信息安全专题培训(Unix系统安全)ppt课件.ppt

NSFocus Information Technology Co. Ltd.Unix系统安全,徐毅 XTraining dept. , Customer Support CenterAugust 2005,Strictly Private & Confidential,Linux/Unix构成,Linux内核组成部分,Linux进程调度,收到SIG_KILL或SIG_CONT后,所申请资源有效时,Linux的系统调用,编程接口，与POSIX兼容，C语言函数集合实现形式与DOS的INT 21H相似Linux使用int 80h函数名“sys_xxx”比如系统调用fork的相应函数sys_fork()系统调用号和系统调用表系统调用都转换为Int 80h软中断所有的系统调用只有一个入口system_call出口： ret_from_sys_call,Linux内存管理,在i386机器上，每个进程有独立的4G虚存空间内核的代码段和数据段被映射到3G以上的空间中用户态下的代码实际可申请的虚存空间为0-3GB每个进程用两套段描述符来访问内存，分别用来访问内核态和用户态下的内存空间在用户态下，代码不可能访问3G以上的地址空间，如果要访问内核空间，必须通过系统调用或者中断,Linux的模块机制,可动态装载的内核模块(lkm)一组命令：insmod、rmmod、lsmod、modprobe关于模块机制可以让核心保持比较小的尺寸动态装载，避免重新启动模块机制常常用于设备驱动内核模块一旦加载之后，与原有的核心代码同等,insmod装载模块,Mod1-0 x1000Mod2-0 x2000 ,模块列表,每个模块必须包括初始化例程和注销例程,Linux内核中的Rootkit,通过LKM，可以在系统内核中插入木马模块一个典型的以Linux 2.2.x为基础的rootkit knark使用insmod knark.o就可以加载到内核中还有其他的ROOTKITS，比如adore内核ROOTKITS的对策根据每个rootkit的特征进行检测，然后设法删除预防为主，安装内核检测系统，比如LIDS,Linux安全问题,缓冲区溢出-与各机构公布的风险列表密切相关内核的安全性附加软件的安全性Bind系统Mail系统FTP服务和WWW服务X-Window系统NFS和NIS系统,账号管理,帐户管理,用户类型Root（uid=0，仅次于RING0）普通用户(未设置密码和宿主目录者除外)系统用户（用于标识进程身份和权限）攻击者的目标：夺取uid 或 euid = 0,Unix口令文件存储路径,Linux /etc/shadow (/etc/passwd)SystemV Release 4.2 /etc/security SystemV Release 4.0 /etc/shadow SunOS 5.0 /etc/shadow SCOUnix /tcb/auth/files/ OSF/1 /etc/passwd HP-UX /.secure/etc/passwd BSD4.x /etc/master.passwd AIX3 /etc/security/passwd IRIX5 /etc/shadow,为什么要用shadow文件,UNIX最早用/etc/passwd存储密码散列，普通用户可读，可以使用John、Crack之类的工具暴力破解，无安全性可言Shadow单独存储密码hash，passwd文件只被用于进程读取当前的属主权限,帐号密码文件,xylon:x:501:501:Jacky:/home/zhuxg:/bin/bash,用户名,密码位置,UID,GID,用户全名,用户主目录,用户shell,/etc/passwd和/etc/shadow(master.passwd)文件,解读/etc/shadow文件,root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272,用户名,加密口令,上一次修改的时间（从1970年1月1日起的天数）,口令在两次修改间的最小天数,离用户必须修改口令还剩下的天数,离系统提醒用户必须修改口令还剩下的天数,用户仍可修改口令还剩余的天数，否则到期之后该账号将被禁止,从1970年1月1日起账号被禁用的天数,保留字段,口令的加密算法,UNIX采用3种加密算法头两字节为$1表示MD5加密算法$2表示使用Blowfish加密算法其余为标准的DES加密算法,添加帐户,添加用户useradd /adduserrootwww /root# useradd -helpuseradd: invalid option - -usage: useradd -u uid -o -g group -G group,. -d home -s shell -c comment -m -k template -f inactive -e expire -p passwd -n -r name useradd -D -g group -b base -s shell -f inactive -e expire rootwww /root#useradd u 1000 d /home/test s /bin/sh test,删除帐户,userdel/deluserUserdel -r namerootwww /root#userdel r testrootwww /root#ls l /home,管理帐号,查看当前用户名rootwww /root# whoami更改用户属性 usermodrootwww /root# usermod -helpusage: usermod -u uid -o -g group -G group,. -d home -m -s shell -c comment -l new_name -f inactive -e expire -p passwd -L|-U name,文件管理,Linux/Unix文件系统类型,Ext2/ext3、UFS、JFSVFS抽象层文件系统，挂载具体的文件系统，lkm rootkit过滤VFS相关的系统调用文件类型常规文件：ASCII文本，二进制数据，可执行binaryUNIX上的ABI：a.out,ELF文件格式目录：包含一组文件的二进制可执行文件特殊文件：/dev,/proc链接文件Sockets:进程间通讯使用的特殊文件,文件类型,由文件长模式显示的第一个字符决定“-”：普通文件“d”：目录“l”：符号链接“s”：套接字显示文件属性：lsattr,Linux文件权限,- r w - r - - r - -,ls l 文件名,Mask和umask值,Mask和umask相对应对于文件 umask值 | 文件权限 = 666对于目录 umask值 | 目录权限 = 777Daemon守护进程通常需要对”/”的完全访问权限,文件管理,添加/删除/移动文件和目录touch、echo、vi、rm、mv更改文件权限chmod、chattr更改文件属主chown、chgrp,设置SUID/SGID和Sticky-bit,设置SUID/SGID程序利用chmod 典型文件如/bin/passwdSGID通常设置在某个目录上Chmod 1755 和dos的TSR程序一样常驻内存设置粘置位典型目录如 /tmp粘置位可防止误删、误修改或破坏用户文件,进程的权限,如果mysqld文件的属主是root，那么mysql服务被远程溢出后攻击者将得到root shell，假设apache存在远程溢出，攻击者只能得到nobody shellRedhat9.0以前版本的ping程序有suid位，假设该命令的可执行文件存在缓冲区溢出，那么本地攻击者可以获得root shell,进程运行时的权限变化,Suid文件改变了文件运行时的进程属主，通常是更高的root权限，进程结束时返回原来相对较低的权限，这样普通用户可以享受到便利又不至于权限越界。这里引入了另一个值euid,有效用户ID，表征进程运行时的实际权限，如果euid=0那么你就拥有root权限，实际上你使用/bin/passwd更改自己密码的瞬间拥有root权限，但你却不能用它来做其它事该特性被黑客利用,Unix系统安全配置与优化,安装系统补丁,SolarisShowrev p 显示系统补丁Patchadd 安装系统补丁LinuxRHN updateRpm -UvhSrc recompile,Solaris基本安全配置,设置一个尽可能复杂的root口令设置默认路由 /etc/defaultrouter设置dns /etc/resolv.conf设置 /etc/nsswitch.conf Host:files dns会话劫持的可能性（session hijack）,系统启动服务清理,清理/etc/rc2.d值得注意的nfs.*S71RPC清理/etc/rc3.dSNMP使用的选择SNMP配置清理/etc/init.d/inetsvc禁止in.namedInetd s t启动 (记录会话连接的IP、端口)禁止multicast,系统启动服务清理,清理/etc/inetd.conf 服务所有的TCP/UDP服务所有的调试服务所以的R服务几乎所有的RPC服务使用必要的工具替换telnet,ftp必要的时候可以完全禁止inetd或用xinetd替换,ndd 使用,帮助ndd /dev/arp ? (icmp,tcp,udp,ip)查询ndd /dev/arp arp_cleanup_interval 设置ndd -set /dev/arp arp_cleanup_interval 60000,启动网络参数设定,设置/etc/init.d/inetinit ndd -set /dev/tcp tcp_conn_req_max_q0 10240ndd -set /dev/ip ip_ignore_redirect 1ndd -set /dev/ip ip_send_redirects 0ndd -set /dev/ip ip_ire_flush_interval 60000ndd -set /dev/arp arp_cleanup_interval 60ndd -set /dev/ip ip_forward_directed_broadcasts 0ndd -set /dev/ip ip_forward_src_routed 0ndd -set /dev/ip ip_forwarding 0 (或/etc/notrouter)ndd -set /dev/ip ip_strict_dst_multihoming 1,ARP攻击防止,减少过期时间#ndd set /dev/arp arp_cleanup_interval 60000#ndd -set /dev/ip ip_ire_flush_interval 60000静态ARParp f filename禁止ARPifconfig interface arp,IP优化,关闭ip转发ndd set /dev/ip ip_forwarding 0 转发包广播由于在转发状态下默认是允许的，为了防止被用来实施 smurf攻击，关闭这一特性。 (参见cert-98.01)#ndd set /dev/ip ip-forward_directed_broadcasts 0源路由转发，所以我们必须手动关闭它ndd set /dev/ip ip_forward_src_routed 0,ICMP优化,关闭对echo广播的响应ndd set /dev/ip ip_respond_to_echo_boadcast 0响应时间戳广播#ndd set /dev/ip ip_respond_to_timestamp_broadcast 0 地址掩码广播#ndd set /dev/ip ip_respind_to_address_mask_broadcast 0,ICMP优化,接受重定向错误#ndd set /dev/ip ip_ignore_redirect 1 响应时间戳广播发送重定向错误报文ndd set /dev/ip ip_send_redirects 0 时间戳响应#ndd set /dev/ip ip_respond_to_timestamp 0注意：Rdata（同步时钟）可能无法正常,TCP优化,Synfloodndd set /dev/tcp tcp_conn_req_max_q0 4096默认值是1024连接耗尽攻击ndd set /dev/tcp tcp_conn_req_max_q 1024默认值是128增加私有端口ndd /dev/tcp tcp_extra_priv_ports 2049 4045要注意的是，不要随便定义私有端口，因为有些非根权限的进程会使用这些端口。特别是改变最小非私有端口这个参数，经常会引起问题,文件系统配置,删除NFS的相关配置/etc/auto_* /etc/dfs/dfstabMount文件系统的设置/etc/vfstab/usr mount ro/dev/dsk/c0t3d0s4 /dev/rdsk/c0t3d0s4 /usr ufs 1 no roOther mount nosuid/dev/dsk/c0t3d0s5 /dev/rdsk/c0t3d0s5 /var ufs 1 no nosuid/dev/dsk/c0t3d0s6 /dev/rdsk/c0t3d0s6 /local ufs 2 yes nosuid可能的话 mount / nosuid,文件系统配置,寻找系统所有的suid程序Find / -type f ( -perm -4000 ) | xargs ls a调整文件系统的权限/usr/sbin/var/log /etc,日志系统配置,/etc/syslog.conf增加的日志记录auth.info /var/log/authlog输出到loghost输出到打印机增加对su和crontab的日志记录/etc/default/cron/etc/default/su,日志系统配置,syslog.conf的格式如下设备.行为级别 ；设备.行为级别 记录行为注意各栏之间用Tab来分隔，用空格是无效的。如*.err;daemon.notice;mail.crit /var/adm/messages,日志系统配置-设备,auth 认证系统,由login、su和getty产生cron 系统定时系统执行定时任务时发出的信息daemon 守护程序的syslog,如由in.ftpd产生的logkern 内核的syslog信息lpr 打印机的syslog信息mail 由syslog自己产生，为日志盖上时间戳mark 定时发送消息的时标程序news 新闻系统的syslog信息*: 代表以上各种设备,日志系统配置-行为级别,行为级别描述（危险程度递增）debug 程序的调试信息info 报告性消息notice 需要以后注意的通知warning 警告信息err 其它系统错误crit 危险的系统状态，如硬件或软件无效alert 应该立即被纠正的情况emerg 最严重的消息，如立即关闭系统none 指定的服务程序未给所选择的,日志系统配置-特殊,配置loghostloghost日志输出到打印机把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中加入配置语句auth.notice/dev/ttya,帐户清理与设置,userdel/passmgmt (uucp,listen, lp,smtp,adm)/etc/default/login的设置禁止非console root登陆登陆超时登陆掩码设置/etc/defualt/passwd密码长度，过期等,使用ASET,The Automated Security Enhancement Tool自动安全增强工具系统文件访问权的证实系统文件的检查用户/组的检查系统配置文件检查环境变量检查Eeprom检查防火墙的设置,Linux高级安全技巧,普通的安全加固治标不治本被动防御无法阻止高级入侵者高级安全防御攻击免疫易用性降低对实施者要求较高,攻击免疫新概念,即使存在漏洞，缓冲区溢出无效即使存在SQL注入，无法利用即使缓冲区溢出成功，无法得到shell即使得到root权限，仍然无法更改系统设置,Linux极限安全架构,Apache/ProFTP/MySQL chroot环境运行修改或隐藏所有daemon的banner，OS fingerprint伪装动态脚本使用Apache的mod-security模块Iptables限制反向TCP连接，过滤UDP、ICMPAnti-缓冲区溢出内核补丁内核MAC（Mandatory Access Control）,Q&A,感谢聆听！Thank you for attending！,