UNIX操作系统安全原理讲解.ppt

检查启动和配置脚本 检查/etc目录文件内容及日期 与同样版本的可信系统作对比 Find命令 find / -type d -name “.*” find / -type d –name “ *” find / -perm -004000 检查入侵者留下的文件或目录 检查核心级后门 Linux系统的检查 FreeBSD系统的检查 Solaris系统的检查 检查是否已经成了入侵内网的跳板 检查是否已经成为跳板比较困难,运气好的话 可以在.bash_profile或者acct文件里面看到一 些日志记录. 检查入侵者遗留下来的程序或者文件是否有 提供包转发功能. 2.检查入侵者遗留下来的程序或者文件是否有 指定内网IP. 3.检查内网机器,看是否有何异常. UNIX/LINUX 下第三方安全工具 SSH TCP_WRAPPER TRIPWIRE NON-EXEC STACK UNIX/LINUX 系统入侵分析 特征 处理方法 UNIX/LINUX 系统配置经验 分区划分 机器的启动密码 用户管理 系统文件安全 网络服务响应 UNIX/LINUX 系统概述 系统体系结构 系统服务与进程 系统启动过程 系统的安全级别 UNIX/LINUX 系统安全特性 物理安全 常用命令介绍 用户环境变量介绍 文件系统安全 账号安全 日志记录 安全配置 APACHE 服务器配置要点 FTP 服务器配置要点 DNS 服务器配置要点 提 纲 原 理 篇 实 践 篇 关于分区 安装系统时就应该注意，如果用root分区纪录数据，如log文件和email，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区溢满。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，如为email开设/mail分区, 还有建议为/home单独分一个区，从而就避免了部分针对Linux分区溢满的恶意攻击。 　　 关于BIOS 记着要在BIOS设置中设定一个BIOS密码，不接受软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统，并避免别人更改BIOS设置，如更改软盘启动设置或不弹出密码框直接启动服务器等等。 关于口令 口令严整是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度，至少等于8。为此，需修改文件/etc/login.defs中参数PASS_MIN_LEN（口令最小长度）。同时应限制口令使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS（口令使用时间）。 关于Ping 没有人能ping通你的机器，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行，这样就可以阻止你的系统响应任何从外部/内部来的ping请求。 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 关于Telnet 　　 如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息（可以避免有针对性的漏洞攻击），你应该改写/etc/inetd.conf中的一行象下面这样： telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h  加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login。 关于特权帐号 禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。 删除你系统上的用户，用下面的命令：userdel username 　 删除你系统上的组用户帐号，用下面的命令：groupdel username 或者把passwd和shadow文件里的相关记录用’#’注释掉。 关于su 如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件，加下面几行：  auth sufficient /lib/security/pam_rootok.so debug  auth required /lib/security/pam_wheel.s o group=isd 这意味着仅仅isd组的用户