CISP-UNIX操作系统安全

1CISP－UNIX操作系统安全2目录™UNIX基本安全知识™UNIX常见应用服务及其安全™UNIX系统安全安装和设置™入侵防护与恢复3UNIX系统安全基本知识4UNIX综述5UNIX系统的安全特征按照可信计算机评价标准(TCSEC)达到C2级有控制的存取保护9访问控制9个人身份标识与认证9审计记录9操作的可靠性6UNIX系统的安全模型7Unix系统结构8文件系统基础9文件系统安全是UNIX系统安全的核心。9在UNIX中，所有的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络连接也是文件。9文件系统结构10文件系统结构11文件系统类型9正规文件：（ASCII文本文件，二进制数据文件，二进制可执行文件等）9目录9特殊文件9链接（硬链接、软链接）9Sockets（进程间通信时使用的特殊文件）12UNIX文件系统的权限Jack$ls–la.txt™-rwxr-xr-x3jackroot1024Sep1311:58a.txt™12345678910™1:目录或文件（文件类型），ƒ－普通文件,b块文件,c字符设备，d目录，l符号链接™234:用户rwx（所有者许可）™567:组rwx（组许可）™8910:其他rwx（其他人许可）™3:链接数™jack：用户™Root：组™1024：字节数™Sep1311:58：昀后修改时间™a.txt：名字13UNIX文件系统的权限™Chmod/chown/chgrp™Suid：set-user-id，4000,使程序以所有者身份运行，而忽略实际执行该程序的用户身份。™Sgid:2000,使程序以所有者的组身份运行，而忽略实际执行该程序的用户的组。14UNIX的密码系统™/etc/passwd;™/etc/shadow;™/etc/master.passwd™用户密码的强度问题™Shell的控制™密码过期的优缺点™PAM认证系统15UNIX的系统服务ƒ/etc/inetd.confƒ/etc/serviceƒ/etc/Rc*.d16UNIX常见应用服务及其安全防护17常见UNIX应用服务及其安全要点™DNS™FTP™TELNET™SSH™MAIL™Web™Samba18DNS™DNS（域名系统）适用于域名和IP地址之间的相互转换协议，BIND（BerkeleyInternetNameDomain）则是Internet上应用昀广泛的DNS服务器。19基本措施™安装或者升级到昀新的bind™划分DNS™禁止或限制DNSzone传输™关闭递归查询™设计备用DNS™限制动态更新™Chroot的DNS环境20FTP™FTP（文件传输协议）适用于主机之间传输文件的协议，而Wuftp是Unix和Linux中应用昀广泛的FTP后台程序;™了解那些FTP有安全问题proftppre3remoteshell™Proftppre10DoS™Wuftp2.4.18™Wuftp2.5™Wuftp2.6™Sunftpcore™Old:cd~root21FTP安全要点™使用昀新版本://™用ftpuser限制ftp用户ftpaccess控制用户行为，流量等，不允许root、bin和httpd用户进入FTP服务器。™ftp的chroot使用ssh或sftp代替ftp™改变服务器标识™如果允许匿名上传，则上传得文件必须是隐藏的，同时应该禁止下载上传得文件，否则，FTP服务器很有可能被入侵者利用。22TELNET™telnet：用来登陆远程机器的明文协议；不安全的telnettelnet历史上的安全问题使用ssh代替telnet™SSH：用于数据交换的安全协议，由于其通信是保密的，因此成为telnet、rlogin、FTP的替代品。ƒSsh的安全问题ƒSsh的其他作用23SSH™SSH：用于数据交换的安全协议，由于其通信是保密的，因此成为telnet、rlogin、FTP的替代品。ƒ确保禁用版本号为1的SSH协议，sshd_config文件必须含有以下命令行：Protocol2ƒ不允许根用户通过SSH登陆服务器，确保sshd_config文件必须含有以下命令行：PermitRootLoginnoƒSSH私钥文件只允许根用户读取。24MAIL™Sendmail是Internet上昀流行的MTA（邮件传输代理）ƒ通过修改sendmail.cf文件改变SMTP的欢迎信息；ƒ通过修改sendmail.cf文件编辑expn和vrfy命令，将其关闭；ƒ检查/etc/mail/access内容，该文件包含可以通过sendmail进行中继的主机名，切勿添加不信任的主机名；ƒ关闭relay的功能；ƒ其他:邮件大小控制,黑名单…ƒ由于sendmail易受远程攻击，可以考虑使用qmail作为替代，可以从上获取。25Web™Apache：是现在应用昀广泛的Web服务器。ƒ改变HTTP标语；ƒ关闭自动索引功能；ƒ将Apache配置为不提供敏感信息文件，如：*.inc、*.jsp、*.java、*.php文件；ƒ删除默认的手动文件；ƒ删除默认和示范的CGI脚本及应用；ƒ确保Apache在非根权限下运行：在httpd.conf文件里察看用户（User）和组（Group）的设置，确保设为非根账户，如httpd或apache。ƒ使用相关log文件，并确保已经在httpd.conf文件里设置妥当；ƒ禁用非必需的模块，在httpd.conf文件里注释掉相应的AddModule和LoadModule指令。26Samba™Samba:使用SMB（ServerMessageBlock）协议通过网络共享文件及打印机:ƒ修改服务器字符串：编辑smb.conf将serverstring=sambaserver修改为：serverstring=noinformationƒ编辑smb.conf设置hostsallow选项来限制可以连接到服务器的主机数；ƒ使用密码加密。在smb.conf文件中将encyptpasswords设置为yes。27UNIX系统安全安装和设置28系统安全配置工作™安全的安装和规划unix系统™本地策略™系统服务的清理™系统服务的升级和配置™昀新安全补丁的获得和使用29UNIX安全配置stepbystep™简单的说：就是如何在不使用任何第三方工具的情况下，如何从头开始配置一台相对安全的unix系统。30系统安全配置工作™分区，分区的好处™1.部分防止DOS攻击™2.部分防止suid程序的滥用™3.快速的启动时间™4.容易备份和升级™5.更好的控制mount文件系统™6.限制每一种文件系统的特性31系统安全配置工作™以一个30G的SCSI硬盘为例分区,用的系统是redhatLinux™/boot500M™/usr/5G™/home5G10X50(50用户)™/chroot5G如果想运行chroot的环境,如DNS/http™/cache3G如果想装squid之类的proxy™/var2G如果log量巨大,可以分得更大一些™swap1024Mswap分区一般和内存一样大或2倍™/tmp1G™/1G根分区™可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区)32Solaris基本安全配置stepbystep™系统启动与系统分区™系统安装与基本网络配置™系统启动服务清理™文件系统配置™日志系统配置™帐户安全策略™其他配置与清理33系统启动与系统分区™以昀新的cdrom发布启动系统™选择安装网络服务器™选择“none”fornameserver™选择standalone安装方式™选择coresystemsupport™增加一个“terminalinformation”34系统启动与系统分区™注意:安装方式选择™从严格的安全考虑，使用coresystem，但是一般情况下，使用enduser的方式比较合适。35基本网络设置与系统安装™设置一个尽可能复杂的root口令™设置默认路由/etc/defaultrouter™设置dns/etc/resolv.conf™设置/etc/nsswitch.confƒHost:filesdns36系统启动服务清理™清理/etc/rc2.dƒ值得注意的•nfs.*•S71RPC™清理/etc/rc3.dƒSNMP使用的选择ƒSNMP配置™清理/etc/init.d/inetsvcƒ禁止in.namedƒinetd–s–t启动ƒ禁止multicast37系统启动服务清理™清理/etc/inetd.conf服务ƒ所有的TCP/UDP小服务ƒ所有的调试服务ƒ所以的R服务ƒ几乎所有的RPC服务ƒ使用必要的工具替换telnet,ftpƒ必要的时候可以完全禁止inetd或用xinetd替换38启动网络参数设定™设置/etc/init.d/inetinit™ndd-set/dev/tcptcp_conn_req_max_q010240™ndd-set/dev/ipip_ignore_redirect1™ndd-set/dev/ipip_send_redirects0™ndd-set/dev/ipip_ire_flush_interval60000™ndd-set/dev/arparp_cleanup_interval60™ndd-set/dev/ipip_forward_directed_broadcasts0™ndd-set/dev/ipip_forward_src_routed0™ndd-set/dev/ipip_forwarding0(或/etc/notrouter)™ndd-set/dev/ipip_strict_dst_multihoming139TCP™Synfloodƒndd–set/dev/tcptcp_conn_req_max_q04096™连接耗尽攻击ƒndd–set/dev/tcptcp_conn_req_max_q102440文件系统配置™寻找无用的suid程序ƒfind/-typef\(-perm-4000\)|xargsls–a™调整文件系统的权限ƒ/usrƒ/sbinƒ/var/logƒ/etcƒ…41日志系统配置™/etc/syslog.confƒ增加的日志记录•auth.info/var/log/authlogƒ输出到loghostƒ输出到打印机™增加对su和crontab的日志记录ƒ/etc/default/cronƒ/etc/default/su42日志系统配置™syslog.conf的格式如下,ƒ设备.行为级别[；设备.行为级别]记录行为ƒ注意各栏之间用[Tab]来分隔，用空格是无效的。43日志系统配置-设备™auth认证系统，即询问用户名和口令™cron系统定时系统执行定时任务时发出的信息™daemon某些系统的守护程序的syslog,如由in.ftpd产生的log™kern内核的syslog信息™lpr打印机的syslog信息™mail邮件系统的syslog信息™mark定时发送消息的时标程序™news新闻系统的syslog信息™user本地用户应用程序的syslog信息™uucpuucp子系统的syslog信息™local0..7种本地类型的syslog信息,这些信息可以又用户来定义™*:代表以上各种设备44日志系统配置-行为级别™第二栏：行为级别描述（危险程度递加）™debug程序的调试信息™info信息消息™notice要注意的消息™warning警告™err一般性错误™crit严重情况™alert应该立即被纠正的情况™emerg紧急情况™none指定的服务程序未给所选择的45日志系统配置-特殊™配置loghost™日志输出到打印机ƒ把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中加入配置语句.ƒAuth.notice/dev/ttya™防火墙配置