《Linux操作系统实用教程》教学课件第十章.ppt

Linux操作系统实用教程 第10章Linux系统安全 10.1 常见的攻击类型 10.2 Linux日志管理 10.3 Linux用户安全 10.4 访问控制与身份认证 10.5 Linux网络服务安全 第10章Linux系统安全 本章概述 Linux操作系统以安全性和稳定性著称，许多大型门户网站都以Linux作为服务器操作系统。然而随着黑客攻击技术的发展，系统安全防范工作仍然需要系统管理员的高度重视。在本章，首先介绍了几种常见的攻击类型以及Linux系统中帮助管理员发现攻击的重要工具——系统日志的管理，然后阐述了Linux系统的账号安全、网络安全等，并讲述如何使用snort进行入侵检测。 10.1 常见的攻击类型  常见的攻击方式包括端口扫描、嗅探、种植木马、传播病毒等。 1. 端口扫描 在网络技术中，端口（Port）通常有两种含义，一是物理意义上的端口，即调制解调器、网络集线器、交换机、路由器中用于连接其他网络设备的接口，如RJ-45端口、SC端口等；二是逻辑意义上的端口，即指TCP/IP协议中的端口，用于承载特定的网络服务，其编号的范围为0～65535，例如，用于承载Web服务的是80端口，用于承载FTP服务的是21端口和20端口等。在网络技术中，每个端口承载的网络服务是特定的，因此可以根据端口的开放情况来判断当前系统中开启的服务。 10.1 常见的攻击类型  扫描器就是通过依次试探远程主机TCP端口，获取目标主机的响应，并记录目标主机的响应。根据这些响应的信息可以搜集到很多关于目标主机的有用信息，包括该主机是否支持匿名登录以及提供某种服务的软件包的版本等。这些信息可以直接或间接地帮助攻击者了解目标主机可能存在的安全问题。 端口扫描器并不是一个直接攻击网络漏洞的程序，但是它能够帮助攻击者发现目标主机的某些内在安全问题。目前常用的端口扫描技术有TCP connect扫描、TCP SYN扫描、TCP FIN扫描、IP段扫描、TCP反向ident扫描以及TCP返回攻击等。通常扫描器应该具备如下的3项功能： 发现一个主机或网络的能力。 发现远程主机后，有获取该主机正在运行的服务的能力。 通过测试远程主机上正在运行的服务，发现漏洞的能力。 10.1 常见的攻击类型  2. 嗅探 嗅探技术是一种重要的网络安全攻防技术，攻击者可以通过嗅探技术以非常隐蔽的方式攫取网络中的大量敏感信息，与主动扫描相比，嗅探更加难以被发觉，也更加容易操作和实现。对于网络管理员来说，借助嗅探技术可以对网络活动进行实时监控，发现网络中的各种攻击行为。 嗅探操作的成功实施是因为以太网的共享式特性决定的。由于以太网是基于广播方式传输数据的，所有的物理信号都会被传送到每一个网络主机结点，而且以太网中的主机网卡允许设置成混杂接收模式，在这种模式下，无论监听到的数据帧的目的地址如何，网卡都可以予以接收。更重要的是，在TCP/IP协议栈中网络信息的传递大多是以明文传输的，这些信息中往往包含了大量的敏感信息，比如邮箱、FTP或telnet的账号和口令等，因此使用嗅探的方法可以获取这些敏感信息。 10.1 常见的攻击类型  嗅探器最初是作为网络管理员检测网络通信的工具出现的，它既可以是软件的，也可以是硬件设备。软件嗅探器使用方便，可以针对不同的操作系统使用不同的软件嗅探器，而且很多软件嗅探器都是免费的。常用的嗅探器有Tcpdump/Windump、Sniffit、Ettercap和Snarp等。 处于网络中的主机，如果发现网络出现了数据包丢失率很高或网络带宽长期被网络中的某台主机占用，就应该怀疑网络中是否存在嗅探器。 3. 木马 木马又称特洛伊木马，是一种恶意计算机程序，长期驻留在目标计算机中，可以随系统启动并且秘密开放一个甚至多个数据传输通道的远程控制程序。木马程序一般由客户端(Client)和服务器端(Server)两部分组成，客户端也称为控制端，一般位于入侵者计算机中，服务器端则一般位于用户计算机中。木马本身不带伤害性，也没有感染能力，所以木马不是病毒。 10.1 常见的攻击类型  木马通常具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端计算机即使发现感染了木马，也不能确定其具体位置。所谓非授权性是指一旦客户端与服务端连接后，客户端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是服务端赋予的，而是通过木马程序窃取的。 入侵者一般使用木马来监视监视被入侵者或盗取被入侵者的密码、敏感数据等。 4. 病毒 虽然Linux系统的病毒并不像Windows系统那样数量繁多，但是威胁Linux平台的病毒同样存在，如Klez、Lion.wor