Linux系统安全

Linux 系统安全讲座

---------------

大纲

* 注:

授课内容主要以为主□

再配以网页资料为副。

---------------

网路安全层次

网路

服务

系统

系统安全

物理保安

地理防御

门禁制度

社交工程 P2-13

机房保护

机柜

主机

电源

键盘

荧幕

开机保护

钥匙

电源按钮

BIOS

启动设备:

硬碟

软碟

光碟

OS Loader

LILO P8-2

GRUB info grub (参考范例一)

开机程式 (run level & rc) P7-1

系统登录

Login

PAM P1-20

ls /usr/share/doc/pam-0.75/

Limit more /etc/security/limits.conf

Nologin touch /etc/nologin

Consol vs remote more /etc/securetty

L istfile (参考范例二)

帐号管理

帐号名称和 UID P1-5

群组 P2-2~P2-7

帐号密码 P2-12

Crack / John

shadow P1-11

chage info change

usermod info usermod

gpasswd info gpasswd

权限管理

ugo & rwx P3-8

档案 vs 目录 x ?

木马与病毒 root or non-root?

SUID & SGID & Sticky Bit P4-2

档案 vs 目录

侦查技巧 P4-4

su vs sudo

su 缺失 passwd? privilege?

sudoers 设计 info sudoers

档案属性 P4-8

appand only

read only

档案系统设计

file type P3-2

inode & block P3-6

http://www.study-area.org/linux/system/linux_fs.htm#fstab

mount point

quota http://www.study-area.org/linux/system/linux_fs.htm#fquota

read only /usr/bin /usr/sbin...

no dev /home

no suid / no sgid

no exec

安全下载

信任网站 rpmfind, sourceforge...

GPG 签章 *.sign

MD5 checksum info md5sum

软体测试

执行码

生成档

连线/生成封包

源码追踪

入侵侦测

异常行为

多余连线

记录档残缺

档案替换

档案权限改变

隐藏档

拥有者变更

suid / sgid

设备档

工具:

chkrootkit

http://linux.tnc.edu.tw/techdoc/check-rootkit-by-u-self.htm

tripwire

http://www.study-area.org/tips/tripwire.htm

tiger

ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU

日志保护

延增属性 chattr +a

存取权限 (root only)

size 控制 logrotate

http://www.study-area.org/linux/system/linux_conf.htm#log

真实性 (防止修改) @central / printer

记录分析

工具:

logcheck

logwatch

资料备份

原始备份

系统备份 vs 资料备份

完整备份 vs 差异备份

http://www.study-area.org/linux/system/linux_conf.htm#backup

备份媒体 & 保存

备份抽样 tar, cpio/apio

灾后复原

风险评估

容错等级

复原程度

容错方案/设备:

连线:

redundent connection

load balance

cluster

内容:

RAIDS

SAN & NAS

Mirror & rsync

修补 P14-3

版本选择

最安全版本□ ftp://linux.sinica.edu.tw/

更新 mirror / APT / rhn

测试

------------

网路安全

安全资讯

网站

http://www.cert.org.tw

http://www.vtcif.telstra.com.au/info/security.html

http://www.redhat.com/apps/support/errata/

wu-ftp

zlib

UW imap

openssh

ssnldap

.....

http://www.securityfocus.com/

http://safe.ip-market.com/

讨论群组/新闻组

news:comp.security.announce

Mail List / 技术论坛

listserv@securityfocus.com

digest@sams.org

杂志

服务程式漏洞与修补

服务程式数量 P12-3

集中 vs 分散

版本更新 wu-ftp, bind, sendmail

测试

chroot 技巧

使用时机

可行软体

http://www.study-area.org/tips/dns_chr.htm

困难点

tcpwrapper 之应用

Compile time vs run time

Supper daemon vs tcp_wrapper P15-2

Inetd vs xinetd P11-2

hosts.allow vs hosts.deny P15-9

services * 附录一

防火墙和 NAT

防火墙种类

proxy vs filtering P16-1 / P17-1

防火墙工作原理

http://www.study-area.org/network/network_fw.htm

基础知识

http://www.study-area.org/linux/servers/linux_nat.htm

防火墙规则设计

ACL vs state list

NAT 之应用场合

NAT 种类

SNAT vs DNAT

Statice vs Dynamic

http://www.study-area.org/tips/NAT-HOWTO/NAT-HOWTO-chn-3.html

网路架构之设计与部署

信任网路 vs 非信任网路

DMZ 应用

物理区隔

Protocol Switching

常见攻击方法

DoS

Ping of death P13-2

Syn Flood P13-6

其他 P13-8

因应 P13-9

自我攻击测试

netstat

http://www.study-area.org/linux/servers/linux_net.htm#network

nmap P25-8

portsentry / snort

-------------

资讯加密

明文 vs 密文

荧幕显示 vs 封包内容

http://www.study-area.org/network/network_enscp.htm

窃听技巧与防范

窃听前提 packet?

窃听工具

tcpdump

sniffit

拦截点 routing ?

Hub vs Swtich CSMA/CD?

加密手段和原理

加密原理

原始加密方法

http://www.study-area.org/network/network_enscp.htm

演算法

技术专利

加密技术

对称密钥 vs 非对称密钥

http://www.study-area.org/network/network_enscp.htm

美国之出口限制

电子签章

纸张 vs 电子

可确认性/非抵赖性

电子交易之现况与将来

安全连连线

ssl & ssh

破解成本

http://www.study-area.org/tips/security.htm

(http://www.nchu.edu.tw/trnc/90-2/firewall.ppt)

ssh 工作原理

http://www.study-area.org/tips/security.htm

vpn 之建置

VPN 原理

应用场合

VPN 方案:

ssh

vpnd

http://www.study-area.org/tips/vpn.htm

ipsec P21-3

网路设计 vs 实作技术 subnet/routing?

实作参考

安全的伺服器环境(1)

http://safe.ip-market.com/article.php?sid=5

确保Linux安全的十招

http://safe.ip-market.com/article.php?sid=26

Linux安全设置手册(转贴)

http://phorum.study-area.org/viewtopic.php?t=5080&highlight=time-out%3D00

---------------

* 范例一: GRUB 密码保护

1) 输入 grub 进入其中产生 MD5 密码:

grub md5crypt

Password: **********

Encrypted: $1$U$JK7xFegdxWH6VuppCUSIb.

** 完成后请用滑鼠左键将密码选取，并输入 quit 退出 grub 。

2) 修改 /etc/grub.conf 进行密码保护设定:

password --md5 $1$U$JK7xFegdxWH6VuppCUSIb.

** 请用滑鼠中键将密码贴上。

title Red Hat Linux 7.3 (2.4.18-3)

lock

root (hd0,1)

kernel /vmlinuz-2.4.18-3 ro root=/dev/hda12

initrd /initrd-2.4.18-3.img

3) 在开机的时候输入 p 和密码。

* 范例二: PAM 之 listfile (ssh)

1) 参考 ftp 之现成设定:

grep listfile /etc/pam.d/ftp

2) 模仿之并在 ssh 中设定:

vi /etc/pam.d/sshd

在前面加入:

auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshusers onerr=succeed

---------------

附录一: 系统服务建议

finger 强烈建议关闭

ftp 如果不需要□尽量关闭。尤其 anonymous 更应关闭。

gopher 关闭

imap 如果不需要□尽量关闭。

pop2 关闭

pop3 如果不需要□尽量关闭。

talk 关闭

ntalk 关闭

telnet 如果不需要□尽量关闭。请以 ssh 取代之。

uucp 关闭

samba 只对内部开放

nfs/nis 只对内部开放

r-command 尽量关闭□以 ssh 取代。

x-protoco

• ·用英语打电话|报价￥10.40|图书,英语与其
• ·用LKM更改linux缺省安全等级
• ·用LIDS增强系统安全
• ·LINUX下的IDS测试
• ·安全的log纪录服务器
• ·美语话题不求人-出行不求人(口袋版)|报价￥5
• ·“SSH”让远程控制更安全
• ·怎样解决Sendmail服务器的安全问题？
• ·TUX2.0使用手册--五、安全
• ·建立安全的DNS服务器