信息安全专题培训(Unix系统安全)课件.ppt-得力文库

资源描述

《信息安全专题培训(Unix系统安全)课件.ppt》由会员分享，可在线阅读，更多相关《信息安全专题培训(Unix系统安全)课件.ppt（54页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

2、/Linux内核组成部分内核组成部分本资料由-大学生创业|创业|创业网http:/ 减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|http:/Linux进程调度进程调度Task_runningdo_fork()收到SIG_KILL或SIG_CONT后Task_uninterruptible申请资源未果Task_interruptible所申请资源有效或者收到信号时Holding CPU申请资源未果所申请资源有效时Task_stopped跟踪系统调用Task_zombiedo_exit()时间片到Schedule()Linux的系统调用的系统调用编程接口，与编程接口，与POSI

3、X兼容，兼容，C语言函数集合语言函数集合实现形式与实现形式与DOS的的INT 21H相似相似Linux使用使用int 80h函数名函数名“sys_xxx”比如系统调用比如系统调用fork的相应函数的相应函数sys_fork()系统调用号和系统调用表系统调用号和系统调用表系统调用都转换为系统调用都转换为Int 80h软中断软中断所有的系统调用只有一个入口所有的系统调用只有一个入口system_call出口：出口：ret_from_sys_callLinux内存管理内存管理在在i386机器上，每个进程有独立的机器上，每个进程有独立的4G虚存空间虚存空间内核的代码段和数据段被映射到内核的代码段和数据

4、段被映射到3G以上的空间中以上的空间中用户态下的代码实际可申请的虚存空间为用户态下的代码实际可申请的虚存空间为0-3GB每每个个进进程程用用两两套套段段描描述述符符来来访访问问内内存存，分分别别用用来来访访问问内内核核态态和和用用户户态态下下的的内内存存空间空间在在用用户户态态下下，代代码码不不可可能能访访问问3G以以上上的的地地址址空空间间，如如果果要要访访问问内内核核空空间间，必必须通过系统调用或者中断须通过系统调用或者中断Linux的模块机制的模块机制可动态装载的内核模块可动态装载的内核模块(lkm)一组命令：一组命令：insmod、rmmod、lsmod、modprobe关于模块机制关

5、于模块机制可以让核心保持比较小的尺寸可以让核心保持比较小的尺寸动态装载，避免重新启动动态装载，避免重新启动模块机制常常用于设备驱动模块机制常常用于设备驱动内核模块一旦加载之后，与原有的核心代码同等内核模块一旦加载之后，与原有的核心代码同等insmod装载模块装载模块Mod1-0 x1000Mod2-0 x2000 模块列表Mod1-0 x1000Mod2-0 x2000Mod2-0 x2000 模块列表找到核心输出符号虚拟内存修改其未解析的核心例程和资源的引用地址 010010001.物理内存空间申请足够的空间来容纳新的核心模块每个模块必须包括初始化例程和注销例程系统核心系统核心将模块的初始化

6、与注销例程地址传递给核心Linux内核中的内核中的Rootkit通过通过LKM，可以在系统内核中插入木马模块，可以在系统内核中插入木马模块一个典型的以一个典型的以Linux 2.2.x为基础的为基础的rootkit knark使用使用insmod knark.o就可以加载到内核中就可以加载到内核中还有其他的还有其他的ROOTKITS，比如，比如adore内核内核ROOTKITS的对策的对策根据每个根据每个rootkit的特征进行检测，然后设法删除的特征进行检测，然后设法删除预防为主，安装内核检测系统，比如预防为主，安装内核检测系统，比如LIDSLinux安全问题安全问题缓冲区溢出缓冲区溢出-与

7、各机构公布的风险列表密切相关与各机构公布的风险列表密切相关内核的安全性内核的安全性附加软件的安全性附加软件的安全性Bind系统系统Mail系统系统FTP服务和服务和WWW服务服务X-Window系统系统NFS和和NIS系统系统账号管理账号管理帐户管理帐户管理用户类型用户类型Root（uid=0，仅次于，仅次于RING0）普通用户普通用户(未设置密码和宿主目录者除外未设置密码和宿主目录者除外)系统用户（用于标识进程身份和权限）系统用户（用于标识进程身份和权限）攻击者的目标：夺取攻击者的目标：夺取uid 或或 euid=0 Unix口令文件存储路径口令文件存储路径Linux /etc/shadow

8、(/etc/passwd)SystemV Release 4.2/etc/security SystemV Release 4.0/etc/shadow SunOS 5.0/etc/shadow SCOUnix/tcb/auth/files/OSF/1/etc/passwd HP-UX/.secure/etc/passwd BSD4.x/etc/master.passwd AIX3/etc/security/passwd IRIX5/etc/shadow 为什么要用为什么要用shadow文件文件UNIX最最早早用用/etc/passwd存存储储密密码码散散列列，普普通通用用户户可可读读，可可以

9、以使使用用John、Crack之类的工具暴力破解，无安全性可言之类的工具暴力破解，无安全性可言Shadow单独存储密码单独存储密码hash，passwd文件只被用于进程读取当前的属主权限文件只被用于进程读取当前的属主权限帐号密码文件帐号密码文件xylon:x:501:501:Jacky:/home/zhuxg:/bin/bash用户名用户名密码密码位置位置UIDGID用户用户全名全名用户主目用户主目录录用户用户shell/etc/passwd和/etc/shadow(master.passwd)文件解读解读/etc/shadow文件文件root:$1$fgvCnqo0$C6xldBN0rs.w

10、1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272用户名加密口令上一次修改的时间（从1970年1月1日起的天数）口令在两次修改间的最小天数离用户必须修改口令还剩下的天数离系统提醒用户必须修改口令还剩下的天数用户仍可修改口令还剩余的天数，否则到期之后该账号将被禁止从1970年1月1日起账号被禁用的天数保留字段口令的加密算法口令的加密算法UNIX采用采用3种加密算法种加密算法头两字节为头两字节为$1表示表示MD5加密算法加密算法$2表示使用表示使用Blowfish加密算法加密算法其余为标准的其余为标准的DES加密算法加密算法添加帐户添加帐户添加用户添加

11、用户useradd/adduserrootwww/root#useradd-helpuseradd:invalid option-usage:useradd -u uid-o-g group-G group,.-d home-s shell-c comment-m-k template -f inactive-e expire -p passwd-n-r name useradd -D-g group-b base-s shell -f inactive-e expire rootwww/root#useradd u 1000 d/home/test s/bin/sh test删除帐户删除帐户

12、userdel/deluserUserdel -r namerootwww/root#userdel r testrootwww/root#ls l/home管理帐号管理帐号查看当前用户名查看当前用户名rootwww/root#whoami更改用户属性更改用户属性 usermodrootwww/root#usermod-helpusage:usermod -u uid-o-g group-G group,.-d home-m-s shell-c comment-l new_name -f inactive-e expire -p passwd-L|-U name文件管理文件管理Linux/Un

13、ix文件系统类型文件系统类型Ext2/ext3、UFS、JFSVFS抽抽象象层层文文件件系系统统，挂挂载载具具体体的的文文件件系系统统，lkm rootkit过过滤滤VFS相相关关的的系系统统调用调用文件类型文件类型常规文件：常规文件：ASCII文本，二进制数据，可执行文本，二进制数据，可执行binaryUNIX上的上的ABI：a.out,ELF文件格式文件格式目录：目录：包含一组文件的二进制可执行文件包含一组文件的二进制可执行文件特殊文件：特殊文件：/dev,/proc链接文件链接文件Sockets:进程间通讯使用的特殊文件进程间通讯使用的特殊文件文件类型文件类型由文件长模式显示的第一个字符

14、决定由文件长模式显示的第一个字符决定“-”：普通文件：普通文件“d”：目录：目录“l”：符号链接：符号链接“s”：套接字：套接字显示文件属性：显示文件属性：lsattrLinux文件权限文件权限-r w-r-r-文件类型(文件、目录、特殊文件)拥有者访问权分组访问权其它用户访问权ls l 文件名文件名Mask和和umask值值Mask和和umask相对应相对应对于文件对于文件 umask值值|文件权限文件权限=666对于目录对于目录 umask值值|目录权限目录权限=777Daemon守护进程通常需要对守护进程通常需要对”/”的完全访问权限的完全访问权限文件管理文件管理添加添加/删除删除/移动

15、文件和目录移动文件和目录touch、echo、vi、rm、mv更改文件权限更改文件权限chmod、chattr更改文件属主更改文件属主chown、chgrp设置设置SUID/SGID和和Sticky-bit设置设置SUID/SGID程序程序利用利用chmod 典型文件如典型文件如/bin/passwdSGID通常设置在某个目录上通常设置在某个目录上Chmod 1755 和和dos的的TSR程序一样常驻内存程序一样常驻内存设置粘置位设置粘置位典型目录如典型目录如/tmp粘置位可防止误删、误修改或破坏用户文件粘置位可防止误删、误修改或破坏用户文件进程的权限进程的权限如如果果mysqld文文件件的的

16、属属主主是是root，那那么么mysql服服务务被被远远程程溢溢出出后后攻攻击击者者将将得得到到root shell，假设，假设apache存在远程溢出，攻击者只能得到存在远程溢出，攻击者只能得到nobody shellRedhat9.0以以前前版版本本的的ping程程序序有有suid位位，假假设设该该命命令令的的可可执执行行文文件件存存在在缓缓冲冲区溢出，那么本地攻击者可以获得区溢出，那么本地攻击者可以获得root shell进程运行时的权限变化进程运行时的权限变化Suid文文件件改改变变了了文文件件运运行行时时的的进进程程属属主主，通通常常是是更更高高的的root权权限限，进进程程结结束束

17、时时返返回回原原来来相相对对较较低低的的权权限限，这这样样普普通通用用户户可可以以享享受受到到便便利利又又不不至至于于权权限限越越界界。这这里里引引入入了了另另一一个个值值euid,有有效效用用户户ID，表表征征进进程程运运行行时时的的实实际际权权限限，如如果果euid=0那那么么你你就就拥拥有有root权权限限，实实际际上上你你使使用用/bin/passwd更更改改自自己己密密码码的的瞬瞬间拥有间拥有root权限，但你却不能用它来做其它事权限，但你却不能用它来做其它事该特性被黑客利用该特性被黑客利用Unix系统安全配置与优化系统安全配置与优化安装系统补丁安装系统补丁SolarisShowre

18、v p 显示系统补丁显示系统补丁Patchadd 安装系统补丁安装系统补丁LinuxRHN updateRpm-UvhSrc recompileSolaris基本安全配置基本安全配置设置一个尽可能复杂的设置一个尽可能复杂的root口令口令设置默认路由设置默认路由/etc/defaultrouter设置设置dns/etc/resolv.conf设置设置/etc/nsswitch.conf Host:files dns会话劫持的可能性（会话劫持的可能性（session hijack）系统启动服务清理系统启动服务清理清理清理/etc/rc2.d值得注意的值得注意的nfs.*S71RPC清理清理/et

19、c/rc3.dSNMP使用的选择使用的选择SNMP配置配置清理清理/etc/init.d/inetsvc禁止禁止in.namedInetd s t启动启动(记录会话连接的记录会话连接的IP、端口、端口)禁止禁止multicast系统启动服务清理系统启动服务清理清理清理/etc/inetd.conf 服务服务所有的所有的TCP/UDP服务服务所有的调试服务所有的调试服务所以的所以的R服务服务几乎所有的几乎所有的RPC服务服务使用必要的工具替换使用必要的工具替换telnet,ftp必要的时候可以完全禁止必要的时候可以完全禁止inetd或用或用xinetd替换替换ndd 使用使用帮助帮助ndd /d

20、ev/arp?(icmp,tcp,udp,ip)查询查询ndd /dev/arp arp_cleanup_interval 设置设置ndd -set/dev/arp arp_cleanup_interval 60000启动网络参数设定启动网络参数设定设置设置/etc/init.d/inetinit ndd-set/dev/tcp tcp_conn_req_max_q0 10240ndd-set/dev/ip ip_ignore_redirect 1ndd-set/dev/ip ip_send_redirects 0ndd-set/dev/ip ip_ire_flush_interval 600

21、00ndd-set/dev/arp arp_cleanup_interval 60ndd-set/dev/ip ip_forward_directed_broadcasts 0ndd-set/dev/ip ip_forward_src_routed 0ndd-set/dev/ip ip_forwarding 0(或或/etc/notrouter)ndd-set/dev/ip ip_strict_dst_multihoming 1ARP攻击防止攻击防止减少过期时间减少过期时间#ndd set/dev/arp arp_cleanup_interval 60000#ndd -set/dev/ip i

22、p_ire_flush_interval 60000静态静态ARParp f filename禁止禁止ARPifconfig interface arp IP优化优化关闭关闭ip转发转发ndd set/dev/ip ip_forwarding 0 转发包广播转发包广播由于在转发状态下默认是允许的，为了防止被用来实施由于在转发状态下默认是允许的，为了防止被用来实施 smurf攻击，关闭这一特性。攻击，关闭这一特性。(参见参见cert-98.01)#ndd set/dev/ip ip-forward_directed_broadcasts 0源路由转发，所以我们必须手动关闭它源路由转发，所以我们必

23、须手动关闭它ndd set/dev/ip ip_forward_src_routed 0ICMP优化优化关闭对关闭对echo广播的响应广播的响应ndd set/dev/ip ip_respond_to_echo_boadcast 0响应时间戳广播响应时间戳广播#ndd set/dev/ip ip_respond_to_timestamp_broadcast 0 地址掩码广播地址掩码广播#ndd set/dev/ip ip_respind_to_address_mask_broadcast 0ICMP优化优化接受重定向错误接受重定向错误#ndd set/dev/ip ip_ignore_red

24、irect 1 响应时间戳广播响应时间戳广播发送重定向错误报文发送重定向错误报文ndd set/dev/ip ip_send_redirects 0 时间戳响应时间戳响应#ndd set/dev/ip ip_respond_to_timestamp 0注意：注意：Rdata（同步时钟）可能无法正常（同步时钟）可能无法正常TCP优化优化Synfloodndd set/dev/tcp tcp_conn_req_max_q0 4096默认值是默认值是1024连接耗尽攻击连接耗尽攻击ndd set/dev/tcp tcp_conn_req_max_q 1024默认值是默认值是128增加私有端口增加私有

25、端口ndd/dev/tcp tcp_extra_priv_ports 2049 4045要要注注意意的的是是，不不要要随随便便定定义义私私有有端端口口，因因为为有有些些非非根根权权限限的的进进程程会会使使用用这这些些端端口口。特特别别是是改改变最小非私有端口这个参数，经常会引起问题变最小非私有端口这个参数，经常会引起问题文件系统配置文件系统配置删除删除NFS的相关配置的相关配置/etc/auto_*/etc/dfs/dfstabMount文件系统的设置文件系统的设置/etc/vfstab/usr mount ro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usr u

26、fs 1 no roOther mount nosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/var ufs 1 no nosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/local ufs 2 yes nosuid可能的话可能的话 mount/nosuid文件系统配置文件系统配置寻找系统所有的寻找系统所有的suid程序程序Find /-type f (-perm -4000)|xargs ls a调整文件系统的权限调整文件系统的权限/usr/sbin/var/log/etc日志系统配置日志系统配置/etc/syslog.con

27、f增加的日志记录增加的日志记录auth.info/var/log/authlog输出到输出到loghost输出到打印机输出到打印机增加对增加对su和和crontab的日志记录的日志记录/etc/default/cron/etc/default/su日志系统配置日志系统配置syslog.conf的格式如下的格式如下设备设备.行为级别行为级别；设备；设备.行为级别行为级别记录行为记录行为注意各栏之间用注意各栏之间用Tab来分隔，用空格是无效的。来分隔，用空格是无效的。如如*.err;daemon.notice;mail.crit /var/adm/messages日志系统配置日志系统配置-设备设

28、备auth 认证系统认证系统,由由login、su和和getty产生产生cron 系统定时系统执行定时任务时发出的信息系统定时系统执行定时任务时发出的信息daemon 守护程序的守护程序的syslog,如由如由in.ftpd产生的产生的logkern 内核的内核的syslog信息信息lpr 打印机的打印机的syslog信息信息mail 由由syslog自己产生，为日志盖上时间戳自己产生，为日志盖上时间戳mark 定时发送消息的时标程序定时发送消息的时标程序news 新闻系统的新闻系统的syslog信息信息*:代表以上各种设备代表以上各种设备日志系统配置日志系统配置-行为级别行为级别行为级别描述

29、（危险程度递增）行为级别描述（危险程度递增）debug 程序的调试信息程序的调试信息info 报告性消息报告性消息notice 需要以后注意的通知需要以后注意的通知warning 警告信息警告信息err 其它系统错误其它系统错误crit 危险的系统状态，如硬件或软件无效危险的系统状态，如硬件或软件无效alert 应该立即被纠正的情况应该立即被纠正的情况emerg 最严重的消息，如立即关闭系统最严重的消息，如立即关闭系统none 指定的服务程序未给所选择的指定的服务程序未给所选择的日志系统配置日志系统配置-特殊特殊配置配置loghostloghost日志输出到打印机日志输出到打印机把打印机连接到

30、终端端口把打印机连接到终端端口/dev/ttya上，在上，在/etc/syslog.conf中加入配置语句中加入配置语句auth.notice/dev/ttya帐户清理与设置帐户清理与设置userdel/passmgmt (uucp,listen,lp,smtp,adm)/etc/default/login的设置的设置禁止非禁止非console root登陆登陆登陆超时登陆超时登陆掩码设置登陆掩码设置/etc/defualt/passwd密码长度，过期等密码长度，过期等使用使用ASETThe Automated Security Enhancement Tool自动安全增强工具自动安全增强工具

31、系统文件访问权的证实系统文件访问权的证实系统文件的检查系统文件的检查用户用户/组的检查组的检查系统配置文件检查系统配置文件检查环境变量检查环境变量检查Eeprom检查检查防火墙的设置防火墙的设置Linux高级安全技巧高级安全技巧普通的安全加固普通的安全加固治标不治本治标不治本被动防御被动防御无法阻止高级入侵者无法阻止高级入侵者高级安全防御高级安全防御攻击免疫攻击免疫易用性降低易用性降低对实施者要求较高对实施者要求较高攻击免疫新概念攻击免疫新概念即使存在漏洞，缓冲区溢出无效即使存在漏洞，缓冲区溢出无效即使存在即使存在SQL注入，无法利用注入，无法利用即使缓冲区溢出成功，无法得到即使缓冲区溢出成功

展开阅读全文