡(luò)服務(wù)的安全問(wèn)題1.WuFTPD6310.4腳本安全10.4.1處理用戶(hù)輸入10.4.2注意隱式輸入腳本就是運(yùn)行在網(wǎng)頁(yè)服務(wù)器上的文本程序，例如：ASP、PHP、CGI、JSP、ISAP等，腳本攻擊就是利用這些文件的設(shè)置和編寫(xiě)時(shí)的錯(cuò)誤或疏忽，進(jìn)行攻擊的，如果一個(gè)服務(wù)器存在這些漏洞，那么它就很容易被攻破。這些文本文件一般都是要結(jié)合數(shù)據(jù)庫(kù)來(lái)使用的，這些數(shù)據(jù)庫(kù)有Access、MsSQL、MySQL、Oracle等。10.4腳本安全10.4.1處理用戶(hù)輸入6410.5使用Snort進(jìn)行入侵檢測(cè)10.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介10.5.2snort介紹10.5.3安裝Snort10.5.4使用Snort10.5.5配置snort規(guī)則10.5.6編寫(xiě)Snort規(guī)則10.5.7snort規(guī)則應(yīng)用舉例入侵檢測(cè)和使用網(wǎng)絡(luò)防火墻，正是安全防范的兩大措施。10.5使用Snort進(jìn)行入侵檢測(cè)10.5.1入侵檢6510.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)2.基于主機(jī)的入侵檢測(cè)系統(tǒng)3.混合式入侵檢測(cè)系統(tǒng)4.文件完整性檢查工具10.5.1入侵檢測(cè)系統(tǒng)簡(jiǎn)介1.基于網(wǎng)絡(luò)的入侵檢測(cè)系6610.5.2snort介紹1.snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)2.snort的可移植性很好3.snort的功能非常強(qiáng)大10.5.2snort介紹1.snort是一個(gè)輕量級(jí)6710.5.3安裝Snort1.獲得snortSnort下載地址：2.安裝snort10.5.3安裝Snort1.獲得snort681.獲得sno