1、1,Unix 安全防护 技术部分,,2,主要内容,系统安全配置 文件系统安全性 常见服务的安全配置,3,系统安全配置,4,Linux账号安全性,使用chage命令修改Linux账号、密码属性 失败的登陆企图(/var/log/messages , /var/log/btmp) 限制root登陆 Linux: /etc/securetty Unix: /etc/default/login,5,系统启动的安全性,设置BIOS密码 以防通过改变启动介质,而可以从软盘启动。设置/etc/lilo.conf启动密码并设置为root只读 在“/etc/lilo.conf”文件中加入下面三个参数:time-
2、out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。,6,增强配置,/etc/login.defs 设置密码策略 编辑/etc/inetd.conf或xinetd.d目录下的telnet telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 在最后加“-h”可以使当有人登陆时只显示一个login:提示,而不显示系统欢迎信息。,7,Su限制,禁止任何人通过su命令改变为root用户。编辑/etc/pam.d/su ,添加下面两行: auth sufficient /lib/secu
3、rity/pam_rootok.so debug auth required /lib/security/Pam_wheel.so group=wheel 这表明只有“wheel“组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组,以使它可以使用su命令成为root用户。,8,隐藏系统信息,编辑“/etc/rc.d/rc.local” 文件,注释下面的行。 # This will overwrite /etc/issue at every boot.So, make any changes you # want to make to /etc/issue here o
4、r you will lose them when you reboot. #echo “ /etc/issue #echo “$R“ /etc/issue #echo “Kernel $(uname -r) on $a $(uname -m)“ /etc/issue # #cp -f /etc/issue /etc/ #echo /etc/issue 删除“/etc“目录下的“”和“issue“文件: rootkapil /# rm -f /etc/issue rootkapil /# rm -f /etc/,9,Unix的安全模块-PAM,PAM(Pluggable Authenticat
5、ion Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX 9.0等。以下主要是针对Linux的。,10,Unix的安全模块,PAM相关文件 /lib/libpam.so.* PAM共享库 /etc/pam.conf或者/etc/pam.d/ PAM配置文件 /lib/security/pam_*.so 可动态加载的PAM模块 其它系统的
6、文件可能在/usr/lib/目录下。PAM的配置: 第一种是通过单个配置文件/etc/pam.conf 另外一种是通过配置目录/etc/pam.d/ 第二种的优先级要高于第一种。,11,Unix的安全模块,使用配置文件/etc/pam.conf该文件是由如下的行所组成的:service-name module-type control-flag module-path arguments,12,Unix的安全模块,service-name 服务的名字,比如telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。 module-type 模块类型有四种
7、:auth、account、session、password。同一个服务可以调用多个PAM模块进行认证,这些模块构成一个stack。 control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的值:required,requisite,sufficient,optional。,13,Unix的安全模块,arguments是用来传递给该模块的参数。一般来说每个模块的参数都不相同,可以由该模块的开发者自己定义,但是也有以下几个共同的参数: debug 用syslog( )将调试信息写入到系统日志文件中。 no_warn 表明该模块不应把警告信息发送给
8、应用程序。 use_first_pass 表明该模块不能提示用户输入密码,而应使用前一个模块从用户那里得到的密码。 try_first_pass 表明该模块首先应当使用前一个模块从用户那里得到的密码,如果该密码验证不通过,再提示用户输入新的密码。 use_mapped_pass 该模块不能提示用户输入密码,而是使用映射过的密码。 expose_account 允许该模块显示用户的帐号名等信息,一般只能在安全的环境下使用,因为泄漏用户名会对安全造成一定程度的威胁。,14,Unix的安全模块,例:通过/etc/pam.conf配置ftpd的认证方式。下面是ftpd服务利用PAM模块进行用户认证的三
9、个步骤。首先用pam_ftp模块检查当前用户是否为匿名用户,如果是匿名用户,则sufficient控制标志表明无需再进行后面的认证步骤,直接通过认证;否则继续使用pam_unix_auth模块来进行标准的unix认证,即用/etc/passwd和/etc/shadow进行认证;通过了pam_unix_auth模块的认证之后,还要继续用pam_listfile模块来检查该用户是否出现在文件/etc/ftpusers中,如果是则该用户被deny掉。ftpd auth sufficient /usr/lib/security/pam_ftp.softpd auth required /usr/lib
10、/security/pam_unix_auth.so se_first_passftpd auth required /usr/lib/security/pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ftpusers,15,TCP wrappers,TCP wrapper使得系统可以在请求登录或者输入口令之前拒绝进来的连接 TCP wrapper的两个配置文件 /etc/hosts.deny 满足条件则拒绝 /etc/hosts.allow 满足条件则允许 配置规则:service :host(s) :action 两
11、个工具 tcpdchk, 检查配置文件有没有错误,是否与其他文件冲突 tcpdmatch, 模拟规则是否如期起作用,16,Hosts.deny和Hosts.allow文件,实现TCPWrapper的关键 具有“service:host”的规则形式 如果两个文件都丢失,则相应的访问总是被允许的 如果没有匹配项,则缺省总是被允许,17,Hosts.deny/allow文件语法,Service-list : Hosts-list,ALL UNKNOWN Telnetd Ftpd ,ALL UNKNOWN LOCAL IP IP/mask,18,Xinetd(eXtend InterNET Daemo
12、n),作为inetd的高级替换版本,但和inetd完全不兼容 语法完全不兼容 本质上是hosts.deny和hosts.allow、inetd.conf的组合,可以使用itox工具转换 常见与高版本Linux中 拥有为数不少的优点 支持TCP、UDP、RPC等 有效防止DoS,对堆栈作优化 限制同一类型的服务器数目 可作代理,19,Xinetd.conf文件语法,service service-name Property1=Property2+=Property3-=Property4= ,20,Xinetd.conf的defaults项,提供了创建属性默认值的方法 无需使用service关键
13、字作前导 举 例,defaults Log_type=SYSLOG local4.info Log_on_success=PID HOST EXIT DURATIONLog_on_failure=HOSTInstances=8Disabled=in.tftpd in rexecd ,21,Xinetd.conf的servers项,主要功能:查阅进程的确切信息列表,service servers type=INTERNAL UNLISTEDSocket_type=streamProtocol=tcpPort=9997Wait=noOnly_from=172.17.33.111Wait=no ,2
14、2,Xinetd.conf的Services项,service services type=INTERNAL UNLISTEDSocket_type=streamProtocol=tcpPort=8099Wait=noOnly_from=topcat ,23,提纲二,文件系统安全,24,文件系统安全性,查找并删除无用的suid程序文件 find / -type f ( -perm -4000 -o -perm -2000 ) -exec ls -lg ; find / -type f ( -perm -4000 ) | xargs ls a chmod u-s g-s,25,文件系统安全性,检
15、查所有只管理员才能访问的文件目录 查找属非有效用户或组的文件/目录 查找所有人都可写的文件和目录,26,日志管理工具,logrotate 压缩旧日志,创建新日志 /etc/logrotate.conf swatch 实时监视日志的perl程序 批处理方式和监控方式 logcheck 检查日志文件的异常记录,27,Tripwire,文件系统完整性检查工具 支持MD4、MD5、SNCFRN、CRC32、SHA 工作模式 数据库生成、完整性检查、数据库更新、交互更新 数据库要根据情况及时更新 数据库处配置文件应存储到安全介质 ,28,提纲三,常见服务的安全配置,29,FTP的安全性配置,Linux/
16、Unix系统常采用Wu-ftpd提供FTP服务 在wu-ftpd中,是通过特定的配置文来控制ftp 访问的,主要的配置文件包括 /etc/ftpusers etc/ftpgroups /etc/ftphosts /etc/ftpconversions /etc/ftpaccess,30,/etc/ftpusers,#cat ftpusers root henry test Jacky-zhu,31,/etc/ftpcoversions,:.Z: : :/bin/compress -d -c %s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS: : :.Z:/bin
17、/compress -c %s:T_REG:O_COMPRESS:COMPRESS:.gz: : :/bin/gzip -cd %s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP: : :.gz:/bin/gzip -9 -c %s:T_REG:O_COMPRESS:GZIP: : :.tar:/bin/tar -c -f - %s:T_REG|T_DIR:O_TAR:TAR: : :.tar.Z:/bin/tar -c -Z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS: : :.tar.gz:/bin/tar -c
18、 -z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP: : :.crc:/bin/cksum %s:T_REG:CKSUM: : :.md5:/bin/md5sum %s:T_REG:MD5SUM,用来配置压缩/解压缩程序,32,/etc/ftpaccess文件(1),class all real,guest,anonymous * limit all 10 Any /etc/msgs/msg.dead readme README* login readme README* cwd=* message /welcome.msg login mess
19、age .message cwd=* compress yes all tar yes all log commands real log transfers anonymous,real inbound,outbound shutdown /etc/shutmsg email userhostname,包括的主要内容: 1.class 类定义与控制 2.limit 限制控制 3.deny 否决控制 4.byte-limit 流量限制 5.guestserver 说明匿名登录允许访问的部分 6.noretrevie 拒绝传送的内容 7.greeting full|breif|terse 用户登
20、录提示信息 8.log 日志控制 ,33,/etc/ftpaccess文件(2),/etc/ftpaccess的几个主要功能 访问控制(access control) 显示信息控制(message control) 日志控制(log control) 权限控制(permission control) 其他控制(other control),34,/etc/ftpaccess文件(3),35,/etc/ftpaccess文件(4),36,/etc/ftpaccess文件(5),37,/etc/ftpaccess文件(6),38,DNS安全性配置,DNS的安全隐患: 防火墙不会限制对DNS的访问
21、DNS可以泄漏内部的网络拓朴结构 DNS存在许多简单有效的远程缓冲溢出攻击 DNS的本身性能问题 DNS面临的威胁 拒绝服务攻击 信息泄露 利用DNS入侵网络 利用DNS绕过防火墙等其它设备的控制,39,DSN欺骗,服务器 123.45.67.89,DNS 98.76.54.32,38.222.74.2,没有记录?,本地缓存,40,DNS安全配置,将DNS安置于防火墙后面 过滤特定的TCP53端口 采用多台DNS服务器进行负载均衡,41,DNS安全性配置,环境:bind8.2.3 Named进程启动先项 -u -g 来禁止以root运行 在option节中增加自定义的版本信息 Version
22、“what do you want?”; 关闭递归查询 options recursion no; fetch-glue no; ;,42,DNS安全性配置,限制区域传输options allow-transfer 192.168.100.1; 202.96.44.0/24; ; ; 限制对DNS递归查询的IPoptions allow-recursion x.x.x.x/mask; ; 及时下载最新的版本,43,Web服务安全配置,目录安全认证 在要保护的目录建立.htaccss文件,内容如下 AuthName “会员专区” AuthType “Basic” AuthUserFile “/v
23、ar/tmp/xxx.pw” -把password放在网站外 require valid-user 然后建立用户认证文件htpasswd -c /var/tmp/xxx.pw username1 -第一次要用参数“-c“ htpasswd /var/tmp/xxx.pw username2 上述方法也可以采用在httpd.conf中加入: options indexes followsymlinks allowoverride authconfig order allow,deny allow from all,44,Web服务安全配置,目录访问控制(access.conf)order deny,allow deny from all allow from ,45,内容回顾,系统安全配置 文件系统安全性 常见服务的安全配置,
