Unix系统安全管理.ppt

Unix系统安全管理,内容简介,UNIX/LINUX简介Unix安全问题分析Unix安全管理,Unix发展过程,Unix是在麻省理工学院(MIT)在1965年开发的分时操作系统 Multics的基础上演变而来。1969年，在AT&T贝尔实验室，Thompson和Ritchie在其他的研究人员协助下在PDP-7上开发了一个小的16位分时系统1971年，UNIX移植到PDP-11上，第一次得到实用。此时的系统全部用汇编语言写成1973年用C语言重写UNIX核心，系统变得极为便于理解、修改和移植1980年贝尔实验室推出UNIX32V，Berkeley在此基础上推出了BSD4.0和 BSD4.1版本，从此Unix分为AT&T和Berkeley两条道路1988年成立了以 ATT和Sun等公司为代表的 UI(UNIX International)和以 DEC、IBM等公司为代表的 OSF(Open Software Foundation)两个Unix标准化组织,Unix特点,极强的可移植性可靠性强，可以每天24小时不间断运行一致的文件、设备和进程间的I/O可装卸的树型分层结构文件系统 多用户的分时操作系统，即不同的用户分别在不同的终端上，进行交互式地操作，就好像各自单独占用主机一样。,Unix结构,硬件,核心,用户,Unix 系统基本知识（1）,超级用户 在Unix系统中有一个名为root的用户，这个用户在系统上拥有最大的权限，即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。$su 然后输入passwd 可以得到#文件属性 为保护每个用户的私人文件不受他人非法修改，系统为每个文件和目录都设定了属性，如下所示：-rw-r-r-l root wheel 545 Apr 4 12:19 file1r表示可读，w表示可写，x表示可执行。最前的-可以是d，表示是子目录。这里可以读为644。可以用chmod命令改变文件属性。,Unix 系统基本知识（2）,Shell Shell是用户和Unix系统内核之间的接口程序。在提示符下输入的每个命令都由Shell先解释然后传给Unix内核。可以简单地认为Shell就是Unix的命令解释器，相当于DOS中的COMMAND.COM。输入/输出重定向 重定向用于改变一个命令的输入/输出源。“”符号用于把当前命令的输入/输出重走向为指定的文件。如 cat passwd mypasswd，相当cp passwd mypasswd管道 管道可以把一系列命令连接起来。这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入，第二个命令的输出又会作为第三个命令的输入，以此类推。如ls al|more.,Linux发展过程,1990年，芬兰赫尔辛基大学学生Linus Torvalds用汇编语言在80386保护模式下写的Unix系统雏形，为Linux 0.0.1版本1991年10月，发布1993年，Linux 1.0诞生Linux加入GNU并遵循公共版权许可证(GPL)，大大加强了GNU和Linux，出现了许多Linux发行版：Slackware、Redhat、Suse、TurboLinux、OpenLinux等,Linux特点（1）,与Unix高度兼容 Linux是一种完全符合POSIX.l等国际标准的操作系统，它和大部分商业Unix操作系统保持高度的兼容性，几乎所有的Unix命令都可以在Linux下使用。高度的稳定性和可靠性 Linux是一种完全32位的操作系统，具备完善的多任务机制。,Linux特点（2）,完全开放源代码，价格低廉 Linux符合GNU通用公共版权协议，是自由软件，它的源代码是完全开放的，可以免费得到，这对于系统安全人员来说是非常重要的，因为阅读源代码是发现系统漏洞的最主要方法。而且与各种商业操作系统相比，Linux发行版价格低廉，还可以免费获得其他版本的Linux。安全可靠，绝无后门 由于源代码开放，用户不用担心Linux中会存在秘密后门，而且任何错误都会被及时发现并修正，因此Linux可以提供极高的安全性。,内容简介,UNIX/LINUX简介Unix安全问题分析Unix安全管理,Unix安全问题环境变量（1）,程序员在编写具有一些特殊用户权限的代码（如超级用户权限）时要用到许多技术。本质上，要确保用户不能控制程序执行的环境，而且所有返回的错误状态都应给予适当的处理。这些技术也不仅限于特权代码的编写，它更是良好的编程习惯。这些技术包括初始化操作环境、检查所有系统调用的返回码以及内部分析检查所有的参数。,Unix安全问题环境变量（2）,输入域分隔符IFS 一种攻击的方法是通过输入域分隔符（IFS）Shell变量得逞的。该变量用于决定传给Shell的字符串的分隔符。例如一个程序调用函数system()或popen()来执行一个命令，那么该命令首先由Shell来分析。如果执行的用户可以控制IFS环境变量，这可能会导致不可预测的结果。典型的例子是：如果程序执行代码system(/bin/ls-l),同时IFS变量被设置为包含“/”的字符，而一个恶意的程序被命名为bin并放在用户的PATH内，则该命令会被解释成bin ls-l,它执行程序bin并带有两个参数ls和-l。因此一个程序不该用system(),popen(),execlp()或execvp()函数来运行其他程序。,Unix安全问题环境变量（3）,HOME 另外一个环境攻击的方法是通过使用HOME环境变量。通常，csh和ksh在路径名称中用字符“”代替该变量。因此，如果一个入侵者能改变该值，就能利用一个使用字符“”作为HOME命令的Shell文件业得逞。例如，如果一个Shell文件用/.rhosts或$HOME/.rhosts指向用户指定的文件，就有可能通过在执行命令前重置HOME来搞破坏活动。,Unix安全问题环境变量（4）,PATH用PATH的攻击方法特征是利用PATH环境变量文件路径的值和顺序。不合理的路径顺序会导致意外的结果如果执行的命令不是以绝对路径方式执行。例如下面的PATH指定方法：PATH=./:/usr/bin:/bin:/sbin。如果有人在当前路径，它就会比/bin/ls的执行优先级高。如果该文件包括以下内容：#!/bin/sh(/bin/cp/bin/sh/tmp/.secret 2/dev/null rm-f$0 exec/bin/ls$0 该段代码会暗中创建一个/bin/sh的拷贝，它在执行时会以执行该文件的用户的身份被执行。此外，它消除证据，使用户在执行该命令时感觉不到是在执行另外一个程序。,Unix安全问题环境变量（5）,umask值 umask（默认的文件保护掩码）的设置经常是不正确的。许多程序没有检查 umask 的值，而且经常忘记指定新建文件的保护掩码值。即使该程序创建了一个文件，也忘记改变其保护模式而使之安全。入侵者可以利用这一点，更改可写的文件。因此，在建立任何文件之前，要先建立一个 umask 值。,Unix安全问题程序代码漏洞（1）,许多入侵者通过研究一些程序的源代码而达到攻击目的。通常，这种源代码可以免费下载得到，这使得许多人可以研究它，并找到里面潜在的漏洞。这种攻击方法在6年前还很少见，如今却非常普遍。从某种意义上讲，这也是一种好事。因为它促进一些软件错误的改正，也使一些软件编程方法为人们所了解。,Unix安全问题程序代码漏洞（2）,缓冲区的溢出 不好的编程习惯也会导致软件的安全漏洞。一个典型的利用该漏洞的例子是Morris蠕虫。该漏洞是系统调用 gets()在执行时不检查参数的长度，而 fgets()系统调用没有这个问题。这使得在用户的控制下缓冲区会溢出，因此程序会出现不可预测的结果。另外还有几个系统调用也存在同样的漏洞，它们是：scanf(),sscanf(),fscanf()和sprintf(),Unix安全问题程序代码漏洞（3）,状态返回值 另一个经常存在的漏洞是不检查每个系统调用的返回值。这意味着入侵者如果可以控制程序运行环境，就能调用一个失败的系统，而调用在用户程序中却认为是永远会正确招待的。这会使用户的程序出现不确定的结果。,Unix安全问题程序代码漏洞（4）,捕捉信号 在很多情况下，程序员编写的程序不捕捉它可以接收的信号，因此执行的结果会有异常情况。这允许一个入侵者设置其umask为某个值，之后向一个特权（具有特殊用户权限）程序发送一个信号该信号使特权程序产生core文件（有的系统不允许产生core文件）。此时该core文件的所有者是执行该程序的UID，但是它的保护掩码是由umask设置的。,Unix安全问题特洛伊木马,特洛伊木马与一般用户想要执行的程序从外观上看（如文件名）很相似，例如：编辑器、登录程序、或者游戏程序。这种程序与一般用户想要执行的程序很相似，而它实际上完成其他操作（例如删除文件、窃取口令和格式化磁盘等）。等用户发现，却为时已晚。特洛伊木马可以出现在许多地方。它们可以出现在被编译过程序中，也可以出现在由系统管理员执行的系统命令文件中。其他的特洛伊木马包括作为消息（例如电子邮件或发给终端的消息）的一部分发送。一些邮件头(mail header)允许用户退到外壳(shell)并执行命令，该特性能在邮件被阅读的时候被激活。给终端发送特定的消息能在终端上存储一个命令序列，然后该命令被执行，就好象从键盘上敲入一样。编辑器初始化文件（如，vi对应的.exrc文件）也是经常存放特洛伊木马的地方。,Unix安全问题网络监听和数据截取,计算机安全面临的一个威胁是计算机之间传输的数据可以是很容易被截取到的。过去在大型主机时代，这不是威胁，因为在这种系统上数据传输是处于系统控制之下的。但由于异构系统互联，敏感数据的传输会处于系统的控制之外。有许多现成的软件可以监视网络上传输的数据。特别脆弱的是总线型网络（例如：以太网），这种网络上发送给每个特定机器的数据可以被网络通路上的任何机器截取到。这意味着任意数据可以被截取并用于不同的目的。这里不仅仅包括敏感数据，还协议交换（例如登录顺序，包括口令）。数据截取并不一定要从网络本身截取。通过在网络软件上或应用程序上安装特洛伊木马，就能截取数据并保存到磁盘上以备后用。,Unix安全问题软件之间的相互作用和设置,本质上，计算机安全受威胁的根本原因是计算机系统和运行的软件越来越复杂。任何一个人都不可能编写整个系统，因此也无法预测系统内部每个部分之间的相互作用。例如:/bin/login接收其他一些程序的非法参数的问题。除了系统内软件相互作用的复杂性，程序员也为系统管理员提供了多种选择。配置系统是如此复杂，以至于简单的配置错误可能导致不易觉察的安全问题。目前有一种趋势，即用电子方法来检测攻破系统的能力既从系统外部又从系统内部检测。但是，这种方法只能检测已知安全问题，而不能测出新的安全问题。,内容简介,UNIX/LINUX简介Unix安全问题分析Unix安全管理,Unix安全管理综述（1）,Unix系统的安全管理主要分为四个方面：（1）防止未授权存取：这是计算机安全最重要的问题，即未被授权使用系统的人进入系统。用户意识、良好的口令管理(由系统管理员和用户双方配合)、登录活动记录和报告、用户和网络活动的周期检查、这些都是防止未授权存取的关键。（2）防止泄密：这也是计算机安全的一个重要问题。防止已授权或未授权的用户存取相互的重要信息。文件系统查帐，su登录和报告，用户意识，加密都是防止泄密的关键。,Unix安全管理综述（2）,（3）防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。一个系统不应被一个有意试图使用过多资源的用户损害。不幸的是，UNIX不能很好地限制用户对资源的使用，一个用户能够使用文件系统的整个磁盘空间，而UNIX基本不能阻止用户这样做。系统管理员最好用PS命令，记帐程序df和du 周期地检查系统。查出过多占用CPU的进程和大量占用磁盘的文件。（4）防止丢失系统的完整性：这一安全方面与一个好系统管理员的实际工作(例如：周期地备份文件系统，系统崩溃后运行fsck检查，修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件)和保持一个可靠的操作系统有关(即用户不能经常性地使系统崩溃)。,防范缓冲区溢出,据统计，约90%的安全问题来自缓冲区溢出。攻击者通过写一个超过缓冲区长度的字符串，然后植入到缓冲区，可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root特级权限。一些版本的Unix系统（如Solaris2.6和Solaris7）具备把用户堆栈设成不可执行的功能，以使这种攻击不能得逞。以下是让这个功能生效的步骤：1）变成root 2）对/etc/system文件做个拷贝cp/etc/system/etc/system.BACKUP 3）用编辑器编辑/etc/system文件 4）到文件的最后，插入以下几行：setnoexec_user_stack=1 setnoexec_user_stack_log=155）保存文件，退出编辑器后，重启机器，以使这些改变生效。可能有些合法使用可执行堆栈的程序在做如上改变后不能正常运行，不过这样的程序并不多。,Unix安全管理口令安全,不要将口令写下来.不要将口令存于终端功能键或MODEM的字符串存储器中 不要选取显而易见的信息作口令.不要让别人知道.不要交替使用两个口令.不要在不同系统上使用同一口令.不要让人看见自己在输入口令.,Unix安全管理文件权限,文件属性决定了文件的被访问权限,即谁能存取或执行该文件。文件许可权可用于防止偶然性地重写或删除一个重要文件(即使是属主自己)。改变文件的属主和组名可用chown和chgrp,但修改后原属主和组员就无法修改回来了。,Unix安全管理目录,目录许可 在UNIX系统中,目录也是一个文件,用ls-l列出时,目录文件的属性前面带一个d,目录许可也类似于文件许可,用ls列目录要有读许可,在目录中增删文件要有写许可,进入目录或将该目录作路径分量时要有执行许可,故要使用任一个文件,必须有该文件及找到该文件的路径上所有目录分量的相应许可.仅当要打开一个文件时,文件的许可才开始起作用,而rm,mv只要有目录的搜索和写许可,不需文件的许可,这一点应注意。,Unix安全管理用户权限（1）,umask命令 umask设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入。profile文件,就可控制该用户后续所建文件的存取许可。umask命令与chmod命令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可。,Unix安全管理用户权限（2）,设置用户ID和同组用户ID许可 户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件(只有可执行文件才有意义)当一个进程执行时就被赋于4个编号,以标识该进程隶属于谁,分别为实际和有效的UID,实际和有效的GID.有效的UID和GID一般和实际的UID和GID相同,有效的UID和GID用于系统确定该进程对于文件的存取许可.而设置可执行文件的SUID许可将改变上述情况,当设置了SUID时,进程的有效UID为该可执行文件的所有者的有效UID,而不是执行该程序的用户的有效UID,因此,由该程序创建的都有与该程序所有者相同的存取许可.这样,程序的所有者将可通过程序的控制在有限的范围内向用户发表不允许被公众访问的信息.同样,SGID是设置有效GID.用chmodu+s文件名和chmodu-s文件名来设置和取消SUID设置.用chmodg+s文件名和chmodg-s文件名来设置和取消SGID设置当文件设置了SUID和SGID后chown和chgrp命令将全部取消这些许可.,Unix安全管理网络配置安全（1）,关闭服务 关闭系统上的一些服务，最常见的服务是FTP和TELNET。FTP：用于文件传输，但是如果用户的系统只想从别的机器上获取文件，就没有必要提供该项服务。可以从/etc/inetd.conf文件中将对应的项注释掉（在该行的行首加上“#”符号即可）。TELNET：明显的安全威胁之一（建议用户使用TCP_Wrapper来限制访问权限，提高该项服务的安全性）。要确保只有真正需要的服务才被允许外部访问。,Unix安全管理网络配置安全（2）,r命令 r命令是由Berkley开发的一系列命令软件。由于这些命令都是以“r”开头，因此统称为r命令（例如rlogin和rsh等等）。这些服务充满了漏洞。尽量少的使用这些命令，这可以减少系统的口令暴露在网络监听程序之下的可能性。如必须执行r命令，建议用户针对特定的需求使用更安全版本的r命令。Wietse Venema的logdaemon程序包含有更安全版本的r命令守护进程。建议使用TCP_Wrapper来提高系统的安全性，并能对系统的被访问情况做更完善的记录。,Unix安全管理网络配置安全（3）,/etc/hosts.equiv文件检查系统是否需要/etc/hosts.equiv文件。这样的命令能从一个被信任的主机上不需口令地访问系统。如果不允许r命令服务或者不希望对其他系统加以信任，则应该去掉该文件，即删除该文件。如果该文件不存在，即使不小心允许了r命令服务，也不会造成安全问题。,Unix安全管理网络配置安全（4）,/etc/netgroup文件如果使用NIS（也称YP）或NIS+，一定要在该文件中的每个netgroup中设置成只包含usernames或只包含hostnames。所有的工具程序都只分析该文件中的hosts或usernames，但没有对这两个部分都做分析。使用独立的netgroups会使记忆每个netgroup的功能变得简单。配置这些额外的netgroups所付出的时间与使系统置于不安全的状态相比，这个付出还是值得的。,Unix安全管理网络配置安全（5）,$HOME/.rhosts文件 确保任何用户在他们的$HOME目录下都没有.rhosts文件存在。这些文件比/etc/hosts.equiv会造成更大的安全漏洞，因为任何系统上的用户都可以创建该文件。,Unix安全管理网络配置安全（6）,NFS NFS是最重要的也是最脆弱的网络服务，因为它提供了完全的对文件和目录的访问，安全漏洞在于难维护性、控制的非精确性，以及没有用户验证机制。任一台主机都可以做NFS服务器或者NFS客户，或者二者兼而有之。用户最常犯的错误只是简单的NFS设置错误，设置有错误的NFS主机到处都是。由于NFS对用户的认证非常简单，并且对NFS设置错误的例子比比皆是。因此NFS对网络安全的危害是非常巨大的。,Unix安全管理网络配置安全（7）,首先，对可以安装调出文件卷的主机没有限制，将使得任何主机都可以安装，因此攻击者所在的主机也一样可以安装它。即使没有其它权限，攻击者通过这一步便已看到了系统的许多信息。其次，没有明确地设置调出文件卷为只读，则调出文件卷在客户端缺省为可读、可写。这时候攻击者便可以增加，修改，删除或替换NFS服务器上的文件。需要明确指出的是，调出文件卷缺省为可写。,Unix安全管理网络配置安全（8）,第三，许多主机常常将NFS服务器上的系统信箱和用户主目录所在的目录调出。安装这些目录的用户(攻击者)，只要具有文件属主的UID和GID，便可以阅读这些文件。这只要攻击者在本机是超级用户，那么他便可以用su命令变成任何普通用户，或者诸如bin这类的特殊用户。第四，有一些系统甚至将NFS服务器上的根目录调出，这等于是将系统送到别人眼底，系统的一切秘密暴露无疑。攻击者只需用命令“su bin”变成bin用户，或者与root同组的用户，便可以替换系统一些启动时的文件，或者在/(root用户的主目录)，/bin(bin用户的主目录)下增加一个.rhosts文件，系统已经为外来用户敞开了大门。,Unix安全管理网络配置安全（9）,对NFS的攻击总是从showmount命令开始的，通过这一命令，攻击者可以查明目标主机是否存在配置上的漏洞。NFS是网络攻击最流行的方法之一。NFS服务的攻击示意如下：,Unix安全管理网络配置安全（10）,设置NFS时要注意的一些安全事项：限制可安装调出文件卷的客户机及可安装的目录。如果可能，将文件系统以只读方式调出去。对调出的文件及目录设置为root所有。不要将服务器的可执行文件调出。不要将用户目录调出。使用安全的NFS。最后一点，最好不要使用NFS。,Unix安全管理网络配置安全（11）,/etc/hosts.lpd文件确保该文件的第一个字符不是-。确保该文件的访问权限被设置成600。确保该文件的所有者被设置成root。确保在该文件中不使用!或#符号。这些符号在该文件中不表示注释,Unix安全管理网络配置安全(12),安全的终端设置确保从所有不需要root登录权限的记录中删除掉安全选取项。此外，如果不希望其他用户能以单用户的方式重新启动的话，还应该从console中删除掉安全选项。确保配置文件的所有者是root。确保配置文件的访问权限被设置成644。,Unix安全管理网络配置安全(13),网络服务安全/etc/inetd.conf 文件确保该文件的服务权限被设置为600。确保该文件的所有者是root。尽量过滤掉不真正需要的服务。要完成这一点，建议在该文件对应行的第一个字符前加上一个#符号。这样做的好处是，如果以后要想恢复该项服务，只要去掉#符号即可。最好去掉所有的r命令服务和tftp服务，因为它们会造成系统明显的安全漏洞。,Unix安全管理网络配置安全(14),/etc/services 文件确保该文件的访问权限被设置成644。确保该文件的所有者是root。,Unix安全管理网络配置安全(15),portmapper 服务为使系统更安全，应尽量去掉非必需的、系统在启动时启动并在portmapper中注册的服务程序。,Unix安全管理网络配置安全(16),tftp服务 tftp 主要用于无盘工作站的启动。它与 ftp 类似，但没有口令保护。因此如果系统提供tftp服务，那么其他主机上的所有用户都可以通过tftp获取本系统上的文件。如非必需应关闭该服务。,Unix安全管理网络配置安全(17),TCP-Wrapper 程序包 建议使用该程序包。激活 PARANOID 方式。考虑使用 RFC931 选项。通过在/etc/hosts.deny 文件中加入一行all:all，来拒绝所有的主机访问，然后通过在/etc/hosts.allow文件中加入信任的主机名称来显式地列出允许访问的主机名称。建议用户记录所有在/etc/inetd.conf 文件中提供的服务。,Unix安全检查(1),审计 UNIX审计软件包可用作安全检查工具,除最后登录时间的记录外,审计系统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括 UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程是否是root进程,这将有助于系统管理员了解系统中的用户在干什么。acctcom 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是以前的记帐文件(n为整型数)。,Unix安全检查(2),du 报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的磁盘块数。可用于检查用户对文件系统的使用情况。df 报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的使用和管理。ps 检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程,同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进 程的用户,未注销户头就关终端的用户,Unix安全检查(3),who 可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用 户的登录时间,登录终端。su 每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操 作信息,则表明了可能有人企图破译root口令。login 在一些系统中,login程序记录了无效的登录企图(若本系统的 login程序不做这项工作而系统中有login源程序,则应修改login)。每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表 明可能有人企图通过猜测登录名和口令,非法进入系统。,Unix安全检查(4),下载系统漏洞评估工具进行分析，如saint,sss,ISS system scanner等，一旦发现已知安全隐患，应尽快修正。利用MD5等工具对系统重要可执行程序、配置文件、文档进行签名，定期检查是否被改动。一旦发现改动，不要通过立即拔掉网线等方法切断系统和外部的联系，否则可能导致系统被毁。正确的做法是尽快通知领导、上级管理员或其他技术人员，商讨稳妥的解决方法，防止系统遭受毁灭性破坏。,Unix操作系统升级(1),补丁程序 旧版本的操作系统往往含有安全漏洞，而这些漏洞往往又是为网络黑客店所熟知的。为了系统的安全，应该使用最新版本的操作系统，并及时安装补丁程序。确保从供应商处及时获取最新的补丁程序并安装。有的补丁程序可能会更新系统的缺省设置。因此在安装新的补丁程序后，有必要重新检查系统的设置情况，例如一些文件的读写权限情况，以及一些重要的系统配置文件的内容等。,Unix操作系统升级(2),常见Unix操作系统补丁 SunHP Unix http:/Ultrixftp:/AIXftp:/,内容小结,UNIX/LINUX简介Unix安全问题分析Unix安全管理,谢 谢！,