linux第10章(系統(tǒng)安全)

《linux第10章(系統(tǒng)安全)》由會員分享，可在線閱讀，更多相關(guān)《linux第10章(系統(tǒng)安全)（38頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,Linux操作系統(tǒng)實(shí)訓(xùn)教程,主講人 劉曉輝,第10章 Linux系統(tǒng)安全,本章要點(diǎn),常見攻擊類型,Linux系統(tǒng)安全策略,網(wǎng)絡(luò)服務(wù)安全,腳本安全,使用Snort進(jìn)行入侵檢測,網(wǎng)絡(luò)防火墻,10.1 常見的攻擊類型,10.1.1 掃描,10.1.2 嗅探,10.1.3 木馬,10.1.4 病毒,幾種常見的攻擊方式，包括端口掃描、嗅探、種植木馬、傳播病毒等等。,10.1.1 掃描,1.什么是掃描器,2.工作原理,3.掃描器能干什么,4.常用的端口掃描技術(shù),（1）TCP connect()掃描,（2）TCP SYN

2、掃描,（3）TCP FIN掃描,（4）IP段掃描,（5）TCP反向ident掃描,（6）FTP返回攻擊,10.1.2 嗅探,1.嗅探原理,2.嗅探造成的危害,竊取用戶名和密碼,捕獲專用或機(jī)密信息,竊取高級訪問權(quán)限,窺探低級的協(xié)議信息,3.常見的嗅探器,Tcpdump/Windump,Sniffit,Ettercap,Snarp,4.嗅探特征,網(wǎng)絡(luò)通信丟包率反常,網(wǎng)絡(luò)帶寬出現(xiàn)反常,5.嗅探對策,及時打補(bǔ)丁,本機(jī)監(jiān)控,監(jiān)控本地局域網(wǎng)的數(shù)據(jù)幀,對敏感數(shù)據(jù)加密,使用安全的拓樸結(jié)構(gòu),10.1.3 木馬,提示,網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機(jī)提供服務(wù)（服務(wù)器），另一臺主機(jī)接受服務(wù)（客戶機(jī)）。作為服務(wù)器的

3、主機(jī)一般會打開一個默認(rèn)的端口并進(jìn)行監(jiān)聽，如果有客戶機(jī)向服務(wù)器的這一端口提出連接請求，服務(wù)器上的相應(yīng)程序就會自動運(yùn)行，來應(yīng)答客戶機(jī)的請求，這個程序稱為守護(hù)進(jìn)程。對于特洛伊木馬，被控制端就成為一臺服務(wù)器，控制端則是一臺客戶機(jī)。,10.1.4 病毒,1.可執(zhí)行文件型病毒,2.蠕蟲（worm）病毒,3.腳本病毒,4.后門程序,10.2 Linux系統(tǒng)安全策略,10.2.1 分區(qū)安全,10.2.2 系統(tǒng)引導(dǎo)安全,10.2.3 賬號安全,10.2.4 密碼安全,10.2.5 系統(tǒng)日志,系統(tǒng)安全包括分區(qū)安全、系統(tǒng)引導(dǎo)安全、賬號安全、密碼安全等,10.2.1 分區(qū)安全,修改/etc/fstab,提示,各個單獨(dú)

4、分區(qū)的磁盤空間大小應(yīng)充分考慮，避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰。,10.2.3 賬號安全,使用su命令,刪除用戶,修改文件屬性,10.2.4 密碼安全,1.強(qiáng)制密碼設(shè)置規(guī)范,2.密碼數(shù)據(jù)庫的保護(hù)手段,提示,系統(tǒng)管理員可以采取各種策略來確保密碼安全。但首先要讓用戶們明白密碼安全的重要性，同時制定密碼策略來強(qiáng)制密碼設(shè)置規(guī)范。這包括確定可接受的密碼設(shè)置要求、更換密碼的時限、密碼需要包含多少字符等等。系統(tǒng)管理員還可以運(yùn)行檢測工具來查找密碼數(shù)據(jù)庫的安全漏洞。,10.2.5 系統(tǒng)日志,1.基本日志命令的使用,2.使用Syslog設(shè)備,連接時間日志,進(jìn)程統(tǒng)計,錯誤日志,連接時間日志和錯誤日志,查

5、看錯誤日志,連結(jié)時間日志,所有位置,2.使用Syslog設(shè)備,記錄郵件信息,到一個文件中,存儲日志,并設(shè)置級別,2.使用Syslog設(shè)備,將日志發(fā)送到郵箱,將消息傳送至messages,提示,在有些情況下，可以把日志送到打印機(jī)，這樣網(wǎng)絡(luò)入侵者怎么修改日志都不能清除入侵的痕跡。因此，syslog設(shè)備是一個攻擊者的顯著目標(biāo)，破壞了它將會使用戶很難發(fā)現(xiàn)入侵以及入侵的痕跡，因此要特別注意保護(hù)其守護(hù)進(jìn)程以及配置文件。,10.3 網(wǎng)絡(luò)服務(wù)安全,10.3.1 iptables,10.3.2 TCP Wrappers,10.3.3 xinetd,10.3.4 常見網(wǎng)絡(luò)服務(wù)的安全問題,網(wǎng)絡(luò)服務(wù)安全包括：ipta

6、bles、TCP Wrappers、xinetd及其他常見網(wǎng)絡(luò)服務(wù)安全。,10.3.1 iptables,1.iptables基礎(chǔ),2.簡單iptable管理,1.iptables基礎(chǔ),用man查看iptables幫助信息,GNOME進(jìn)入安全級別設(shè)置,提示,基于瀏覽器界面的服務(wù)器管理系統(tǒng)Webmin也具備iptable的管理能力。甚至有些Linux的發(fā)布版本的整個目的就是為了提供一個iptable的GUI前臺、一定的配置功能、合理健全的默認(rèn)配置、路由服務(wù)配置界面的整合以及其他常用的網(wǎng)絡(luò)防火墻設(shè)備的功能。,2.簡單iptable管理,（1）備份,（2）恢復(fù),（3）安全設(shè)置,修改內(nèi)核變量,修改腳本

7、,（1）備份,進(jìn)行設(shè)置,執(zhí)行“iptables-L”命令,（1）備份,存儲iptables設(shè)置,（2）恢復(fù) 和（3）安全設(shè)置,恢復(fù)設(shè)置,修改network腳本,10.3.2 TCP Wrappers,1.Tcp Wrappers的功能,2.Tcp Wrappers的配置,查看tcp_wrappers具體,信息的文件所有位置,配置,hosts.allow,10.3.3 xinetd,xinetd服務(wù)配置,10.3.4 常見網(wǎng)絡(luò)服務(wù)的安全問題,1.WuFTPD,2.Telnet,3.Sendmail,4.su,5.named,10.4 腳本安全,10.4.1 處理用戶輸入,10.4.2 注意隱式輸

8、入,腳本就是運(yùn)行在網(wǎng)頁服務(wù)器上的文本程序，例如：ASP、PHP、CGI、JSP、ISAP等，腳本攻擊就是利用這些文件的設(shè)置和編寫時的錯誤或疏忽，進(jìn)行攻擊的，如果一個服務(wù)器存在這些漏洞，那么它就很容易被攻破。這些文本文件一般都是要結(jié)合數(shù)據(jù)庫來使用的，這些數(shù)據(jù)庫有Access、MsSQL、MySQL、Oracle等。,10.5 使用Snort進(jìn)行入侵檢測,10.5.1 入侵檢測系統(tǒng)簡介,10.5.2 snort介紹,10.5.3 安裝Snort,10.5.4 使用Snort,10.5.5 配置snort規(guī)則,10.5.6 編寫Snort規(guī)則,10.5.7 snort規(guī)則應(yīng)用舉例,入侵檢測和使用網(wǎng)絡(luò)

9、防火墻，正是安全防范的兩大措施。,10.5.1 入侵檢測系統(tǒng)簡介,1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),2.基于主機(jī)的入侵檢測系統(tǒng),3.混合式入侵檢測系統(tǒng),4.文件完整性檢查工具,10.5.2 snort介紹,1.snort是一個輕量級的入侵檢測系統(tǒng),2.snort的可移植性很好,3.snort的功能非常強(qiáng)大,10.5.3 安裝Snort,1.獲得snort,Snort下載地址：http:/www.snort.org,2.安裝snort,1.獲得snort,下載snort,壓縮包,下載libpcap,庫壓縮包,2.安裝snort,（1）解壓libpcap包和snort包,（2）編譯libpcap庫,（3

10、）安裝snort,（4）編譯snort,鼠標(biāo)右鍵解壓,執(zhí)行./configure命令,10.5.4 使用Snort,1.作為嗅探器,2.記錄數(shù)據(jù)包,3.作為入侵檢測系統(tǒng),查看snort用法,提示,Snort命令的各個參數(shù)可以分開寫或任意結(jié)合在一塊。例如，./snort-d-v-e 和./snort-vde 的效果是完全相同的。,2.記錄數(shù)據(jù)包,使用-vde參數(shù),記錄數(shù)據(jù)包,2.記錄數(shù)據(jù)包,執(zhí)行“snort l/log-b”,3.作為入侵檢測系統(tǒng),snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS），使用下面的命令行可以啟動這種模式：,提示,如果用戶想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。,10.5.5 配置snort規(guī)則,pass：放行數(shù)據(jù)包,log：把數(shù)據(jù)包記錄到日志文件,alert：產(chǎn)生報警消息并日志數(shù)據(jù)包,10.6 動手實(shí)踐,安裝snort并用snort進(jìn)行入侵檢測,（1）下載,（2）安裝,