網(wǎng)絡(luò)信息安全

?網(wǎng)絡(luò)信息平安?中國科學技術(shù)大學肖明軍?第一版Unix系統(tǒng)最早于1971年11月安裝在DECPDP-11/45機器上?第一份有關(guān)Unix的論文發(fā)表于1973年?Unixv6手冊于1975年發(fā)布?此后，Unix開展成好多個分支，而且越來越復(fù)雜…UNIX操作系統(tǒng)的早期開展UNIX操作系統(tǒng)演進史UNIX的歷史開始于1969年kenThompson，DennisRitchie〔即著名的K&G，C語言的創(chuàng)造人〕與一群人在一部PDP-7上進行的一些工作，后來這個系統(tǒng)變成了UNIX。它主要的幾個版本為：V1〔1971〕：第一版的UNIX，以PDP-11/20的匯編語言寫成。包括文件系統(tǒng)，fork、roff、ed等軟件V4〔1973〕：以C語言從頭寫過，這使得UNIX修改容易，可以在幾個月內(nèi)移植到新的硬件平臺上。最初C語言是為UNIX設(shè)計的，所以C與UNIX間有緊密的關(guān)系。V6〔1975〕：第一個在貝爾實驗室外〔尤其是大學中〕廣為流傳的UNIX版本。這也是UNIX分支的起點與廣受歡送的開始。1.xBSD〔PDP-II〕就是由這個版本衍生出來的。V7〔1979〕：在許多UNIX玩家的心目中，這是“最后一個真正的UNIX〞，這個版本包括一個完整的K&RC編譯器，Bourneshell。V7移植到VAX機器后稱為32V。目前開發(fā)UNIX〔SystemV〕的公司是UnixSystemLaboratories(USL)。USL本為AT&T所有，1993年初被Novell收購。Novell于1993年末將UNIX這個注冊商標轉(zhuǎn)讓給X/Open組織目前為止，UNIX有兩大流派：那就是AT&T發(fā)布的UNIX操作系統(tǒng)SystemV與美國加州大學伯克利分校發(fā)布的UNIX版BSD〔BerkeleySoftwareDistribution〕。SVR4是兩大流派融合后的產(chǎn)物。1991年底，與SystemV針鋒相對的開放軟件基金會(OpenSoftwareFoundation)推出了OSF/1。UNIX操作系統(tǒng)分類當前主流的UNIX系統(tǒng)HP/UX、AIX等等–從早期SYSV和局部BSD系統(tǒng)開展而來的商用操作系統(tǒng)Solaris–從SunOS系統(tǒng)開展而來，并借鑒了一些BSD規(guī)那么Linux–是幾乎所有unix系統(tǒng)開展而來的“混血兒〞,但看起來更像SYSV-ishFreeBSD、NetBSD、OpenBSD–完全從主流BSD開展而來的分支UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇底層硬件設(shè)備根本輸入輸出系統(tǒng)〔BIOS〕操作系統(tǒng)應(yīng)用程序計算機系統(tǒng)結(jié)構(gòu)一般情況下，我們不能直接操作裸機，必須通過一個叫做根本輸入輸出系統(tǒng)的軟件系統(tǒng)〔英文為BasicInput/OutputSystem，簡稱BIOS〕，才能操作控制裸機，之所以這樣稱呼它，是因為它提供了最根本的計算機操作功能，如在屏幕上顯示一點，接收一個鍵盤字符的輸入等。在根本輸入輸出系統(tǒng)的外面是操作系統(tǒng)〔OperatingSystem〕：專門負責管理計算機的各種資源，并提供操作電腦所需的工作界面。有了它們，人們才可以方便自如地使用電腦。應(yīng)用軟件一般都運行在操作系統(tǒng)之上，由專業(yè)人員根據(jù)各種需要開發(fā)。我們平時見到和使用的絕大局部軟件均為應(yīng)用軟件，如殺毒軟件，文字處理軟件，學習軟件，游戲軟件，上網(wǎng)軟件等等具體結(jié)構(gòu)圖如右圖所示：硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等LINUX內(nèi)核系統(tǒng)調(diào)用接口用戶進程Linux操作系統(tǒng)結(jié)構(gòu)用戶進程：用戶應(yīng)用程序是運行在LINUX操作系統(tǒng)最高層的一個龐大的軟件集合，當一個用戶程序在操作系統(tǒng)之上運行時，它就成為操作系統(tǒng)中的一個進程。系統(tǒng)調(diào)用接口：在應(yīng)用程序中，可通過系統(tǒng)調(diào)用來調(diào)用操作系統(tǒng)內(nèi)核中特定的過程，以實現(xiàn)特定的效勞，比方創(chuàng)立一個新進程等。由假設(shè)干條指令構(gòu)成的過程：SHELL、WHO等內(nèi)核：操作系統(tǒng)的靈魂，它負責管理磁盤上的文件、內(nèi)存，負責啟動并運行程序，負責從網(wǎng)絡(luò)上接收和發(fā)送數(shù)據(jù)包等。內(nèi)核實際是抽象的資源操作到具體硬件操作細節(jié)之間的接口。硬件：這個子系統(tǒng)包括了LINUX安裝時需要的所有可能的物理設(shè)備，如CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等Linux內(nèi)核的構(gòu)成進程調(diào)度〔SCHED〕硬件驅(qū)動程序邏輯文件系統(tǒng)虛擬文件系統(tǒng)（VFS）進程間通信〔IPC〕硬件相關(guān)硬件無關(guān)內(nèi)存管理子系統(tǒng)（MM）硬件驅(qū)動程序網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)接口（NET）進程調(diào)度控制著進程對CPU的訪問，當需要選擇下一個進程運行時，由調(diào)度程序選擇最值得運行的進程內(nèi)存管理子系統(tǒng)：允許多個進程平安地共享主內(nèi)存區(qū)域，支持虛擬內(nèi)存虛擬文件系統(tǒng)隱藏了各種不同硬件的具體細節(jié)，為所有設(shè)備提供了統(tǒng)一的接口，VFS支持幾十種不同的文件系統(tǒng)網(wǎng)絡(luò)接口提供了對各種網(wǎng)絡(luò)標準的存取和各種網(wǎng)絡(luò)硬件的支持進程間通信支持進程間各種通信機制Linux進程調(diào)度子系統(tǒng)FSIPCMMNET結(jié)構(gòu)特定的模塊進程調(diào)度定時器管理模塊管理進程調(diào)度系統(tǒng)調(diào)用接口Scheduler內(nèi)核任務(wù)調(diào)度程序時鐘中斷（182次/秒）task1task2task3在屏幕上的不同位置分別顯示各自的計數(shù)器值〔16進制〕3、進程調(diào)度示意圖2、進程調(diào)度的結(jié)構(gòu)圖1、進程調(diào)度與其他子系統(tǒng)的依賴關(guān)系SCHED進程調(diào)度子系統(tǒng)完成的主要功能：允許進程建立自己的拷貝決定哪一個進程將占用CPU，使得可運行進程之間進行有效地轉(zhuǎn)移接受中斷并把他們發(fā)送到適宜的內(nèi)核子系統(tǒng)發(fā)送信號給用戶進程管理定時器硬件當進程結(jié)束后，釋放進程所占用的資源支持動態(tài)裝入模塊，這些模塊代表著內(nèi)核啟動以后所增加的新功能，這種可裝入的模塊將由虛擬文件系統(tǒng)和網(wǎng)絡(luò)接口使用中央處理單元（CPU）功能單元存放器內(nèi)部cache內(nèi)部cache磁盤主存存儲器的層次結(jié)構(gòu)Linux內(nèi)存管理子系統(tǒng)昂貴快速小容量廉價低速大容量內(nèi)存管理是Linux內(nèi)核最復(fù)雜的任務(wù)之一：主要包括地址映射、請頁、交換、內(nèi)存分配、內(nèi)存回收、緩存、刷新、共享等機制程序的創(chuàng)立和執(zhí)行以及內(nèi)存的初始化OS代碼OS數(shù)據(jù)GDT、IDT、TSS頁表特權(quán)數(shù)據(jù)內(nèi)核棧Linux多任務(wù)系統(tǒng)1023用戶數(shù)據(jù)用戶代碼保護特權(quán)級任務(wù)1任務(wù)2任務(wù)3任務(wù)4任務(wù)N任務(wù)5內(nèi)核空間用戶空間〔1、2、3級〕0G3G4GLinux采用0級、3級內(nèi)核模式對應(yīng)0級用戶模式對應(yīng)1、2、3級內(nèi)核模式和用戶模式的區(qū)別反映在線性地址空間中就是內(nèi)核空間和用戶空間所處位置的不同用戶模式：3級內(nèi)核模式：0級BSD套接字INET套接字TCPIPARP/RARPPPPSLIP以太網(wǎng)Linux網(wǎng)絡(luò)層套接字接口協(xié)議層網(wǎng)絡(luò)設(shè)備應(yīng)用程序網(wǎng)絡(luò)應(yīng)用程序UDPLinux文件系統(tǒng)目錄結(jié)構(gòu)/根目錄binbootdevetchomeliblost+foundmntprocrootsbintmpusrvar存放常用的命令存放啟動文件存放設(shè)備文件存放配置文件用戶主目錄存放共享庫文件臨時掛載文件系統(tǒng)系統(tǒng)不正常關(guān)機的一些文件存放系統(tǒng)內(nèi)存的映射超級用戶主目錄存放超級用戶管理程序用到的應(yīng)用程序和文件存放不斷擴充的東西和系統(tǒng)日志存放臨時文件X11R6binsbindocincludeliblocalMansrcX-window目錄應(yīng)用程序超級用戶的管理程序Linux文檔開發(fā)編譯應(yīng)用程序的頭文件常用的共享庫存放幫助文檔Linux源代碼一般用戶的/usr目錄進程間通信〔IPC〕進程調(diào)度Linux進程間通信〔IPC〕內(nèi)存管理文件系統(tǒng)為了進程能在同一任務(wù)上協(xié)調(diào)工作，他們彼此之間必須能夠進行通信，IPC機制具有如下功能：支持信號：信號是發(fā)送給進程的異步信息支持等待隊列：等待隊列提供了一種機制它讓等待操作完成的進程處于睡眠〔SLEEP〕狀態(tài)支持文件鎖：這種機制允許進程把文件的一個區(qū)域或整個文件聲明為只讀，所有進程只能對聲明的區(qū)域進行讀，除了擁有鎖的進程支持管道和命名管道：這種機制允許兩個進程之間面向連接，雙向數(shù)據(jù)傳送支持SystemVIPC機制支持信號量。支持消息隊列支持共享內(nèi)存：幾個進程存取物理內(nèi)存的同一區(qū)域支持UNIX的套節(jié)口：又一種面向連接的數(shù)據(jù)傳送機制，它提供了與INETsockets相同的通信模型UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇效勞就是運行在網(wǎng)絡(luò)效勞器上監(jiān)聽用戶請求的進程效勞是通過端口號來區(qū)分的常見的效勞及其對應(yīng)的端口ftp:21telnet:23(www):80pop3:110什么是效勞？在UNIX系統(tǒng)中,效勞是通過inetd進程或啟動腳本來啟動通過inetd來啟動的效勞可以通過在/etc/inetd.conf文件中注釋來禁用通過啟動腳本啟動的效勞可以通過改變腳本名稱的方式禁用在UNIX系統(tǒng)里啟動與關(guān)閉效勞？1.inetd超級效勞器 inetd的功能 inetd的配置和管理2.效勞的關(guān)閉 關(guān)閉通過inetd啟動的效勞 關(guān)閉獨立啟動的效勞3.inetd的替代品 xinetd(://)xinetd比inetd更多管理功能xinetd的配置inetd超級效勞器？#inetd.confThisfiledescribestheservicesthatwillbeavailable#throughtheINETDTCP/IPsuperserver.Tore-configure#therunningINETDprocess,editthisfile,thensendthe#INETDprocessaSIGHUPsignal.##Echo,discard,daytime,andchargenareusedprimarilyfortesting.##Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'##echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal#timestreamtcpnowaitrootinternal#timedgramudpwaitrootinternal##Thesearestandardservices.#ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-atelnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetdinetd配置文件？[root@smithersrc3.d]#ls-a.S11portmapS40crondS55routedS60rusersdS85sound..S15netfsS45pcmciaS55sshdS60rwhodS90xfsK30sendmailS20randomS50inetS60lpdS75keytableS91smbS05apmdS30syslogS50snmpdS60nfsS85gpmS99linuxconfS10networkS40atdS55namedS60rstatdS85httpdS99local[root@smithersrc3.d]#UNIX啟動腳本目錄/etc/rc*.d/

禁用啟動腳本改變腳本名，使他不以大寫的‘S’開頭UNIX啟動腳本系統(tǒng)啟動腳本sysV風格的啟動腳本rcX.d/KNprogSNprogK03rhnsdK24irdaS10networkS90crondK05anacronK25squidK60lpdS12syslogK05keytableK30sendmailS91smbBSD風格的啟動腳本/etc/rc.confsshd_enable=“YES〞UNIX其他風格的啟動腳本使用命令工具來監(jiān)視網(wǎng)絡(luò)狀況netstatifconfigLinux下的socklistFreebsd下的sockstatlsof–ItcpdumpUNIX常用網(wǎng)絡(luò)監(jiān)視工具fingertftpr系列效勞telnet大多數(shù)rpc效勞其他不必要的效勞建議禁止使用的網(wǎng)絡(luò)效勞UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇PC啟動IntelCPU進入實模式開始執(zhí)行0xFFFF0〔ROM—BIOS〕處的代碼BIOS自檢初始化位于地址0的中斷向量表BIOS將啟動盤的第一個扇區(qū)裝入到0x7C00，并開始執(zhí)行此處的代碼完成內(nèi)核的初始化PC機啟動過程1.開始引導裝入程序(bootloader)2.內(nèi)核初始化并運行內(nèi)核程序3.開始其他系統(tǒng)“自發(fā)的〞進程4.運行系統(tǒng)起始腳本UNIX引導概述?最初的引導環(huán)境通常是儲存在NVRAM設(shè)備中，并在開機的時候讀入內(nèi)存?NVRAM引導裝入程序觸發(fā)初始引導模塊〔Bootblock〕里的程序，進行引導初始化?Bootblock裝載入更大的程序塊，引導Unix內(nèi)核程序引導裝入程序〔bootloader〕1.識別CPU體系結(jié)構(gòu)并初始化2.計算物理內(nèi)存并初始化虛擬內(nèi)存系統(tǒng)3.為內(nèi)部結(jié)構(gòu)分配內(nèi)存4.探測系統(tǒng)設(shè)備，配置它們和初始化它們內(nèi)核活動“自發(fā)〞進程是內(nèi)核通過特別機制創(chuàng)立的這些進程通常用來控制進程調(diào)度安排和VMsystem它們不是存在于文件系統(tǒng)中可執(zhí)行的進程，而是真正的內(nèi)核代碼INIT進程開始并引導系統(tǒng)運行開始腳本內(nèi)核引導的自發(fā)進程?init運行shell腳本/etc/rc:–Mounts本地文件系統(tǒng)–初始化網(wǎng)絡(luò)接口–開始系統(tǒng)daemon程序?/etc/rc運行/etc/rc.local中的特定系統(tǒng)效勞程序?/etc/rc.conf腳本用來告訴系統(tǒng)在引導時運行哪些效勞BSD“起始〞〔start-up)腳本init程序依據(jù)設(shè)定運行級別運行相應(yīng)的“開始〞級別腳本:S–系統(tǒng)啟動配置2–初始化網(wǎng)絡(luò)配置，啟動系統(tǒng)daemon程序3–輸出文件系統(tǒng)，啟動本地daemon進程運行級別0是中止系統(tǒng)，運行級別6是重新引導系統(tǒng)啟動腳本存放在/etc/init.d目錄中通常一個腳本對應(yīng)一個daemon進程或者一項配置任務(wù)這些腳本都可以帶有“start〞或“stop〞參數(shù)–這樣當系統(tǒng)down的時候，可以很好地關(guān)閉翻開的進程每一個運行級別都對應(yīng)一個/etc/rc*.d目錄/etc/rc*.d中的鏈接文件的原文件是/etc/init.d目錄中文件鏈接文件命名方式是Snn…(腳本運行使用“start〞參數(shù)〕或者Knn…(腳本運行使用“stop〞參數(shù))nn代表腳本運行的順序SYSV“開始〞(start-up)腳本管理員可以控制在系統(tǒng)引導結(jié)束后運行哪些效勞對于BSD系統(tǒng),編輯/etc/rc.conf(或者去掉/etc/rc*中注釋標記)對于SYSV系統(tǒng),刪除(或者重命名)在/etc/rc*.d目錄中的鏈接文件底線1.根本系統(tǒng)配置2.開始網(wǎng)絡(luò)效勞3.開始NFS守護進程(NFS是一個流行的通過TCP/IP網(wǎng)絡(luò)共享文件的協(xié)議)4.運行系統(tǒng)其他守護進程5.提供X界面登錄的窗口init-控制引導進程?裝載root文件系統(tǒng)－包括關(guān)鍵程序和配置文件?配置網(wǎng)絡(luò)接口?裝載其他文件系統(tǒng)，其中一些可能是從網(wǎng)絡(luò)裝載1.根本系統(tǒng)配置DNS效勞－只在有DNS效勞的機器上運行Portmapper(rpcbind)–基于RPC效勞的主控守護進程NIS/NIS+–基于RPC的網(wǎng)絡(luò)信息數(shù)據(jù)庫Syslog–系統(tǒng)日志進程inetd–運行其他網(wǎng)絡(luò)效勞的“meta〞守護進程2.開始網(wǎng)絡(luò)效勞3.開始NFS守護進程NFS客戶端進程:lockd–NFS文件鎖定系統(tǒng)statd–在系統(tǒng)重引導后解鎖進程NFS效勞器端進程:mountd–效勞器響應(yīng)客戶請求nfsd–NFSI/O進程"Automounter"(amdorautomountd)?cron–在事先設(shè)定好的時間運行的后臺進程?Sendmail–郵件效勞進程?其他效勞進程–NTP、SNMP、HTTP、“volumemanagers〞、localservices……4.運行系統(tǒng)其他進程UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇如何衡量系統(tǒng)平安程度？操作系統(tǒng)平安程度的度量標準：目前常用美國國防部系統(tǒng)所制定的TCSEC〔“TrustedComputerSystemEvaluationCriteria〞〔1985〕〕，其評估標準主要是基于：系統(tǒng)平安政策〔Policy〕的制定系統(tǒng)使用狀態(tài)的可審性〔Accountability〕平安政策的準確解釋和實施的可靠性〔Assurance〕系統(tǒng)平安程度被分為八個等級〔D1、C1、C2、B1、B2、B3、A1和A2〕，其中D1系統(tǒng)的平安度為最低，常見的無密碼保護的個人計算機系統(tǒng)即屬此類；通常具有密碼保護的多用戶工作站系統(tǒng)屬于C1級一個網(wǎng)絡(luò)系統(tǒng)所能到達的最高平安等級不超過網(wǎng)絡(luò)上平安性能最低環(huán)節(jié)的平安等級，因而網(wǎng)絡(luò)系統(tǒng)平安的難度更大。中華人民共和國國家標準

GB17859-1999

計算機信息系統(tǒng)平安保護等級劃分準那么第一級:用戶自主保護級第二級:系統(tǒng)審計保護級第三級:平安標記保護級第四級:結(jié)構(gòu)化保護級第五級:訪問驗證保護級UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇UNIX系統(tǒng)物理平安注意點1效勞器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保存15天以上的攝像記錄。機箱、鍵盤、電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的平安的地方。所有設(shè)備的管理人和責任人必須明確，名單必須由相應(yīng)主管定期審核；計算機設(shè)備的訪問必須得到其管理人的授權(quán)；受控訪問區(qū)域內(nèi)任何計算機設(shè)備的存放都必須有完整紀錄清單，清單不許定期審視；計算機系統(tǒng)設(shè)備的任何物理變更，如搬遷、廢棄、更換配件等都必須進行登記；計算機設(shè)備離開公司時必須要通行證，所有此類物品的出門都必須記錄。保護硬件環(huán)境；保護硬件；關(guān)閉不用的接口：并行口、串行、紅外或USB；設(shè)置開機口令；嚴格限制對系統(tǒng)的物理存儲；安裝操作系統(tǒng)時應(yīng)該在非生產(chǎn)的網(wǎng)絡(luò)中，或放置在斷開的網(wǎng)絡(luò)中；使用第二系統(tǒng)來接收廠商提供的升級報或補丁程序UNIX系統(tǒng)物理平安注意點2使用常規(guī)介質(zhì)；備份可能包括改變的代碼對于具有網(wǎng)絡(luò)功能的設(shè)備只安裝必要的選項系統(tǒng)安裝結(jié)束后，將最新的補丁程序打上去掉不用的用戶名或者修改其密碼使用第二系統(tǒng)來獲得補丁程序在正式裝補丁程序前需要校驗(md5sum)隨時注意并更新系統(tǒng)和軟件補丁UNIX系統(tǒng)物理平安注意點3UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇UNIX常用命令lsof下載地址::///projects/lsof/用途:列舉翻開的文件(listopenfiles).由于在UNIX中文件的多樣性,一個socket連接也可以理解為一個文件句柄描述符.類型：根本命令:主要功能：查看當前連接，類似于netstat查看某個進程翻開或者使用了哪些文件從上面可以看出來21端口ftp是由xinetd提供效勞，如果我們想看關(guān)于ftp進程翻開了哪些文件,可以運行命令如圖:還有其他操作引用請參看lsof的manpageUNIX常用命令chattr給ext2系統(tǒng)上的文件設(shè)置屬性.比方設(shè)置成只讀,這樣即使是root,也不能使用rm命令刪除掉.Chattr是為linux的ext2文件系統(tǒng)效勞的,在BSD下,可以用chflags命令.比方：鎖定文件1，不允許刪除：[root@mobiletest]#ls1[root@mobiletest]#lsattr./1[root@mobiletest]#chattr+i1/*設(shè)置不能更改屬性*/[root@mobiletest]#lsattri./1[root@mobiletest]#rm1rm:removewrite-protectedfile`1'?yrm:cannotunlink`1':Operationnotpermitted/*已經(jīng)不允許刪除了*/[root@mobiletest]#chattr-i1[root@mobiletest]#rm1rm:remove`1'?y[root@mobiletest]#ls[root@mobiletest]#具體詳細幫助請參考manchattrUNIX常用命令Netstat/sockstatNetstat查看網(wǎng)絡(luò)連接命令，可以知道當前系統(tǒng)有那些連接，那些端口是listen狀態(tài)等。Sockstat是BSD下的程序，可以用來查看網(wǎng)絡(luò)進程的PID號〔對應(yīng)linux下netstat–p參數(shù)〕。Linux下查看TCP連接：[root@mobiletest]#netstat-antActiveInternetconnections(serversandestablished)ProtoRecv-QSend-QLocalAddressForeignAddressStatetcp00:139:*LISTENtcp00:80:*LISTENtcp00:22289:*LISTENtcp00:21:*LISTENtcp00:22:*LISTENtcp00:443:*LISTENtcp02014:2210:1055ESTABLISHED詳細應(yīng)用請參看mannetstatUNIX常用命令md5sum文件校驗和，主要用來檢查文件大小，內(nèi)容等是否更改。在系統(tǒng)被入侵后，可以很方便的用這個命令來檢查一些常用命令是否被更改。我們可以在剛安裝完系統(tǒng)后備份一些重要命令的md5校驗和，再備份結(jié)果到其他介質(zhì)上，定期檢查看校驗和是否正確。比方：[root@mobiletest]#md5sum/bin/netstat/bin/ps/bin/su/bin/ls>result.txt[root@mobiletest]#lsa.txtid.txtls.txtresult.txt[root@mobiletest]#md5sum-cresult.txt/bin/netstat:OK/bin/ps:OK/bin/su:OK/bin/ls:OK[root@mobiletest]#監(jiān)視文件大小變化、操作等，還可以使用第三方程序：Tripwire，Swatch等。UNIX常用命令acctacct是用來記錄和統(tǒng)計用戶命令執(zhí)行情況以及其他有關(guān)用戶的信息。不過很少有人使用。這一系列的工具可以在psacct的rpm包里面找到。[root@mobilelog]#rpm-qlpsacct/etc/logrotate.d/psacct/etc/rc.d/init.d/psacct/sbin/accton/usr/bin/ac/usr/bin/lastcomm/usr/sbin/accton/usr/sbin/dump-acct/usr/sbin/dump-utmp/usr/sbin/sa/var/account/var/account/pact具體使用可以參看man8sa,man8accton,manlastcomm,manacUNIX常用命令Last/lastlog用來查詢用戶登陸情況以及用戶最后登陸時間。系統(tǒng)文件：/var/log/utmp以及/var/log/lastlog用來記錄用戶登陸情況和最后登陸時間。注意：如果這兩個日志被擦除，這兩個命令將顯示無結(jié)果UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇用戶環(huán)境變量profile每一個用戶登錄進來的時候，如果有特殊需要，會在用戶目錄里面產(chǎn)生一些配置文件，比方Ｌinux下默認bashshell的就有.bash_profile.bashrc等文件，這些文件主要用來控制用戶在整個登陸會話中的一些環(huán)境變量，alias命令別名，umask值，以及初始化命令等。比方：linux下的bash_profile文件：[root@mobileroot]#cat.bash_profile#.bash_profile#Getthealiasesandfunctionsif[-f~/.bashrc];then.~/.bashrcfi#UserspecificenvironmentandstartupprogramsPATH=$PATH:$HOME/binBASH_ENV=$HOME/.bashrcUSERNAME="root"exportUSERNAMEBASH_ENVPATH[root@mobileroot]#cat.bashrc#.bashrc#Userspecificaliasesandfunctionsaliasrm='rm-i'aliascp='cp-i'aliasmv='mv-i'#Sourceglobaldefinitionsif[-f/etc/bashrc];then./etc/bashrcfi[root@mobileroot]#針對所用用戶的設(shè)置文件是/etc/bashrc，有興趣的可以翻開/etc/bashrc看看用戶環(huán)境變量History用戶的命令記錄會在history文件里面記錄起來，比方,linux下用bashshell的用戶，命令會缺省記錄在.bash_history文件里面：[root@mobileroot]#tail.bash_historylsof-iTCP-mlsof-iTCP-nlsof-iTCP-n-Plsof-iTCP-n-P-slsof-iTCP-n-P-Tlsof-iTCP-n-P-Ulsof-iTCP-n-P-U-Xnameslsof-iTCP-n-P-U--nameslsof-iTCP-n-P-U-rnetstat-antp[root@mobileroot]#在系統(tǒng)被入侵后，如果運氣好的話，還會留下入侵者使用的一些命令哦。UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇常見目錄的用途/bin用戶命令可執(zhí)行文件。/dev特殊設(shè)備文件。/etc系統(tǒng)執(zhí)行文件、配置文件、管理文件。/home用戶的起始目錄。/lib引導系統(tǒng)及在root文件系統(tǒng)中運行命令所需共享。/lost+found與特定文件系統(tǒng)斷開連接的喪失文件。/mnt臨時安裝的文件系統(tǒng)。/proc偽文件系統(tǒng)，是到內(nèi)核數(shù)據(jù)結(jié)構(gòu)或運行進程的接口。/sbin為只被root使用的可執(zhí)行文件及引導系統(tǒng)啟動的文件。/usr分成許多目錄，包含可執(zhí)行文件、頭文件、幫助文件。/var用于電子郵件、打印、cron等的文件，統(tǒng)計、日志文件。UNIX文件系統(tǒng)結(jié)構(gòu)文件類型 1.普通文件——文本文件，二進制文件。 2.目錄——包括一組其它文件的二進制文件。 3.特殊文件——/dev目錄下的設(shè)備文件等。 4.鏈接文件——硬鏈接和符號鏈接。 5.Sockets——進程間通信時使用的特殊文件。UNIX文件類型UNIX把一切都看成是個文件。包括目錄以及設(shè)備等等的所有的文件都有一個inode號，作為這個文件的管理信息。文件本身存在于數(shù)據(jù)區(qū)，但是inode號存在inodeblock里。i-node包含的信息UID——文件擁有者。GID——文件的權(quán)限設(shè)置。模式節(jié)點上次修改時間。文件大小——文件所在的分組。文件類型——文件、目錄、鏈接等。ctime——i-訪問時間。mtime——文件上次修改時間。atime——文件上次訪問時間。nlink——硬鏈接的數(shù)目。UNIX文件屬性各種許可權(quán)限的含義是什么?UNIX文件系統(tǒng)權(quán)限FileOwnerGroupOwnerEveryoneElseWritePermissionReadPermissionExecutePermission文件目錄Read可以讀取文件可以對目錄中的文件列表Write可以修改文件內(nèi)容可以創(chuàng)建或刪除文件阿Execute可以執(zhí)行文件可以訪問目錄中的文件Set-UID使用文件屬主的權(quán)限執(zhí)行文件N/ASet-GID使用文件所屬組的權(quán)限執(zhí)行文件新建文件權(quán)限是繼承上級目錄權(quán)限"Sticky"N/A只有文件屬主才能刪除文件UNIX文件和目錄權(quán)限位的含義FileOwnerGroupOwnerEveryoneElseUNIX絕對文件權(quán)限模式ls-l命令可以來顯示文件名與特性。下面信息的第一欄可以說明文件類型和該文件賦予不同組用戶的權(quán)限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--查看UNIX文件權(quán)限1.chmod—改變文件權(quán)限設(shè)置。2.chgrp—改變文件的分組。3.chown—改變文件的擁有權(quán)。4.Chattr—設(shè)置文件屬性UNIX文件驅(qū)權(quán)限修改命令使用chmod命令修改文件權(quán)限:chmod666myfilechmod1777/tmp使用umask命令設(shè)置文件默認權(quán)限umask022umask077什么是umask值?用來指明要禁止的訪問權(quán)限，通常在登錄文件.login或.profile中建立。三位8進制值用來指定新創(chuàng)立文件和目錄權(quán)限的缺省許可權(quán)限通過umask值來計算文件目錄的許可權(quán)限常用的值有022,027,077何謂UMASK值？什么是SUID和SGID程序?UNIX中的SUID(SetUserID)/SGID(SetGroupID)設(shè)置了用戶id和分組id屬性，允許用戶以特殊權(quán)利來運行程序,

這種程序執(zhí)行時具有宿主的權(quán)限.

如passwd程序,它就設(shè)置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序執(zhí)行時就具有root的權(quán)限SUID和SGID為什么要有SUID和SGID程序?SUID程序是為了使普通用戶完成一些普通用戶權(quán)限不能完成的事而設(shè)置的.比方每個用戶都允許修改自己的密碼,但是修改密碼時又需要root權(quán)限,所以修改密碼的程序需要以管理員權(quán)限來運行.UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇選擇復(fù)雜口令的意義:防止兩層攻擊基于用戶信息簡單密碼猜測基于口令強制猜測程序的攻擊人類傾向于使用易于猜測到的口令,這在使用字典猜測攻擊面前變得非常脆弱口令選擇的弱點:帳號平安根底如何選擇口令?嚴禁使用空口令和與用戶名相同的口令不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何和個人信息有關(guān)的口令不要選擇短于6個字符或僅包含字母或數(shù)字不要選擇作為口令范例公布的口令采取數(shù)字混合并且易于記憶選擇口令的原那么如何保管好自己的口令?不要把口令寫在紙上不要把口令貼到任何計算機的硬件上面不要把口令以文件的形式放在計算機里不要把口令與人共享5.防止信任欺騙(,E-mail等)口令的管理 Unix系統(tǒng)使用一個單向函數(shù)crypt()，來加密用戶的口令。單向函數(shù)crypt()從數(shù)學原理上保證了從加密的密文得到加密前的明文是不可能的或是非常困難的。當用戶登錄時，系統(tǒng)并不是去解密已加密的口令，而是將輸入的口令明文字符串傳給加密函數(shù)，將加密函數(shù)的輸出與/etc/passwd文件中該用戶條目的PASSWORD域進行比較，假設(shè)匹配成功，那么允許用戶登錄系統(tǒng)。

Crypt()的加密算法基于資料加密標準DES，它將用戶輸入的口令作為密鑰，加密一個64bit的0/1串，加密的結(jié)果又使用用戶的口令再次加密；重復(fù)該過程，一共進行25次。最后的輸出為一個11byte的字符串，存放在/etc/passwd的PASSWORD域。

Morris和Thompson修改了crypt()函數(shù)的實現(xiàn)。現(xiàn)在Unix系統(tǒng)中使用的加密函數(shù)原型如下：

Char*crypt(char*salt,char*passwd)

Salt是一個12位長的數(shù)字，取值范圍為0到4095。它略改變了DES的輸出，4096個不同的salt值使同一個口令產(chǎn)生不同的輸出。當改變口令時，系統(tǒng)選擇當天的一個時間，得到一個salt數(shù)值。該salt被存放在加密口令的最前面。因此，passwd文件存放的密文口令是13位。一些Unix系統(tǒng)，例如：HP-UX，Ultrix和BSD4.4，使用了16位或更長的salt值，這種算法稱為bigcrypt()或crypt16()?？诹罴用艿臋C理條目的格式:name:coded-passwd:UID:GID:userinfo:homedirectory:shell2.條目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh3.密文的組成 Salt+口令的密文 Np ge08fdehjklPasswd文件剖析1.偽用戶帳號 通常不被登錄，而是進程和文件所有權(quán)保存位置，如bin、daemon、mail和uucp等。2.單獨命令帳號 如date、finger、halt等帳號。3.相應(yīng)策略 檢查/etc/passwd文件，確保口令域中是“*〞，而非空白。4.公共帳號 原那么上每個用戶必須有自己的帳號，假設(shè)一個系統(tǒng)必須提供guest帳號，那么設(shè)置一個每天改變的口令。最好是設(shè)置受限shell,并且做chroot限制.帳號管理1.禁用帳號 在/etc/passwd文件中用戶名前加一個“#〞，把“#〞去掉即可取消限制。2.刪除帳號a)殺死任何屬于該用戶的進程或打印任務(wù)。b)檢查用戶的起始目錄并為任何需要保存的東西制作備份。c)刪除用戶的起始目錄及其內(nèi)容。d)刪除用戶的郵件文件(/var/spool/mail)。e)把用戶從郵件別名文件中刪除(/etc/sendmail/aliases)。禁用或刪除帳號除非必要，防止以超級用戶登錄。嚴格限制root只能在某一個終端登陸，遠程用戶可以使用/bin/su-l來成為root。不要隨意把rootshell留在終端上。假設(shè)某人確實需要以root來運行命令，那么考慮安裝sudo這樣的工具，它能使普通用戶以root來運行個人命令并維護日志。不要把當前目錄(“./〞)和普通用戶的bin目錄放在root帳號的環(huán)境變量PATH中。永遠不以root運行其他用戶的或不熟悉的程序保護root1.策略傳播(對用戶培訓和宣傳)2.進行口令檢查3.產(chǎn)生隨機口令4.口令更新5.設(shè)置口令失效時間穩(wěn)固帳號平安加強口令平安組成 /etc/passwd：口令域置為“X〞或其它替代符號。 /etc/shadow：只被root或passwd等有SUID位的程序可讀。設(shè)置影子口令 在可選影子口令系統(tǒng)中，執(zhí)行pwconv命令。該命令在影子口令文件不存在的情況下創(chuàng)立一個新的。如果已存在一個影子文件，pwconv把/etc/passwd中的新用戶添加到/etc/shadow中，把/etc/passwd中沒有的用戶從影子文件中刪去，并把口令從/etc/passwd移到影子文件中。穩(wěn)固帳號平安使用影子口令(shadow)文件除了包含用戶名和加密口令還包含以下域： 1.上次口令修改日期。 2.口令在兩次修改間的最小天數(shù)。 3.口令建立后必須修改的天數(shù)。 4.口令更改前向用戶發(fā)出警告的天數(shù)。5.口令終止后被禁用的天數(shù)。 6.自從1970/1/1起帳號被禁用的天數(shù)。 7.保存域。例如： root:*:10612:0:99999:7:::穩(wěn)固帳號平安/etc/shadow文件剖析UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇1.提供一種追蹤用戶活動的方法2.系統(tǒng)管理員可以知道系統(tǒng)的日?；顒?.及時了解和處理平安事件4.它是一種在平安事件發(fā)生后，可以提供法律證據(jù)的機制為什么要啟用審計？1.在UNIX中,主要的審計工具是syslogd,2.可以通過配置這個后臺進程程序，可以提供各種水平的系統(tǒng)審計和指定輸出目錄如何啟用審計?如何啟用審計？由syslog記錄的日志：系統(tǒng)內(nèi)核及工具產(chǎn)生信息時，通過調(diào)用syslog()，把信息送往守護進程syslogd，syslogd那么根據(jù)/etc/syslog.conf中的配置要求進行處理〔如記錄到系統(tǒng)日志、輸出到控制臺等等〕由系統(tǒng)的守護進程syslogd記錄的日志一般有：/var/log/messages/var/log/secure/var/log/maillog/var/log/cron/var/log/boot.log/var/log/spooler這些日志記錄什么內(nèi)容，以及記錄的標準都在/etc/syslog.conf里面定義和配置，具體內(nèi)容請參看mansyslog.conf,mansyslogd由syslog記錄的日志login主要記錄用戶登陸情況以及退出登陸的時間，使用時間，使用的虛擬終端等信息。一般存放在:/var/run/utmp/var/log/wtmp/var/log/lastlog/var/spool/mail/*.hushlogin用戶可以用last、who、lastlog等命令來讀取這些文件由login記錄的日志文件這個是由程序自己控制記錄下的某些日志文件，比方：d等。比方linux下缺省安裝的apache日志文件就存放在/var/log/d目錄下面。前面提到的acct日志記錄也歸納在這里coredump記錄用戶程序發(fā)生程序錯誤，比方內(nèi)存指針越界、特權(quán)進程對文件的不正確處理等都會導致程序崩潰，這個時候，系統(tǒng)就會根據(jù)配置文件決定是否產(chǎn)生一個coredump文件，通過這些文件我們可以找到程序發(fā)生錯誤的地點，并且可以知道程序崩潰時候CPU各個存放器的值，通過這些信息我們可以知道程序是在哪個函數(shù)發(fā)生錯誤，引起錯誤發(fā)生的原因等信息。由程序自己記錄的日志文件UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇Linux系統(tǒng)網(wǎng)絡(luò)平安根本配置過濾：系統(tǒng)啟動效勞清理屏蔽系統(tǒng)對ping請求的反響屏蔽系統(tǒng)登錄顯示信息“/etc/host.conf〞文件配置使用更平安的版本替代〔比方ssh2〕采用TCPwrappers提供更強的訪問控制限制root用戶登錄的tty設(shè)備防止欺騙：禁止IP源路徑路由防范“SYNAttack〞拒絕效勞攻擊配置防火墻加強網(wǎng)絡(luò)防御系統(tǒng)啟動效勞清理清理/etc/rc2.d值得注意的nfs.*(網(wǎng)絡(luò)文件共享)可以通過/etc/rc2.d/S71RPC改名來禁止rpc清理/etc/rc3.dSNMP使用的選擇SNMP配置清理/etc/xinetd.d效勞：所有的TCP/UDP小效勞所有的調(diào)試效勞所以的R效勞幾乎所有的RPC效勞使用必要的工具替換telnet,ftp必要的時候可以完全禁止inetd或用xinetd替換禁止所有不需要的效勞/etc/xinetd.d/telnet

servicetelnet{disable=yesflags=REUSEsocket_type=streamwait=nouser=rootserver=/usr/sbin/in.telnetdserver_args=-hlog_on_failure+=USERID屏蔽系統(tǒng)對ping請求的反響echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all編輯“host.conf〞文件(vi/etc/host.conf)orderbind,hostsmultion〔允許主機可以有多個地址〕nospoofon(不允許對該效勞器進行IP地址欺騙)屏蔽系統(tǒng)登錄顯示信息1〕編輯“/ect/rc.d/rc.local〞文件#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue#cp-f/etc/issue/etc/#echo>>/etc/issu2〕刪除“/etc〞目錄下“〞、“issue〞文件限制root用戶登錄的tty設(shè)備“/etc/securetty〞文件允許你規(guī)定“root〞用戶可以從那個TTY設(shè)備登錄。編輯securetty文件(vi/etc/securetty)象下面一樣，注釋掉一些行：tty1#tty2#tty3#tty4#tty5#tty6#tty7#tty8禁止IP源路徑路由：#echo0/proc/sys/net/ipv4/conf/*/accept_source_route;防范“SYNAttack〞拒絕效勞攻擊#echo1>proc/sys/net/ipv4/tcp_syncookiesUNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇WWW效勞器平安一旦出現(xiàn)問題造成的損失很大企業(yè)形象的損害信息資產(chǎn)的流失對公眾開放,成為眾多攻擊者的目標WWW效勞有何特殊性?典型的Apache效勞器配置圖WWW效勞器平安WWW效勞器平安Apache效勞器軟件的編譯和安裝相關(guān)網(wǎng)址

WWW效勞器平安Apache效勞器配置應(yīng)注意哪些問題?1.盡量使用高版本的效勞器程序2.給WWW文檔所在目錄設(shè)置正確的權(quán)限3.不要以root身份運行效勞器程序4.在CGI程序中不要信任用戶輸入的任何信息,特別是“&;`‘\〞|*?~<>^()[]{}$\n\r\t\0#../〞一類的字符5.禁止自動目錄列表(Options–Indexes)Access_log:10--[24/Nov/2002:19:45:25+0800]"GET/HTTP/1.1"304-"-""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"10--[24/Nov/2002:19:45:25+0800]"GET/icons/apache_pb.gifHTTP/1.1"304-"://14/""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)“Error_log:[MonNov2508:53:282002][notice]childpid898exitsignalSegmentationfault(11)[MonNov2512:07:142002][error][client14]requestfailed:errorreadingtheheaders[MonNov2512:10:062002][error][client14]requestfailed:errorreadingtheheadersWWW效勞器平安Apache日志審查:UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇FTP效勞器平安必須以root身份運行以明文傳輸數(shù)據(jù)(包括用戶名和口令)FTP效勞器的平安問題?FTP效勞器平安FTP效勞器平安本卷須知?對匿名ftp效勞器盡量不要開放寫權(quán)限禁止root登錄敏感信息不要通過ftp傳遞對連接數(shù)和帶寬加以限制記錄詳細的日志進行訪問控制使用平安性好的ftp效勞器對于提供ftp帳號的用戶,如果是系統(tǒng)用戶, 最好能把用戶shell設(shè)置成/bin/trueFTP效勞器平安FTP效勞器軟件推薦使用proftpdproftpd的特點a.高度可配置的ftp效勞器b.良好的平安性c.很容易配置多個虛擬效勞器和匿名效勞器d.匿名效勞器的根目錄不需要特殊的目錄結(jié)構(gòu)，執(zhí)行文件，和庫文件等。e.沒有SITEEXEC命令UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)原理篇實踐篇DNS效勞器平安DNS效勞器的平安問題?Internet上最重要的效勞之一DNS與BINDBIND效勞器軟件存在不少遠程溢出漏洞BIND效勞器軟件存在不少拒絕效勞漏洞DNS效勞器平安使用BIND9提供的平安特性來確保效勞器的平安1.限制查詢allow-query子句的語法:options{ allow-query{地址匹配列表}};例如:options{ allow-query{10.1.1/24;10.1.2/24}};DNS效勞器平安2.防止未授權(quán)的區(qū)傳送對某個域的區(qū)傳送的限制:zone“demo〞{ typemaster; file“db.demo〞; allow-transfer{;}};全局的區(qū)傳送訪問控制列表:options{ allow-transfer{10.1.1/24;10.1.2/24}}3.隱藏BIND的版本信息在options可以自定義版本信息，例如：options{ … version“unknow〞 …}DNS效勞器平安4.以普通用戶身份運行BIND啟動named時使用以下參數(shù):-u以該用戶名或用戶id來運行named,例如-unobody-g以該用戶組或組id來運行named,例如-gnogroupDNS效勞器平安UNIX/LINUX下第三方平安工具SSHTCP_WRAPPERTRIPWIRENON-EXECSTACKUNIX/LINUX系統(tǒng)入侵分析特征處理方法UNIX/LINUX系統(tǒng)配置經(jīng)驗分區(qū)劃分機器的啟動密碼用戶管理系統(tǒng)文件平安網(wǎng)絡(luò)效勞響應(yīng)UNIX/LINUX系統(tǒng)概述系統(tǒng)體系結(jié)構(gòu)系統(tǒng)效勞與進程系統(tǒng)啟動過程系統(tǒng)的平安級別UNIX/LINUX系統(tǒng)平安特性物理平安常用命令介紹用戶環(huán)境變量介紹文件系統(tǒng)平安賬號平安日志記錄平安配置APACHE效勞器配置要點FTP效勞器配置要點DNS效勞器配置要點提綱原理篇實踐篇1.rsh和rlogin的替代品2.可以在不平安的網(wǎng)絡(luò)上提供平安的加密通信SSH平安shell(ssh)的特點:SSH的下載和安裝?SSH會自動加密和解密所有SSH客戶端與效勞端之間的網(wǎng)絡(luò)數(shù)據(jù)。SSH還同時提供端口轉(zhuǎn)發(fā)的功能。它能夠?qū)⑵渌鸗CP端口的網(wǎng)絡(luò)數(shù)據(jù)通過SSH鏈接來轉(zhuǎn)發(fā)，并且自動提供了相應(yīng)的加密及解密效勞。這一過程有時也被叫做“隧道〞〔tunneling〕，這是因為SSH為其他TCP鏈接提供了一個平安的通道來進行傳輸而得名。例如，Telnet，SMTP，LDAP這些TCP應(yīng)用均能夠從中得益，防止了用戶名，密碼以及隱私信息的明文傳輸。而與此同時，如果您工作環(huán)境中的防火墻限制了一些網(wǎng)絡(luò)端口的使用，但是允許SSH的連接，那么也是能夠通過將TCP端口轉(zhuǎn)發(fā)來使用SSH進行通訊?？偟膩碚fSSH端口轉(zhuǎn)發(fā)能夠提供兩大功能：加密SSHClient端至SSHServer端之間的通訊數(shù)據(jù)；突破防火墻的限制完成一些之前無法建立的TCP連接。SSHSSHSSH的用法以及常用選項遠程登錄、遠程執(zhí)行ssh–lusernamehostnamesshusername@hostnamesshusername@hostnamecommandSSH提供的其他工具Sftp 平安ftp客戶端2.Scp平安遠程拷貝工具以pop3效勞為例說明SSHSSH端口轉(zhuǎn)發(fā)功能pop3(110)端口郵件客戶端軟件