Unix系統(tǒng)安全管理

Unix系統(tǒng)平安管理祝曉光提綱帳號管理 文件管理 Unix攻擊介紹 平安根本配置 提綱一帳號管理帳戶管理用戶類型Root〔超級用戶，不受任何限制〕普通用戶(未設(shè)置密碼和宿主目錄者除外)系統(tǒng)用戶〔用于和進(jìn)程間交互，從不登陸〕UID與GIDUnix口令文件存儲路徑Linux/etc/shadowSystemVRelease4.2/etc/securitySystemVRelease4.0/etc/shadowSunOS5.0/etc/shadowSCOUnix/tcb/auth/files/OSF/1/etc/passwdHP-UX/.secure/etc/passwdBSD4.x/etc/master.passwdAIX3/etc/security/passwdIRIX5/etc/shadow

帳號密碼文件zhuxg:x:501:501:Jacky:/home/zhuxg:/bin/bash用戶名密碼位置UIDGID用戶全名用戶主目錄用戶shell

/etc/passwd和/etc/shadow(master.passwd)文件解讀/etc/shadow文件root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272用戶名加密口令上一次修改的時間〔從1970年1月1日起的天數(shù)〕口令在兩次修改間的最小天數(shù)離用戶必須修改口令還剩下的天數(shù)離系統(tǒng)提醒用戶必須修改口令還剩下的天數(shù)

用戶仍可修改口令還剩余的天數(shù)，否那么到期之后該賬號將被禁止從1970年1月1日起賬號被禁用的天數(shù)保存字段添加帳戶添加用戶useradd/adduser[root@www/root]#useradd--helpuseradd:invalidoption---usage:useradd[-uuid[-o]][-ggroup][-Ggroup,...][-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-n][-r]nameuseradd-D[-ggroup][-bbase][-sshell][-finactive][-eexpire][root@www/root]#useradd–u1000–d/home/test–s/bin/shtest刪除帳戶userdel/deluserUserdel[-r]name [root@www/root]#userdel–rtest [root@www/root]#ls–l/home管理帳號查看當(dāng)前用戶名[root@www/root]#users更改用戶屬性usermod[root@www/root]#usermod--helpusage:usermod[-uuid[-o]][-ggroup][-Ggroup,...][-dhome[-m]][-sshell][-ccomment][-lnew_name][-finactive][-eexpire][-ppasswd][-L|-U]nameSUID/SGID和粘滯位SUID一般用于可執(zhí)行程序，當(dāng)普通用戶需要間接使用(讀或?qū)?某個文件時，可以對該程序設(shè)置SUID/bin/passwd/etc/passwd和/etc/shadowSGID一般應(yīng)用于普通目錄粘滯位用于對某些目錄提供額外的保護(hù)/tmp

文件管理

Linux/Unix文件系統(tǒng)類型Ext2/ext3、UFS文件類型正規(guī)文件：ASCII文本文件，二進(jìn)制數(shù)據(jù)文件，二進(jìn)制可執(zhí)行文件目錄：包含一組文件的二進(jìn)制可執(zhí)行文件特殊文件：/dev,/proc鏈接文件Sockets:進(jìn)程間通訊使用的特殊文件文件類型由文件長模式顯示的第一個字符決定“-”：普通文件“d”：目錄“l(fā)”：符號鏈接“s”：套接字Linux文件權(quán)限-rw-r--r--文件類型(文件、目錄、特殊文件)擁有者訪問權(quán)分組訪問權(quán)其它用戶訪問權(quán)l(xiāng)s–l文件名Mask和umask值Mask和umask相對應(yīng)對于文件umask值||文件權(quán)限=666對于目錄umask值||目錄權(quán)限=777文件管理添加/刪除/移動文件和目錄touch、echo、vi、rm、mv更改文件權(quán)限chmod、chattr更改文件屬主chown、chgrp設(shè)置SUID/SGID和Sticky-bit設(shè)置SUID/SGID程序利用chmod典型文件如/bin/passwdSGID通常設(shè)置在某個目錄上設(shè)置粘置位典型目錄如/tmp粘置位可防止誤刪、誤修改或破壞用戶文件提綱三Unix攻擊介紹黑客攻擊手法(一)收集信息掃描社會工程公開信息利用系統(tǒng)漏洞DNS的配置失誤Finger....黑客攻擊手法(二)嘗試獲得主機(jī)入口密碼猜測遠(yuǎn)程溢出Sniffer社會工程程序漏洞……黑客攻擊手法(三〕嘗試獲得最高權(quán)限本地溢出木馬社會工程竊取，欺騙程序漏洞黑客攻擊手法(四)擴(kuò)大攻擊范圍去除系統(tǒng)記錄系統(tǒng)日志去除操作日志去除應(yīng)用日志去除留下系統(tǒng)后門Bindshell帳戶LKM..跳躍攻擊其他主機(jī)RootKits用于獲得具有root權(quán)限的一組程序通過設(shè)置uid程序,系統(tǒng)木馬,cron后門等方法來實現(xiàn)入侵者以后從非特權(quán)用戶使用root權(quán)限的程序提綱四系統(tǒng)平安配置與優(yōu)化Solaris根本平安配置設(shè)置一個盡可能復(fù)雜的root口令設(shè)置默認(rèn)路由/etc/defaultrouter設(shè)置dns/etc/resolv.conf設(shè)置/etc/nsswitch.confHost:filesdns系統(tǒng)啟動效勞清理清理/etc/rc2.d值得注意的nfs.*S71RPC清理/etc/rc3.dSNMP使用的選擇SNMP配置清理/etc/init.d/inetsvc禁止dInetd–s–t啟動禁止multicast系統(tǒng)啟動效勞清理清理/etc/inetd.conf效勞所有的TCP/UDP小效勞所有的調(diào)試效勞所以的R效勞幾乎所有的RPC效勞使用必要的工具替換telnet,ftp必要的時候可以完全禁止inetd或用xinetd替換ndd使用幫助ndd/dev/arp\?(icmp,tcp,udp,ip)查詢ndd/dev/arparp_cleanup_interval設(shè)置ndd-set/dev/arparp_cleanup_interval60000啟動網(wǎng)絡(luò)參數(shù)設(shè)定設(shè)置/etc/init.d/inetinit

ndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0(或/etc/notrouter)ndd-set/dev/ipip_strict_dst_multihoming1ARP攻擊防止減少過期時間#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000靜態(tài)ARParp–ffilename禁止ARPifconfiginterface–arpIP關(guān)閉ip轉(zhuǎn)發(fā)。＃ndd–set/dev/ipip_forwarding0轉(zhuǎn)發(fā)包播送由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來實施smurf攻擊，關(guān)閉這一特性。(參見cert-98.01)#ndd–set/dev/ipip-forward_directed_broadcasts0源路由轉(zhuǎn)發(fā)，所以我們必須手動關(guān)閉它＃ndd–set/dev/ipip_forward_src_routed0ICMP關(guān)閉對echo播送的響應(yīng)＃ndd–set/dev/ipip_respond_to_echo_boadcast0響應(yīng)時間戳播送#ndd–set/dev/ipip_respond_to_timestamp_broadcast0地址掩碼播送#ndd–set/dev/ipip_respind_to_address_mask_broadcast0ICMP接受重定向錯誤#ndd–set/dev/ipip_ignore_redirect1響應(yīng)時間戳播送發(fā)送重定向錯誤報文ndd–set/dev/ipip_send_redirects0時間戳響應(yīng)#ndd–set/dev/ipip_respond_to_timestamp0注意：Rdata〔同步時鐘〕可能無法正常TCPSynfloodndd–set/dev/tcptcp_conn_req_max_q04096 默認(rèn)值是1024連接耗盡攻擊ndd–set/dev/tcptcp_conn_req_max_q1024 默認(rèn)值是128增加私有端口ndd/dev/tcptcp_extra_priv_ports20494045要注意的是，不要隨便定義私有端口，因為有些非根權(quán)限的進(jìn)程會使用這些端口。特別是改變最小非私有端口這個參數(shù)，經(jīng)常會引起問題。文件系統(tǒng)配置刪除NFS的相關(guān)配置/etc/auto_*/etc/dfs/dfstabMount文件系統(tǒng)的設(shè)置/etc/vfstab/usrmountro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noroOthermountnosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/localufs2yesnosuid可能的話mount/nosuid文件系統(tǒng)配置尋找無用的suid程序Find/-typef\(-perm-4000\)|xargsls–a調(diào)整文件系統(tǒng)的權(quán)限/usr/sbin/var/log/etc…日志系統(tǒng)配置/etc/syslog.conf增加的日志記錄/var/log/authlog輸出到loghost輸出到打印機(jī)增加對su和crontab的日志記錄/etc/default/cron/etc/default/su日志系統(tǒng)配置syslog.conf的格式如下,設(shè)備.行為級別[；設(shè)備.行為級別]記錄行為注意各欄之間用[Tab]來分隔，用空格是無效的。如*.err;daemon.notice;mail.crit/var/adm/messages日志系統(tǒng)配置-設(shè)備auth認(rèn)證系統(tǒng)，即詢問用戶名和口令cron系統(tǒng)定時系統(tǒng)執(zhí)行定時任務(wù)時發(fā)出的信息daemon守護(hù)程序的syslog,如由in.ftpd產(chǎn)生的logkern內(nèi)核的syslog信息lpr打印機(jī)的syslog信息mail郵件系統(tǒng)的syslog信息mark定時發(fā)送消息的時標(biāo)程序news新聞系統(tǒng)的syslog信息user本地用戶應(yīng)用程序的syslog信息uucpuucp子系統(tǒng)的syslog信息*:代表以上各種設(shè)備日志系統(tǒng)配置-行為級別行為級別描述〔危險程度遞遞〕debug程序的調(diào)試信息info信息消息notice要注意的消息warning警告err一般性錯誤crit嚴(yán)重情況alert應(yīng)該立即被糾正的情況emerg緊急情況none指定的效勞程序未給所選擇的日志系統(tǒng)配置-特殊配置loghost@loghost日志輸出到打印機(jī)把打印機(jī)連接到終端端口/dev/ttya上，在/etc/syslog.conf中參加配置語句.auth.notice /dev/ttya帳戶清理與設(shè)置userdel/passmgmt(uucp,listen,lp,smtp,adm)/etc/default/login的設(shè)置禁止非consoleroot登陸登陸超時登陸掩碼設(shè)置/etc/defualt/passwd密碼長度，過期等Linux系統(tǒng)平安根本配置分區(qū)時將根目錄〔/〕、〔/home〕、〔/tmp〕和/var目錄