UNIX,Linux系统安全技术分析.ppt

18.4.6 用SSH增强网络服务安全 　　在UNIX/Linux系统中，一些网络服务在设计时就缺乏安全考虑，存在安全缺陷，易使系统受到侵害。例如，远程用户Telnet登录传送的帐号和密码都是明文，使用普通的sniffer软件就可以截获这些明文信息。而且，系统认证强度小，容易受到重放和完整性攻击。与Telnet相同，ftp有相同的安全问题。目前，针对Telnet、ftp的安全，一般采用SSH (Secure Shell)来增强，SSH提供认证、加密等安全服务，可以在两台或多台主机之间构造一条加密通道，保证通信安全。 18.4.7 利用tcp_wrapper增强访问控制 　　tcp_wrapper是Wietse Venema开发的一个可用于各种UNIX平台的免费软件。tcp_wrapper正逐渐成为一种标准的UNIX安全工具，成为UNIX守护程序inetd的一个插件。通过tcp_wrapper，管理员可以设置对inetd提供的各种服务进行监控和过滤。 18.4.8 构筑UNIX/Linux主机防火墙 　　目前，支持UNIX/Linux系统的防火墙软件包有ipchains、iptables以及netfilter。利用这些防火墙软件包，UNIX/Linux系统可以过滤掉不需要的通信，而且可以从网络上限制远程访问主机，从而减少系统受到的侵害。 18.4.9 使用Tripwire或md5sum完整性检测工具 　　当建立新的UNIX/Linux系统后，应记录所有系统文件的硬件和软件信息，并形成一个系统文件基准信息库，以便日后检查系统文件的完整性变化，避免恶意程序的植入和修改。利用Tripwire或md5sum软件安全工具可以发现篡改的文件。 　　* Tripwire是最为常用的开放源码的完整性检查工具，它能生成目标文件的完整性标签，并能周期性地检查文件是否被更改。 　　* md5sum是文件完整性检查的有利工具，利用它可以方便地创建长度为128位的文件指纹信息，也可以检查文件是否被修改过。 　 18.4.10 检测LKM后门 　　UNIX/Linux系统一般都支持LKM(Loadable Kernel Module)功能，但是留下了一个安全隐患，就是入侵者可编写可加载内核模块，例如rootkit，从而造成很大的系统危害性。针对LKM后门危害，除了利用完整性检查工具外，还可利用专用安全检查工具，例如kstat、chkrootkit、rootkit hunter。 18.4.11 系统安全监测 　　UNIX/Linux系统的安全是动态的，对运行的系统进行实时监控有利于及时发现安全问题，做出安全应急响应。针对UNIX/Linux系统的安全监测，常用的安全工具有netstat、lsof、snort等。 18.5 Linux安全增强实例 　　1．禁止访问重要文件 　　对于系统中的某些关键性文件，如inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通用户查看。 　　首先改变文件属性为600： #chmod 600 /etc/inetd.conf 保证文件的属主为root，然后还可以将其设置为不能改变： #chattr +i /etc/inetd.conf 这样，对该文件的任何改变都将被禁止。 只有root重新设置复位标志后才能进行修改： #chattr -i /etc/inetd.conf 　　2．禁止不必要的SUID程序 　　SUID可以使普通用户以root权限执行某个程序，因此应严格控制系统中的此类程序。找出root所属的带s位的程序： 　　#find /-type f \ (-perm -04000 -o -perm -02000 \) -print|less 　　禁止其中不必要的程序： 　　#chmod a-s program_name 　　3．为LILO增加开机口令 　　在/etc/lilo.conf文件中增加选项，从而使LILO启动时要求输入口令，以加强系统的安全性。具体设置如下： boot=/dev/had map=/boot/map install=/boot/boot.b time-out=60 #等待一分钟 promp default=linux password=password #口令设置 image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 　　此时需注意，由于在LILO中口令是以明码方式存放的，因此还需要将lilo.conf的文件属性设置为只有root可以读写： 　　# chmod 600 /etc/li