安全協(xié)議與標(biāo)準(zhǔn)bLinux安全NCSE講義

安全協(xié)議與標(biāo)準(zhǔn)2008,11強化Linux安全

第1節(jié)Linux系統(tǒng)綜述 ↓第2節(jié)Linux發(fā)行版的通用命令 ↓第3節(jié)Linux文件系統(tǒng)安全性 ↓A

↓B第4節(jié)Linux帳號安全性 ↓第5節(jié)Linux的安全配置文件 ↓第6節(jié)NFS和NIS安全 ↓第7節(jié)典型應(yīng)用層服務(wù) ↓第8節(jié)Linux安全性的評估 ↓第1節(jié)Linux系統(tǒng)綜述Linux縱覽Linux內(nèi)核Linux的特性Linux與其他操作系統(tǒng)的區(qū)別典型應(yīng)用層服務(wù)LinuxLinux的出現(xiàn)，最早開始于一位名叫LinusTorvalds的計算機業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。Linux以它的高效性和靈活性著稱。它能夠在PC計算機上實現(xiàn)全部的Unix特性，具有多任務(wù)、多用戶的能力。Linux是一套Free免費使用和自由傳播的類Unix操作系統(tǒng)。thepenguin,theLinuxmascotUnix/Linux發(fā)展脈絡(luò)Redhat9RedhatAS4RedhatAS5Debian6Fedora10PreviewUbuntu8.04Solaris9LinuxLinux之所所以以受受到到重重視視，，主主要要原原因因它具具有有Unix的全全部部功功能能，任任何何使使用用Unix操作作系系統(tǒng)統(tǒng)或或想想要要學(xué)學(xué)習(xí)習(xí)Unix操作作系系統(tǒng)統(tǒng)的的人人都都可可以以從從Linux中獲獲益益。。它屬屬于于自由由軟軟件件，用用戶戶不不用用支支付付任任何何費費用用就就可可以以獲獲得得它它和和它它的的源源代代碼碼，，并并且且可可以以根根據(jù)據(jù)自自己己的的需需要要對對它它進進行行必必要要的的修修改改，，無無償償對對它它使使用用，，無無約約束束地地繼繼續(xù)續(xù)傳傳播播。。UNIX,GNU,Linux關(guān)鍵鍵人人物物及及貢貢獻獻KenThompson,DennisRitchieUNIX；；60年代代末末BrianKernighan,DennisRitchieTheCProgrammingLanguage70年代末末RichardStallmanFSF，GNU，GPL，emacs，gcc80年代中中AndrewS.TanenbaumMINIX:DesignandImplementation80/90LinusTorvaldsLinux；90年代EricRaymond《黑客文文化簡簡史》》，《《如何何成為為一名名黑客客》，，《大教教堂和和市集集》，，《開開拓智智域》》，《《魔法法大鍋鍋爐》》自由軟軟件領(lǐng)領(lǐng)袖RichardStallmanEricRaymondLinuxLinux操作系系統(tǒng)軟軟件包包不僅僅包括括完整整的Linux操作系系統(tǒng)，，而且且還包包括了了文本本編輯器器、高級級語言言編譯器器等應(yīng)用用軟件件還包括括帶有有多個個窗口管管理器器的X-Windows圖形用用戶界界面，，如同同我們們使用用WindowsNT一樣，，允許許我們們使用用窗口口、圖圖標(biāo)和和菜單單對系系統(tǒng)進進行操操作豐富的的應(yīng)用軟軟件Linux縱覽Linux可以分分為四四個主主要部部分Linux內(nèi)核函數(shù)庫庫Shell和工具具應(yīng)用程程序0Kernel1文件結(jié)結(jié)構(gòu)庫庫，庫庫函數(shù)數(shù)2Shell3ApplicationsLinux縱覽Linux內(nèi)核Linux系統(tǒng)的的內(nèi)核核（Kernel）,它提供供了對對硬件件的統(tǒng)統(tǒng)一接接口內(nèi)核是是在引引導(dǎo)時時裝入入的程程序內(nèi)核識識別硬硬件；；初始化化啟動動腳本本，并并且運運行網(wǎng)網(wǎng)絡(luò)和和終端端守護護程序序當(dāng)啟動動完畢畢之后后，內(nèi)內(nèi)核又又成為為訪問硬硬件的通路路，用用來提提供用用戶層層程序序和硬硬件之之間的的接口口Linux內(nèi)核的的功能能進程調(diào)調(diào)度進程間間通信信管理內(nèi)內(nèi)存I/O驅(qū)動initinit/etc/inittab#ps-A|grepinitLinuxShellShell是系統(tǒng)統(tǒng)的用用戶界界面，，提供供了用用戶與與內(nèi)核核進行行交互互操作作的一一種接接口它接收收用戶戶輸入入的命命令并并把它它送入入內(nèi)核核去執(zhí)執(zhí)行#cat/etc/passwd|greprootshell內(nèi)核執(zhí)行Shell的多種種版本本Shell也有多多種不不同的的版本本。目目前主主要有有下列列版本本的ShellBourneShell：：是貝爾實實驗室開開發(fā)的BASH：是GNU的BourneAgainShell，，是GNU操作系統(tǒng)統(tǒng)上默認認的shellKornShell：是對BourneSHell的發(fā)展，，在大部部分內(nèi)容容上與BourneShell兼容CShell：是SUN公司Shell的BSD版本Linux文件結(jié)構(gòu)構(gòu)文件結(jié)構(gòu)構(gòu)是文件件存放在在磁盤等等存儲設(shè)設(shè)備上的的組織方方法。主主要體現(xiàn)現(xiàn)在對文文件和目目錄的組組織上。。目錄提提供了管管理文件件的一個個方便而而有效的的途徑Linux目錄采用用多級樹樹形結(jié)構(gòu)構(gòu)。LinuxHierarchicalFileSystem使用Linux，用戶可以以設(shè)置目目錄和文文件的權(quán)權(quán)限，以以便允許許或拒絕絕其他人人對其進進行訪問問用戶可以以瀏覽整整個系統(tǒng)統(tǒng)，可以以進入任任何一個個已授權(quán)權(quán)進入的的目錄，，訪問那那里的文文件。#cd/#tree#ls-lLinux實用工具具標(biāo)準(zhǔn)的Linux系統(tǒng)都有有一套叫叫做實用用工具的的程序，，它們是是專門的的程序，，實用用工具可可分三類類：用于編輯輯文件用于接收收數(shù)據(jù)并并過濾數(shù)數(shù)據(jù)允許用戶戶發(fā)送信信息或接接收來自自其他用用戶的信信息編輯器過濾器交互程序序內(nèi)核的版版本號內(nèi)核的版版本號分分為三部部分（以以為例）主版本號號：此內(nèi)內(nèi)核是2。它表表明對內(nèi)內(nèi)核的重重大改進進，很少少改變次版本號號：此內(nèi)內(nèi)核是6。它表明明內(nèi)核的的穩(wěn)定性性。偶數(shù)號（（如0、、2、4等）的的內(nèi)核是是穩(wěn)定的的產(chǎn)品版版本。而而奇數(shù)號號(如1、3、、5等)的內(nèi)核核是處于于開發(fā)過過程中的的內(nèi)核，，一般包包含著最最近開發(fā)發(fā)的試驗驗性代碼碼，它不不太穩(wěn)定定，有時時可能包包含著致致命的錯錯誤。修訂號：：此內(nèi)核核是27。它表明明這一發(fā)發(fā)布版本本的增補補級Linux版本經(jīng)歷歷主要版本本0.0191.87.5k0.0291.100.99/Slackware93.111.094.3158kAlpha版95.62.096.7649k2.299.11536k2.401.12888k2.603.124200k+2.6.2708.1010000k311.7圖示代碼規(guī)模模：指數(shù)數(shù)增長版本更新新時間區(qū)區(qū)間內(nèi)核介紹紹內(nèi)核源文文件linux-.tar.bz2編譯內(nèi)核核#makemenuconfig#make#makemodules_install#makeinstall#rebootWheretogetLinux特性Linux主要特性性可靠的系統(tǒng)安全開放性

多任務(wù)

豐富的網(wǎng)絡(luò)功能

多用戶

Linux主要特性良好的可移植性

良好的用戶界面

設(shè)備獨立性

Linux與其他操操作系統(tǒng)統(tǒng)的區(qū)別別Linux與MS－DOS之間的區(qū)區(qū)別Linux與OS/2之間的區(qū)區(qū)別Linux與Windows之間的區(qū)區(qū)別Linux與WindowsNT之間的區(qū)區(qū)別Linux優(yōu)勢Linux從Unix社團獲益益Linux是Free/Open的Linux的成本優(yōu)優(yōu)勢Linux主要發(fā)行行版Redflag4第2節(jié)Linux發(fā)行版的的通用命命令Linux系統(tǒng)管理理命令Linux與用戶有有關(guān)的命命令Linux常用命令令Linux系統(tǒng)管理理命令wall命令這個命令令的功能能是對全全部已登登錄的用用戶發(fā)送送信息用戶可以以先把要要發(fā)送的的信息寫寫好存入入一個文文件中，，然后輸輸入#wall<文件名“<”表示輸入入重定向向Linux系統(tǒng)管理理命令write命令write命令的功功能是向向系統(tǒng)中中某一個個用戶發(fā)發(fā)送信息息。該命令的的一般格格式為：：#write用戶帳號號[終終端名稱稱]希望退出出發(fā)送狀狀態(tài)時，，按組合合鍵<Ctrl+c>即可。另一個：：talkLinux系統(tǒng)管理理命令mesg指令mesg命令設(shè)定定是否允允許其他他用戶用用write命令給自自己發(fā)送送信息。。如果允許許別人給給自己發(fā)發(fā)送信息息，輸入入命令：：#mesgy否則，輸輸入：#mesgnLinux系統(tǒng)管理理命令sync命令,關(guān)閉Linux系統(tǒng)時使使用的。。因為Linux系統(tǒng)，在在內(nèi)存中中緩存了了許多數(shù)數(shù)據(jù)，在在關(guān)閉系系統(tǒng)時需需要進行行內(nèi)存數(shù)數(shù)據(jù)與硬硬盤數(shù)據(jù)據(jù)的同步步校驗，，保證硬硬盤數(shù)據(jù)據(jù)在關(guān)閉閉系統(tǒng)時時是最新新的，只只有這樣樣才能確確保數(shù)據(jù)據(jù)不會丟丟失。一一般正常常的關(guān)閉閉系統(tǒng)的的過程是是自動進進行這些些工作的的，在系系統(tǒng)運行行過程中中也會定定時做這這些工作作，不需需要用戶戶干預(yù)。。sync命令是強制把把內(nèi)存中的數(shù)數(shù)據(jù)寫回硬盤盤，以免數(shù)據(jù)據(jù)的丟失。Linux系統(tǒng)管理命令令shutdown命令，關(guān)閉或或重啟Linux系統(tǒng)。shutdown[選項][時時間][警警告信息]命令中各選項項的含義為-k并不真正關(guān)機機。而只是發(fā)發(fā)出警告信息息給所有用戶戶-r關(guān)機后立即重重新啟動-h關(guān)機后不重新新啟動-f快速關(guān)機。重重啟動時跳過過fsck-n快速關(guān)機。不不經(jīng)過init程序-c取消一個已經(jīng)經(jīng)運行的shutdown該命令只能由由超級用戶使使用poweroff,rebootpoweroffrebootCTL+ALT+DELLinux系統(tǒng)管理命令令free命令的功能是查看看當(dāng)前系統(tǒng)內(nèi)內(nèi)存的使用情情況，它顯示示系統(tǒng)中剩余余及已用的物物理內(nèi)存和交交換內(nèi)存，以以及共享內(nèi)存存和被核心使使用的緩沖區(qū)區(qū)該命令的一般般格式為：free[-b|-k|-m]命令中各選選項的含義義如下-b以字節(jié)為單單位顯示-k以K字節(jié)為單位位顯示-m以兆字節(jié)為為單位顯示示Linux系統(tǒng)管理命命令uptime命令uptime命令顯示系統(tǒng)統(tǒng)已經(jīng)運行了了多長時間它依次顯示下下列信息現(xiàn)在時間系統(tǒng)已經(jīng)運行行了多長時間間目前有多少登登錄用戶系統(tǒng)在過去的的1分鐘、5分鐘和15分鐘內(nèi)的平平均負載Linux與用戶有關(guān)的的命令#who#whoamI#wLinux與用戶有關(guān)的的命令passwd命令Linux系統(tǒng)中的每一一個用戶除了了有其用戶名名外，還有其其對應(yīng)的用戶戶口令。因此此需使用passwd命令為每一位位新增加的用用戶設(shè)置口令令用戶以后還可可以隨時用passwd命令改變自己己的口令只有超級用戶戶可以使用“passwd用戶名”修改其他用戶戶的口令，普普通用戶只能能用不帶參數(shù)數(shù)的passwd命令修改自己己的口令mkpasswddebian5:~#makepasswd--count10wx5d7aNL459PTXxu1DS2tAvgP802aPb9gMjxQUXa7AvUtH6yigxb3Kp9rpUav4fGKJm69Linux與用戶有關(guān)的的命令su命令（switchuser）它可以讓一個個普通用戶擁擁有超級用戶戶或其他用戶戶的權(quán)限，也也可以讓超級級用戶以普通通用戶的身份份做一些事情情普通用戶使用用這個命令時時必須有超級級用戶或其他他用戶的口令令輸入exit離開當(dāng)前用戶戶的身份Linux與用戶有關(guān)的的命令su命令該命令的一般般形式為：su[選項][?][使用者帳號]C執(zhí)行一個命令令后就結(jié)束-加了這個個減號的目的的是使環(huán)境變變量和欲轉(zhuǎn)換換的用戶相同同m保留環(huán)境變量量不變#suroot-c’cat/etc/shadow’sudo命令Linux常用命令ifconfig網(wǎng)絡(luò)配置命命令Linux無論是自動動安裝還是是手工安裝裝，Linux都會向用戶戶詢問有關(guān)關(guān)網(wǎng)絡(luò)的問問題并配置置相關(guān)的軟軟件用于配置網(wǎng)網(wǎng)卡的基本本命令為ifconfigifconfig#ifconfig#ifconfigeth0up#ifconfigeth0down#ifconfigeth0192.168.?.?#ifconfigeth0:1192.168.?.?#ifconfigeth0ether?:?:?:?:?:?#ifconfigeth0promisc#tcpdumpetc#ifupeth0#ifdowneth0arp,ping,traceroute,netstat,……管理后臺服服務(wù)不安裝/卸載/關(guān)閉服務(wù)（inredhat）＃setup＃servicestart/stop?＃ntsysv進程管理相相關(guān)命令（（一）ps命令查看系統(tǒng)運運行的進程程#psauxwa表示顯示系系統(tǒng)中所有有用戶的進進程u表示輸出進進程用戶所所屬信息x表示也顯示示沒有控制制臺的進程程若顯示行太太長而被截截斷則可以以使用f參數(shù)pstree進程管理相相關(guān)命令（（二）netstat命令用來查看系系統(tǒng)監(jiān)聽的的服務(wù)#netstat-lnl表示顯示當(dāng)當(dāng)前系統(tǒng)監(jiān)監(jiān)聽的端口口信息n表示端口按按照端口號號來顯示，，而不轉(zhuǎn)換換為service文件中定義義的端口名名若希望了解解各個端口口都是由哪哪些進程監(jiān)監(jiān)聽則可以以使用p參數(shù)進程管理相相關(guān)命令（（三）top命令用來查看當(dāng)當(dāng)前系統(tǒng)使使用情況kill＃kill＃kill-9＃killall＃renicelsoflsofisacommandmeaning"listopenfiles",whichisusedinmanyUnix-likesystemstoreportalistofallopenfilesandtheprocessesthatopenedthem.ThisopensourceutilitywasdevelopedandsupportedbyVicAbell,theretiredAssociateDirectorofthePurdueUniversityComputingCenter.ItworksinandsupportsseveralUNIXflavors.Openfilesinthesystemincludediskfiles,pipes,networksocketsanddevicesopenedbyallprocesses.Oneuseforthiscommandiswhenadiskcannotbeunmountedbecause(unspecified)filesareinuse.Thelistingofopenfilescanbeconsulted(suitablyfilteredifnecessary)toidentifytheprocessthatisusingthefiles.第3節(jié)ALinux文件系統(tǒng)安安全性Linux文件系統(tǒng)基基礎(chǔ)Linux文件件系系統(tǒng)統(tǒng)安安全全性性↓Linux文件件系系統(tǒng)統(tǒng)基基礎(chǔ)礎(chǔ)Linux的樹樹型型結(jié)結(jié)構(gòu)構(gòu)Linux下一一些些主主要要目目錄錄的的功功用用（（一一））/bin二進進制制可可執(zhí)執(zhí)行行命命令令/dev設(shè)備備特特殊殊文文件件/etc系統(tǒng)統(tǒng)管管理理和和配配置置文文件件/etc/rc.d啟動的配置文文件和腳本/home用戶主目錄的的基點，比如如用戶user的主目錄就是是/home/user，可以用~user表示/lib標(biāo)準(zhǔn)程序設(shè)計計庫，又叫動動態(tài)鏈接共享享庫，作用類類似windows里的.dll文件/sbin系統(tǒng)管理命令令，這里存放放的是系統(tǒng)管管理員使用的的管理程序Linux下一些主要目目錄的功用（（二）/tmp公用的臨時文文件存儲點/root系統(tǒng)管理員的的主目錄/mnt系統(tǒng)提供這個個目錄是讓用用戶臨時掛載載其他的文件件系統(tǒng)。/lost+found系統(tǒng)非正常關(guān)關(guān)機而留下的的文件/proc虛擬的目錄，，是系統(tǒng)內(nèi)存存的映射?？煽芍苯釉L問這這個目錄來獲獲取系統(tǒng)信息息。/var某些大文件的的溢出區(qū)，比比方說各種服服務(wù)的日志文文件Linux下一些主要目目錄的功用（（三）/usr最龐大的目錄錄，要用到的的應(yīng)用程序和和文件幾乎都都在這個目錄錄。其中包含含：/usr/X11R6存放Xwindow的目錄/usr/bin眾多的應(yīng)用程程序/usr/sbin超級用戶的一一些管理程序序/usr/doclinux文檔/usr/includelinux下開發(fā)發(fā)和編編譯應(yīng)應(yīng)用程程序所所需要要的頭頭文件件/usr/lib常用的的動態(tài)態(tài)鏈接接庫和和軟件件包的的配置置文件件Linux下一些些主要要目錄錄的功功用（（四））/usr/man幫助文文檔/usr/src源代碼碼，linux內(nèi)核的的源代代碼就就放在在/usr/src/linux里/usr/local/bin本地增增加的的命令令/usr/local/lib本地增增加的的庫Linux文件系系統(tǒng)文件系系統(tǒng)指指文件件存在在的物物理空空間及及其邏邏輯結(jié)結(jié)構(gòu)。。Linux系統(tǒng)中中每個個分區(qū)區(qū)都是是一個個文件件系統(tǒng)統(tǒng)，都都有自自己的的目錄錄層次次結(jié)構(gòu)構(gòu)。linux會將這這些分分屬不不同分分區(qū)的的、單單獨的的文件件系統(tǒng)統(tǒng)按一一定的的方式式形成成一個個系統(tǒng)統(tǒng)的總總的目目錄層層次結(jié)結(jié)構(gòu)。。Filelinks＃ln＃ln-sLinux系統(tǒng)分分區(qū)硬盤的的分區(qū)區(qū)主要要分為為基本分分區(qū)（（PrimaryPartion）擴充分分區(qū)(ExtensionPartion)基本分分區(qū)和和擴充充分區(qū)區(qū)的數(shù)數(shù)目之之和不能能大于于四個個基本分分區(qū)擴充分區(qū)區(qū)基本分區(qū)區(qū)基本分區(qū)區(qū)安裝時的的分區(qū)可以將Linux安裝在一一個或多多個類型型為‘Linuxnative’的硬盤分分區(qū).還還需要要一個交換(swap)分區(qū),這這個分分區(qū)的類類型是‘Linuxswap’.就是說安安裝Linux至少需要要兩個硬硬盤分區(qū)區(qū)。一個或多多個'Linuxnative'類型的分分區(qū)一個'Linuxswap'類型的分分區(qū)分區(qū)命名名規(guī)則Linux通過字母母和數(shù)字字的組合合來標(biāo)識識硬盤分分區(qū),歸歸納如如下前兩個字字母--分分區(qū)名的的前兩個個字母表表明分區(qū)區(qū)所在設(shè)設(shè)備的類類型.您您將通通常看到到hd(指IDE硬盤),或sd(指SCSI硬盤)下一個字字母--這這個字母母表明分分區(qū)在哪哪個設(shè)備備.例例如,/dev/hda(第一個IDE硬盤)或或/dev/sdb(第二個SCSI硬盤)數(shù)字--代代表分區(qū)區(qū).前前四個分分區(qū)(主主分區(qū)或或擴展分分區(qū))用用數(shù)字1到4表示.邏輯輯分區(qū)從從5開始始.例如,/dev/hda3第一個IDE硬盤上的的第三個個主分區(qū)區(qū)或擴展展分區(qū);/dev/sdb6是第二個個SCSI硬盤上的的第二個個邏輯分分區(qū)常用的分分區(qū)配置置一個根分分區(qū)--根根分區(qū)是是/(root)所在地，，保存內(nèi)內(nèi)核和有有關(guān)文件件。這個個分區(qū)不不需要很很大。需需要注意意的是要要選擇Linux本身作為為這個根根分區(qū)的的分區(qū)類類型。一個boot分區(qū)--存存放內(nèi)核核等啟動動文件一個/usr分區(qū)--/usr是RedHatLinux系統(tǒng)的許多多軟件的所所在的地方方，根據(jù)交交換安裝的的包的數(shù)量量確定一個/home分區(qū)--這是用用戶的home目錄所在地地；它的大大小取決于于系統(tǒng)有多多少用戶,以及這這些用戶將將存放多少少數(shù)據(jù)一個交換分分區(qū)--交換分分區(qū)用來支支持虛擬內(nèi)內(nèi)存，交換換分區(qū)的尺尺寸通常是是內(nèi)存的大大小的兩倍倍FileSystemsExt2Ext3兼容ext2添加了日志志功能Ext4（BTRFS）Reiser4推薦使用XFS(非boot分區(qū))掛載文件系系統(tǒng)（一））linux系統(tǒng)中每個個分區(qū)都是是一個文件件系統(tǒng)，都都有自己的的目錄層次次結(jié)構(gòu)。linux會將這些分分屬不同分分區(qū)的、單單獨的文件件系統(tǒng)按一一定的方式式形成一個個系統(tǒng)的總總的目錄層層次結(jié)構(gòu)。。這里所說說的“按一定方式式”就是指的掛掛載掛載點必須須是一個目目錄一個分區(qū)掛掛載在一個個已存在的的目錄上，，這個目錄錄可以不為為空，但掛掛載后這個個目錄下以以前的內(nèi)容容將不可用用掛載文件系系統(tǒng)（二））掛載時使用用mount命令格式：mount[-參數(shù)][設(shè)備名稱稱][掛掛載點]-tauto/vfat/iso9660-oro/rw/mnt/floppy/mnt/cdrom/etc/fstab＃less/etc/fstab關(guān)于nouser選項FStoolsfdiskmkfsmount/umountfsckdfdumkswapswapon/swapoff第3節(jié)BLinux文件系統(tǒng)安安全性Linux文件系統(tǒng)安安全性(一)控制臺和網(wǎng)網(wǎng)絡(luò)↓(二)引導(dǎo)與資源源↓(三)異常文件↓Linux文件系統(tǒng)安安全性（一一）禁止使用控控制臺程序序禁止控制臺臺的訪問防止sendmail被沒有授權(quán)權(quán)的用戶濫濫用使系統(tǒng)對ping沒有反應(yīng)不要顯示系系統(tǒng)提示信信息路由協(xié)議使TCPSYNCookie保護生效防火墻console.apps＃cd/etc/security/console.apps＃ls’’Removeanyitemyouwant禁止控制臺臺程序pam.conforpam.d#cd/etc/pam.d/#catpoweroff#authrequiredpam_console.so禁止控制臺臺訪問PAMPluggableAuthenticationModulessendmail/etc/sendmail.cf:PrivacyOptions=authwarningsPrivacyOptions=authwarnings,novrfy,noexpn杜絕濫發(fā)郵郵件/etc/postfix/*:ICMPPing/ICMP：ECHO-REQ,ECHO-REPLY#echo1>/proc/sys/net/ipv4/icmp_echo_ignaore_all禁止對ECHO-REQ反應(yīng)”Appendto/etc/rc.d/rc.localissue修改/etc/issue，勿泄漏線線索信息/etc/inetd.conf:telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h-h則阻止顯示示登陸信息息xinetd:IPsourceroutingIPsourceroutingoptions://禁止源路由由選項#echo0>/proc/sys/net/ipv4/conf/eth0/accept_source_routeforfin/proc/sys/net/ipv4/conf/*/accept_source_route;doecho0>$fdoneappendto/etc/rc.d/rc.localTCPSYNTCPSYNAttack#echo1>/proc/sys/net/ipv4/tcp_syncookies#sysctl-wnet.ipv4.tcp_syncookies=1可抵抗SYN攻擊Netfilter/iptableFirewallICFinwinxpnetfilter/iptable$iptables-AINPUT-s-jREJECT$iptables-DINPUT--dport80-jDROPLinux文件系統(tǒng)安安全性（二二）資源限制更好地控制制mount上的文件系系統(tǒng)把rpm程序轉(zhuǎn)移到到一個安全全的地方，，并改變默默認的訪問問許可登錄shell創(chuàng)建所有重重要的日志志文件的硬硬拷貝改變“/etc/rc.d/init.d/”目錄下的腳腳本文件的的訪問許可可limits.conf#less/etc/security/limits.conf*hardcore0//禁止coredump*hardnproc20//進程數(shù)限制制20*hardrss5000//內(nèi)存限制5Min/etc/pam.d/login:sessionrequired/lib/security/pam_limits.somount/fstab#cat/etc/fstab選項：nosuid禁止suid，sgidnoexec不執(zhí)行二進制制文件nodev不使用設(shè)備符符號rpm保護rpmchmod700/bin/rpm把文件/bin/rpm轉(zhuǎn)移到安全地地方mount/mnt/floppymv/bin/rpm/mnt/floppy/.umount/mnt/floppyshell~/.bash_historyin/etc/profile:HISTFILESIZE=20HISTSIZE=20log/var/log/防止日志被破破壞在線打印:append/etc/syslog.confauthpriv.*;mail.*/dev/lp0#/etc/rc.d/init.d/syslogrestart#servicesyslog//inredhat轉(zhuǎn)移到另外的的服務(wù)器集中中處理authpriv.*;mail.*@mailserver/etc/rc.d/init.d/*chmod––R700/etc/rc.d/init.d/*只有root有權(quán)限限操作作Linux文件系系統(tǒng)安安全性性（三三）異常和和隱含含文件件查找所所有SUID/SGID位有效效的文文件查找任任何人人都有有寫權(quán)權(quán)限的的文件件和目目錄查找沒沒有主主人的的文件件查找“.rhosts”文件使Control-Alt-Delete關(guān)機鍵鍵無效效.?ls-a#find/-name““.*”-printSUID/SGIDSUID#find/usr/bin-typef-perm-2000-printSGID#find/usr/bin-typef-perm-4000-printSUID/SGID文件可能能是被植植入的*可寫文文件#find.-perm-2-print#find.-perm-20任何人都可寫寫的文件，可可能是入侵的的遺留無主文件#find/dev-nouser-print#find/dev-nogroup-print無屬主文件的的存在是有疑疑問的.rhosts#find/home-name.rhosts.rhosts等價主機，允允許無需口令令的rlogin等CTL＋ALT＋DELin/etc/inittab#TrapCTRL-ALT-DELETEca::ctrlaltdel:/sbin/shutdown-t3-rnow#initq加密文件系統(tǒng)統(tǒng)例子：文件里里的虛擬盤（（loopback）ddif=/dev/zeroof=mydbs=1kcount=1024losetup[-edes|-exor]/dev/loop0mydmke2fs/dev/loop0mount/dev/loop0/mnt/myd…umount/mnt/mydlosetup-d/dev/loop0(detach)第4節(jié)Linux帳號安全性系統(tǒng)安全記錄錄文件啟動和登錄安安全性BIOS用戶口令帳號口令文件C-A-Dsuissue系統(tǒng)安全記錄錄文件操作系統(tǒng)內(nèi)部部的記錄文件件是檢測是否否有網(wǎng)絡(luò)入侵侵的重要線索索可以運行來檢檢查系統(tǒng)所受受到的攻擊#more/var/log/secure|greprefusedcat/var/log/secure#last,lastlogless/var/log/secure|grepFailed基本日志W(wǎng)indows事件查看器IISLog本地安全策略略－本地策略略－審核策略略等Linuxaccess-log記錄HTTP/web的傳輸acct/pacct記錄用戶命令令aculog記錄MODEM的活動btmp記錄失敗的記記錄lastlog記錄最近幾次次成功登錄的的事件和最后后一次不成功功的登錄messages從syslog中記錄信息（（有的鏈接到到syslog文件）sudolog記錄使用sudo發(fā)出的命令sulog記錄使用su命令的使用syslog從syslog中記錄信息（（通常鏈接到到messages文件）utmp記錄當(dāng)前登錄錄的每個用戶戶wtmp一個用戶每次次登錄進入和和退出時間的的永久記錄xferlog記錄FTP會話啟動和登錄安安全性BIOS安全設(shè)置BIOS密碼且修改改引導(dǎo)次序序禁止從軟軟盤啟動系系統(tǒng)BIOSsetup/userpasswd用戶口令口令$mkpasswd口令至少要要有6個字字符，最好好包含一個個以上的數(shù)數(shù)字或特殊殊字符口令不能太太簡單，所所謂的簡單單就是很容容易猜出來來，也就是是用自己的的名字，電電話號碼、、生日、職職業(yè)或者其其它個人信信息作為口口令口令必須是是有有效期期的，在一一段時間之之后就要更更換口令口令在這種種情況下必必須作廢或或者重新設(shè)設(shè)定：如果果發(fā)現(xiàn)有人人試圖猜測測你的口令令，而且已已經(jīng)試過很很多次了不要使用單單一口令ZipcrackersampleAdvancedZIPPasswordRecoverystatistics:EncryptedZIP-file:sdjfks.zipTotalpasswords:2,091,362,752Totaltime:6m58s725msAveragespeed(passwords/s):4,994,597Passwordforthisfile:7uee23PasswordinHEX:377565653233login.defs/etc/login.defsPASS_MIN_LEN58PASS_MAX_DAYS9999999帳號（一）特殊的帳號禁止操作系統(tǒng)統(tǒng)中不必要的的預(yù)置帳號刪除一些不必必要的組在系統(tǒng)中加入入必要的用戶戶“不許改變”位可以用來保保護文件使其其不被意外地地刪除或重寫寫，也可以防防止有些人創(chuàng)創(chuàng)建這個文件件的符號連接接userdel#useradd?#userdel?#groupadd?#groupdel?#passwd?#chattr+i? //文件只讀如passwd,shadow,group,gshadow帳號（二）root帳號“root”帳號是是Unix系統(tǒng)中中享有有特權(quán)權(quán)的帳帳號“root”帳號是是不受受任何何限制制和制制約的的不要隨隨便用用root帳號登登錄#su//臨時啟啟用root身份帳號（（三））加密加密時時要用用到密密匙，，密匙匙是一一個特特殊的的數(shù)字字，把把密匙匙和需需要加加密的的信息息經(jīng)過過加密密算法法加密密之后后，只只有知知道密密匙的的人才才能把把信息息讀出出來通信加加密OpenSSLApache＋OpenSSLOpenSSHsshd，putty口令文文件chattr命令給給下面面的文文件加加上不不可更更改屬屬性，，從而而防止止非授授權(quán)用用戶獲獲得權(quán)權(quán)限。。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow禁止Ctrl+Alt+Del重新啟啟動機機器命命令修改/etc/inittab文件將該行行注釋釋掉ca::ctrlaltdel:/sbin/shutdown-t3-rnow重新設(shè)設(shè)置/etc/rc.d/init.d/目錄下下所有有文件件的許許可權(quán)權(quán)限，，運行行如下下命令令#chmod-R700/etc/rc.d/init.d/*限制su命令防止任何人人都可以用用su命令成為root在“/etc/pam.d/su”文件中加入入authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel只有“wheel”組的成員才才能用su命令成為root。。舉例：讓admin用戶成為“wheel”組的成員[root@deep]#usermod-G10admin“10”是“wheel”組的ID值刪減登錄信信息默認情況下下，登錄提提示信息包包括Linux發(fā)行版、內(nèi)內(nèi)核版本名名和服務(wù)器器主機名等等編輯/etc/rc.d/rc.local將輸出系統(tǒng)統(tǒng)信息的注注釋掉清空/etc/issue,/etc/第5節(jié)Linux的安全配置置文件（一一）“/etc/exports”文件“/etc/inetd.conf”文件“/etc/aliases”文件“/etc/host.conf”文件“/etc/services”文件“/etc/securetty”文件“/etc/lilo.conf”文件GRUB多重啟動管管理器Linux的安全配置置文件（二二）“/etc/rc.d/rc.local”文件“/etc/sysctl.conf”文件syslog系統(tǒng)日志工工具/etc/sysconfig/network-scripts/目錄/etc/sysconfig/networkNFS/exports/etc/exports:/dir/to/export(ro,root_squash)只讀,抵制root特權(quán)inetd/etc/inetd.conf禁止（注釋釋掉）暫不不需要的服服務(wù)ftp,telnet,talk,finger,shell,login,…#killall––HUPinetd//重讀配置#chmod600~#chattr+i~#stat~tcp_wrappers/etc/hosts.allowsshd:,/etc/hosts.denyALL:ALL#tcpdchk//tcpd+inetdsendmail/aliases/etc/aliases注釋掉不必必要的項#vi/etc/aliases#/usr/bin/newaliaseshost.conf查找域名的的順序/etc/host.conforderhosts,bindmultion//有多IP主機nospoofon//禁止IP偽裝#manhost.confservices/etc/services#less/etc/services#chattr+i~securetty/etc/securetty//login使用“tty””注釋掉不必必要和不被被信任的tty#cat/etc/inittab//ttylilo.conf/etc/lilo.conftimeout=0restrictedpassword=?#chmod600/etc/lilo.conf#chattr+i/etc/lilo.conf#lilogrub.conf/boot/grub/*/etc/grub.conf:password?password--md5?grub>md5cryptissue清空/etc/issue/etc/查看/ect/rc.d/rc.local注意勿泄泄漏OS敏感信息息sysctl.conf/proc/sys/#sysctl-a //顯示所有有可控項項#sysctl-wnet.ipv4.ip_forward=1修改/etc/sysctl.confnet.ipv4.ip_forward=1可以拼加到rc.sysinit中#less/etc/rc.d/rc.sysinitsyslogd/etc/syslog.conf<facility.levelaction>facilityauth,cron,daemon,kern,lpr,mail,…levelemerg,alert,crit,err,warning,notice,info,debug,noneactionfile,term,@host,username,npipesyslogsyslogd-r-h-r接受遠程進入入信息-h//hop轉(zhuǎn)發(fā)klogd記錄內(nèi)核信息息klogd通常會傳遞信信息給syslogd，也可以寫入入指定文件(-ffname)其他日志/var/log/*#cd/var/log/sambacroncyclognetwork-scripts#cd/etc/sysconfig/network-scripts/ifupifdown#ifupeth0#catifcfg-eth0#catifcfg-lonetwork/etc/sysconfig/network#cat/etc/sysconfig/networkNETWORKING=YES/NOGATEWAY=?.?.?.?GATEWAYDEV=eth0/?HOSTNAME=myname第6節(jié)NFS和NIS安全什么是是NFS什么是是NISNFS和NIS的安全全問題題？什么是是NFS基于RPC（remoteprocedurecall）協(xié)議的的網(wǎng)絡(luò)絡(luò)文件件系統(tǒng)統(tǒng)，是是由SunMicrosystems公司最最早于于1980年實實現(xiàn)的的，用用于在在異種種UNIX操作系系統(tǒng)共共享文文件NFS的客戶戶端/服務(wù)務(wù)器實實現(xiàn)結(jié)結(jié)構(gòu)使使得遠遠程磁磁盤對對于本本地客客戶端端是透透明可可見的的。它它通過過幾個個守護護進程程和配配置文文件來來實現(xiàn)現(xiàn)文件件共享享NFS如何工工作由于NFS運行于于面向向無連連接（（不需需要對對傳輸輸數(shù)據(jù)據(jù)包進進行任任何確確認））的UDP協(xié)議上上，NFS則試圖圖強迫迫對它它發(fā)送送的每每一個個命令令進行行確認認如果收收到確確認，，則繼繼續(xù)發(fā)發(fā)送數(shù)數(shù)據(jù)。。如果果在特特定時時間內(nèi)內(nèi)未收收到確確認，，數(shù)據(jù)據(jù)將被被重傳傳74563212745632126451ack2ack確認NFS的配置置文件件NFS的配置置文件件/etc/exports，它定義義了哪哪些共共享和和對誰誰是可可用的的/etc/fstab，它包含含了在在客戶戶端上上被安安裝的的文件件系統(tǒng)統(tǒng)列表表/nfs-howto/exports,fstab/etc/exports:/usr/local/(ro,root_squash)只讀/etc/fstab#cat/etc/fstab//掛到/pub位置server:/usr/local/pub/pubnfsrsize=8192,wsize=8192,timeo=14,intr什么是是NISNetworkInformationService（網(wǎng)絡(luò)信信息服服務(wù)）），通通常還還稱為為YellowPages（（黃頁）），是是一種種集中中管理理系統(tǒng)統(tǒng)通用用訪問問文件件的分分布式式數(shù)據(jù)據(jù)庫系系統(tǒng)。。master服務(wù)器器存放放這些些文件件，而而客戶戶端則則通過過網(wǎng)絡(luò)絡(luò)訪問問其中中的信信息Master/Slave+Client/etc/nsswitch.confNIS的實現(xiàn)現(xiàn)NIS的實現(xiàn)現(xiàn)是通通過幾幾個守守護進進程ypserv是服務(wù)務(wù)器守守護進進程ypbind是客戶戶端進進程以以構(gòu)造造NIS請求maps可以在在更新新后手手工（（使用用yppush））傳送到到slave服務(wù)器器，或或者通通過ypxfrd進程自自動（（slave服務(wù)器器檢查查服務(wù)務(wù)器上上的時時間戳戳以進進行正正確的的更新新）傳傳送。。NFS和NIS的安全全問題題NFS的安全全問題題NIS服務(wù)的的安全全問題題保護NFS保護NISNFS的安全全問題題NFS使用AUTH_UNIX的認證證方法法即非顯顯式信信任NFS客戶端端在服服務(wù)器器的UID（用戶ID））和GID（組ID））對于文文件系系統(tǒng)共共享輸輸出（（export））時被明明確地地指定定了允允許root用戶訪訪問的的權(quán)限限，任任何在在NFS客戶端端獲取取了root權(quán)限的的攻擊擊者都都可能能會輕輕易控控制NFS服務(wù)器器。攻擊者者通過過編寫寫設(shè)置置UID和GID值的程程序，，使其其有權(quán)權(quán)訪問問NFS服務(wù)器器端任任何用用戶的的文件件NFS守護進進程服服務(wù)器器還不不時被被發(fā)現(xiàn)現(xiàn)存在在緩沖沖區(qū)溢溢出漏漏洞#manexports//末尾有有例子子NIS服務(wù)的的安全全問題題DoS攻擊（（在多多臺客客戶端端上使使用finger服務(wù)））緩沖區(qū)區(qū)溢出出攻擊擊（libnasl）NISmaps查詢?nèi)跞跽J證證和其其各個個守護護進程程也存存在各各自的的安全全問題題NFS，NIS運行在在非特特權(quán)端端口＃cat/etc/services|grepnfs保護NFS安裝最新新的NFS補丁檢查/etc/exports文件確保所有有被共享享的文件件名不超超過256字符符確保/etc/exports和/etc/netgroups的訪問權(quán)權(quán)限為644，，屬主為為root，組用戶為為root或sys在被輸出出文件系系統(tǒng)機器器上運行行fsirand抵抗對文文件句柄柄的猜測測激活NFS的端口監(jiān)監(jiān)視insolaris保護NIS安全替代品SecureNFSNIS+/LDAPCFS第7節(jié)典型應(yīng)用用層服務(wù)FTPDanonftpwu-ftpd//vsftpdinFC#rpm––ivhwu-ftpd.x.x.x.i386.rpmFTP(Wu-Ftpd)FTP服務(wù)器的配置置文件/etc/ftpusers/etc/ftpconversions//處理壓縮/etc/ftpgroups/etc/ftphosts/etc/ftpaccessftpd/etc/ftphostsallowftpadmindenyftpadmin/etc/ftpaccess#/etc/ftpaccesswu-ftpdconffileclassuserreal*//orguest/anonymouspasswd-checkrfc822warnloginfails3

limitremote20any/msg.fileTelnetTelnet面臨的主要要安全問題題使用者認證證數(shù)據(jù)傳送保保密防范針對telnet的攻擊Telnet本身的缺陷陷沒有口令保保護，遠程程用戶的登登陸傳送的的帳號和密密碼都是明明文，使用用普通的sniffer都可以被截截獲沒有強力認認證過程。。只是驗證證連接者的的帳戶和密密沒有完整性性檢查。傳傳送的數(shù)據(jù)據(jù)沒有辦法法知道是否否完整的，，而不是被被篡改過的的數(shù)據(jù)。傳送的數(shù)據(jù)據(jù)都沒有加加密snifferNetXRay/SnifferPro演示數(shù)據(jù)傳送保保密使數(shù)據(jù)在Telnet會話中安全全傳送的方方法使用Diffie-Hellman進行密鑰交交換使用DES、3DES、、IDEA加密會話使用公鑰私私鑰加密簽簽名telnettelnetxxx80telnetxxx20…sshOpenSSHSSH基于舊的paswd機制基于公鑰的的機制SMTP（（Sendmail）Sendmail是在Unix環(huán)境下使用用最廣泛的的實現(xiàn)郵件件發(fā)送/接接受的郵件件傳輸代理理程序設(shè)置Sendmail使用"smrsh"決定smrsh可以允許sendmail運行的命令令列表#cd/etc/smrsh在“/etc/smrsh”目錄中創(chuàng)建建允許sendmail運行的程序序的符號連連接配置/etc/sendmail.cf使之使用受受限shellpostfix?避免Sendmail被未授權(quán)的的用戶濫用用編輯“/etc/sendmail.cf”文件，修改改這個配置置文件，使使郵件服務(wù)務(wù)器能夠擋擋住欺騙郵郵件。100001北京市XXXXXXXXX（收）XXXXXX100088限制制可可以以審審核核郵郵件件隊隊列列內(nèi)內(nèi)容容的的人人員員為了了限限制制可可以以審審核核郵郵件件隊隊列列內(nèi)內(nèi)容容的的人人員員，，只只要要在在“/etc/sendmail.cf”文件件中中指指定定“restrictmailq”選項項即即可可。。這種種情情況況下下，，sendmail只允允許許與與這這個個隊隊列列所所在在目目錄錄的的組組屬屬主主相相同同的的用用戶戶可可以以查查看看它它的的內(nèi)內(nèi)容容。。Apache服務(wù)務(wù)器器它它是是Internet網(wǎng)上上應(yīng)應(yīng)用用最最為為廣廣泛泛的的Web服務(wù)務(wù)器器軟軟件件之之一一。。Apache服務(wù)務(wù)器器源源自自美美國國國國家家超超級級技技術(shù)術(shù)計計算算應(yīng)應(yīng)用用中中心心（（NCSA））的Web服務(wù)務(wù)器器項項目目中中。。目目前前已已在在互互聯(lián)聯(lián)網(wǎng)網(wǎng)中中占占據(jù)據(jù)了了領(lǐng)領(lǐng)導(dǎo)導(dǎo)地地位位。。Apache服務(wù)務(wù)器器的的主主要要安安全全缺缺陷陷使用用HTTP協(xié)議議進進行行的的拒拒絕絕服服務(wù)務(wù)攻攻擊擊(denialofservice)緩沖沖區(qū)區(qū)溢溢出出攻攻擊擊被攻攻擊擊者者獲獲得得root權(quán)限限的的安安全全缺缺陷陷惡意意的的攻攻擊擊者者進進行行“拒絕服務(wù)務(wù)”(DoS)攻擊SSL－DoS正確維護護和配置置Apache服務(wù)器ApacheWeb服務(wù)器主主要有三三個配置置文件，，位于/usr/local/apache/conf目錄httpd.conf>主配置文文件srm.conf>填加資源源文件access.conf>設(shè)置文件件的訪問問權(quán)限#cat/etc/httpd/conf/httpd.confApache服務(wù)器的的日志文文件使用日志志格式指指令來控控制日志志文件的的信息。。使用LogFormat“%a%l”指令，可可以把發(fā)發(fā)出HTTP請求瀏覽覽器的IP地址和主主機名記記錄到日日志文件件出于安全全的考慮慮，在日日志中至至少應(yīng)該該知道那那些驗證證失敗的的WEB用戶在http.conf文件中中加入入LogFormat“%401u”指令可可以實實現(xiàn)這這個目目的#cat/etc/httpd/conf/httpd.conf|grepLogFApache服務(wù)器的目目錄安全認認證在ApacheServer中是允許使使用.htaccess做目錄安全全保護的，，欲讀取這這保護的目目錄需要先先鍵入正確確用戶帳號號與密碼。。這樣可做做為專門管管理網(wǎng)頁存存放的目錄錄或做為會會員區(qū)等.htaccessAuthUserFile“/usr/tmp/xxx.pw”Requirdvalid-userhtpasswd-c/var/tmp/xxx.pwuser1htpasswd/var/tmp/xxx.pwuser2？？？Apache服務(wù)器訪問問控制第8節(jié)Linux安全性的評評估Linux安全之路沒有真正安安全的操作作系統(tǒng)安全問題是是一個難度度大且長久久的工作開放源碼團團體已經(jīng)不不斷地努力力發(fā)現(xiàn)各種種安全漏洞洞，并且已已經(jīng)取得很很大的成績績到底誰更安安全（結(jié)論是：：沒有結(jié)論論）事實現(xiàn)象是是：Windows上確實發(fā)生生過一些危危害嚴重和和廣泛得多多的安全問問題CIHNimda，Blaster，SasserLinuxbrk()可以讓普通用用戶獲得root權(quán)限iso9660iSEC發(fā)現(xiàn)的漏洞關(guān)于爭辯和解解釋開放代碼和安安全開放代碼可能能會帶來安全全問題PartWindowssourcecodeleak開放代碼可以以吸引更多的的人員分析和和查找潛在的的威脅和漏洞洞，從而更安安全愚民政策S