08+UNIX安全管理.ppt

Unix系统安全培训 二○○四年三月 目录 黑客攻击手法 系统安全基础 系统安全设置(加固) 常用安全工具 常用服务安全 系统异常监控 安全威胁: 系统为什么不安全 安全威胁: 安全事故的后果 直接经济损失 名誉、信誉受损 正常工作中断或受到干扰 效率下降 可靠性降低 其他严重的后果 黑客攻击手法(一) 收集信息 扫描 nmap等 社会工程 公开信息 利用系统漏洞 dns配置失误 finger 黑客攻击手法(二) 尝试获得主机入口 口令猜测 程序漏洞（远程溢出） 嗅探 等…… 黑客攻击手法(三) 扩大攻击范围 清除系统日志记录 留下后门/木马 继续渗透到网内的其它主机 unix系统安全基础知识 Unix文件系统的权限 drwxr-xr-x 3 root root 1024 Sep 13 11:58 manage 12345678910 1:目录或文件， －文件,b块文件,c字符设备，d目录，l符号链接 234:用户rwx 567:组rwx 8910:其他rwx 文件权限的赋予和更改 Chmod/chown/chgrp chmod o+r file chown user1 file chgrp group1 file 文件权限的8进制表示 属主,组,其它分别以一个8进制位表示,其中: r - 4 w - 2 x - 1 其它属性位 1000 粘合位 2000 setgid 4000 setuid umask值 用来指定新创建文件/目录的缺省许可权限 常用的值有022,027,077 用命令umask显示/设置当前umask值 附加的文件权限属性 linux的ext2/ext3文件系统 lsattr chattr a 只追加属性 i 禁止修改 s 安全删除 Unix文件系统的布局 /bin /usr/bin /sbin /usr/sbin /dev /etc /home /lib /usr/lib lost+found /opt 与安全有关的mount选项 nodev noexec nosuid rdonly Unix的账号和口令管理 传统passwd系统和shadow系统 用户密码的强度 Shell的控制 口令时间策略 Linux下用chage命令管理口令周期 chage -l username chage [-m 最短周期] [-M 最长周期] [-I 口令到期到被锁定的天数] [-E到期日期] [-W 口令到期之前开始警告的天数] username 禁止root用户远程登录 linux下: /etc/pam.d/login auth required pam_securetty.so 其它多数系统: /etc/default/login CONSOLE=/dev/console 账号使用跟踪 who w last lastlog Unix的系统服务 /etc/inetd.conf /etc/service /etc/Rc*.d Unix系统日志 /etc/syslog.conf每一行的格式如下 设备.行为级别 [;设备.行为级别][ tab]记录动作 设备.行为级别和记录动作间[tab]来分隔，用空格无效 Unix 系统日志 第一栏：设备 authpriv认证系统，即询问用户名和口令cron 系统定时系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog,如由in.ftpd产生的logkern 内核的syslog信息lpr 打印机的syslog信息mail 邮件系统的syslog信息mark 定时发送消息的时标程序news 新闻系统的syslog信息user本地用户应用程序的syslog信息uucp uucp子系统的syslog信息local0..7 种本地类型的syslog信息,这些信息可以又用户来定义*:代表以上各种设备 Unix 系统日志 第二栏：行为级别 描述（危险程度递加）debug 程序的调试信息info 信息消息notice 要注意的消息warning 警告err 一般性错误crit 严重情况alert 应该立即被纠正的情况emerg紧急情况,系统已经不稳定none 指定的服务程序未给所选择的 Unix 系统日志 第三栏：记录动作 /path/file @hostname username[,user1,user2] * Syslog配置的一些例子 *.err;kern.*;authpriv.* /dev/console authpriv.* /var/log/secure *.emerg