Linux系统安全基础

LinuxLinux系统安全基础系统安全基础龚龚 关关 gong.guangd-gong.guangd-LinuxLinux系统安全基础系统安全基础n授课内容授课内容n概述n安全策略n安全设置nTCP_WRAPPERS nPAMn安全工具n授课目标授课目标n了解linux安全知识n熟悉linux的安全配置n了解linux安全工具概述概述n系统脆弱性与安全隐患系统脆弱性与安全隐患n特洛伊木马n口令破解n文件许可和路径设置nSUID程序和脚本n可信主机文件n缓冲区溢出n扫描与嗅探n电子欺诈nTCP/IP攻击n拒绝服务(DOS)攻击安全策略安全策略 n必须有一个安全策略，如何制定一个安全策略完全依必须有一个安全策略，如何制定一个安全策略完全依赖于你对于安全的定义赖于你对于安全的定义 n你如何定义保密的和敏感的信息？n系统中有保密的或敏感的信息吗？n你想重点防范哪些人？n远程用户有必要访问你的系统吗？n如果这些信息被泄露给竞争者和外界有什么后果？n口令和加密能够提供足够的保护吗？n你想访问Internet吗？n你允许系统在Internet上有多大的访问量？n如果发现系统被非法入侵了，下一步该怎么做？安全设置安全设置(一一)n尽量减少系统对外界暴露的信息尽量减少系统对外界暴露的信息nfinger、ping、屏蔽登陆提示信息等n理解日志信息，了解系统运行情况理解日志信息，了解系统运行情况nlogrotate、swatch、logcheckn限制限制SUIDSUID程序程序n普通用户可以以root身份运行的程序n如：passwd、chage安全设置安全设置(二二)n禁止从软盘启动，并且给BIOS加上密码n每次启动的时候都检查一下BIOS，这样可以提高系统的安全性。n禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计算机；n给BIOS加上密码，防止有人恶意改变BIOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机。n无法破解的口令是不存在的，只要给足时间和资源选择口令的建议：n不允许无口令帐号存在n口令至少包含6个字符，最好包含一个以上的数字或特殊字符n不要使用名字、生日、电话号码等个人信息n使用口令有效期和shadow文件n使用PAM（嵌入式认证模块）安全设置安全设置(三三)nLinuxLinux系统默认最小口令长度为系统默认最小口令长度为5 5，最好将默认最小口令长度改为，最好将默认最小口令长度改为8 8n修改/etc/login.defs 文件n PASS_MIN_LEN 5 n PASS_MAX_DAYS 30n PASS_MIN_DAYS 10n PASS_WARE_AGE 7n慎用慎用rootroot帐号帐号n/etc/securettyn取消登陆时系统显示信息取消登陆时系统显示信息n/etc/issuen/etc/n/etc/rc.d/rc.localn取消系统对取消系统对pingping的响应的响应安全设置安全设置(四四)n内核参数调节内核参数调节“/“/proc/sys”proc/sys”和和“etc/sysctl.conf”etc/sysctl.conf”n取消系统对ping响应nnet.ipv4.icmp_echo_ignore_all=1n取消系统对广播消息的应答nnet.ipv4.icmp_echo_ignore_ broadcast=1 n路由协议nnet.ipv4.conf.allaccept_source_route=0n启动TCP SYN Cookie Protectionnnet.ipv4.tcp_syncookies=1n取消ICMP重定向nnet.ipv4.conf.all.accept_redirects=0n启动不利错误消息的保护nnet.ipv4.icmp_ignore_bogus_error_responses=1n启动IP欺诈保护nnet.ipv4.conf.all.rp_filter=1nLog欺诈包，源路由包和重定nmartians=1安全设置安全设置(五五)n/etc/exportsetc/exports文件文件n在服务器上装NFS服务是会有安全隐患n如果通过NFS共享文件，需要配置n不要用通配符 n不允许对根目录有写权限 n尽可能只给只读权限n/dir/to/export (ro,root_squash)n/etc/securettyetc/securetty文件文件n/etc/securetty控制root用户登录位置n文件列表中的设备位置都是允许登录的n通过屏蔽/删除一些设备可以加强安全性n没有该文件表示允许root访问任何设备，这是很危险的n没有pts*形式记录项表示禁止root用户在网络上登陆安全设置安全设置(六六)n限制用户对系统资源使用，避免拒绝服务（限制用户对系统资源使用，避免拒绝服务（DOSDOS）攻击攻击1、/etc/security/limits.conf n*hard core 0n*hard rss 5000n*hard nproc 20、/etc/pam.d/login nsession required/lib/security/pam_limits.son/.bash_history/.bash_history，该文件可保存该文件可保存 1000 1000个用户曾经输个用户曾经输入过的命令入过的命令 n安全隐患：用户可能会在不该输入口令的地方输入了口令，而输入的口令会在“.bash_history”文件中保存下来 n修改“etc/profile”文件，减少保存命令数nHISTFILESIZE20nHISTSIZE20安全设置安全设置(七七)n修改reboot、shutdown、init命令的权限在默认情况下，以上命令任何用户都有执行的权限，即任何用户都可以在远程关机。nchmod 750/bin/rebootn修改/etc/inittab文件，禁止ctrl+del+alt三个按健。nca:ctrlaltdel:/sbin/shutdown-t3-r nown慎用telnet服务n/etc/xinetd.d/telnetn修改top命令的权限,此命令任何用户都可以使用,并且非常占用系统资源,若多个用户使用,后果可想而知.TCP_WRAPPERSTCP_WRAPPERSnTCP_WRAPPERS由两个文件控制n“/etc/hosts.allow”允许访问的机器/服务n“/etc/hosts.deny”禁止访问的机器/服务n基本语法：nDaemon_list:client_list:optionn访问控制检查步骤n如果在/etc/hosts.allow文件中有匹配的项（daemon,client）则允许访问 nftp:n否则，查看/etc/hosts.deny，如果找到匹配的项，则访问被禁止 nALL:ALLALL,PARANOIDn否则，访问默认被允许n配置检查：tcpdchkPAMPAMn使得使得LinuxLinux上各种应用程序的认证工作独立出来，易于上各种应用程序的认证工作独立出来，易于管理配置管理配置login su sudo/etc/pam.d/lib/securityPAMnPAM-awarePAM-aware应用程序首先调用应用程序首先调用libpam.solibpam.so来进行认证来进行认证nlibpam.solibpam.so通过检查应用程序各自的配置来调用其余通过检查应用程序各自的配置来调用其余需要的库需要的库/模块模块npampam配置文件配置文件“/“/etc/pam.d/”etc/pam.d/”条目字段条目字段 module-type control-flag module-path argumentsnmodule-typemodule-typenauth 用户身份认证信息，例如口令naccount 授权，用户帐户的信息管理，如口令时效nsession 用户环境信息修改 npassword 通常包含一个auth模块，负责更新身份认证信息，如口令ncontrol-flagcontrol-flagnrequired 该模块必须返回成功，且堆栈中所有其余模块仍将执行。nrequisite 失败将中止所有模块执行，立即返回结束。noptional 不是必须的，可忽略。nsufficient 如果该模块成功，堆栈中所有模块可忽略，并返回成功。LiloLilo安全安全 nLILOLILO是是LinuxLinux上一个多功能的引导程序。上一个多功能的引导程序。n通过通过“/“/etc/lilo.conf”etc/lilo.conf”可以配置或提高可以配置或提高LILOLILO程序以程序以及及LinuxLinux系统的安全性。系统的安全性。n三个重要的选项设置。三个重要的选项设置。n加入timeout=00 限制多重引导n加入restricted 对单用户模式登陆,LILO引导加上口令保护n加入password=单用单用户模式启动Linux系统时，系统要求用户输入口令n 修改文件权限修改文件权限 chmod 600/etc/lilo.confchmod 600/etc/lilo.confSUID/SGIDSUID/SGID程序程序n一个运行中的普通程序为运行该程序的用户所拥有，一个运行中的普通程序为运行该程序的用户所拥有，但运行的但运行的suid/guidsuid/guid程序为文件所有者拥有，运行中的程序为文件所有者拥有，运行中的程序在运行期间拥有文件所有者的全部权限。程序在运行期间拥有文件所有者的全部权限。n ls l ls l 中出现中出现s s的程序的程序 -r-s-x-x 1 root root 16336 04-03-12 passwn黑客常常利用黑客常常利用SUIDSUID程序，故意留下一个程序，故意留下一个SUIDSUID的程序作的程序作为下次进入系统的后门。查找为下次进入系统的后门。查找s s程序命令：程序命令：find/-type f(-perm-04000-o-perm-02000)-exec ls-lg;n一些建议禁止的一些建议禁止的SUIDSUID程序程序chage、wall、gpasswd、chfn、chsh、newgrp、writetraceroute、utemper、mount、umount、ping、netreportn禁止禁止SUIDSUID程序程序chmod a-s/usr/bin/chage特殊文件特殊文件n异常和隐含文件异常和隐含文件“”、“.”、“.G”n任何人都有写权限的文件和目录任何人都有写权限的文件和目录 find/-type f(-perm-2-o-perm-20)-exec ls-lg ;n无主文件无主文件 find/-nouser-o-nogroup n可信主机文件可信主机文件$HOME/.rhosts、$HOME/.netrc、/etc/hosts.equiv安全工具安全工具n系统监控程序：系统监控程序：SxidSxidn一次性口令工具：一次性口令工具：S/keyS/keyn日志管理工具：日志管理工具：logrotatelogrotate、swatchswatch、logchecklogcheckn系统完整性检查的工具：系统完整性检查的工具：tripwire tripwire n安全连接认证：安全连接认证：OpenSSHOpenSSHn数据加密传输认证：数据加密传输认证：OpenSSLOpenSSLn反扫描工具：反扫描工具：PortsentryPortsentryn基于主机的入侵检测：基于主机的入侵检测：hostsentryhostsentryn基于内核的入侵检测：基于内核的入侵检测：LIDSLIDSn基于内核的监听模块：基于内核的监听模块：krnsniffkrnsniffn包过滤防火墙：包过滤防火墙：ipchainsipchains、iptablesiptablesn基于内核的包过滤：基于内核的包过滤：netfilternetfilter