CISP-UNIX系统安全.pptVIP

信息安全技术UNIX安全管理 议 程 UNIX基本安全知识 UNIX常见应用服务及其安全 Unix系统安全安装和设置 入侵防护与恢复 unix系统安全基本知识 UNIX综述 UNIX系统的安全模型 Unix 系统结构 文件系统基础 文件系统安全是UNIX系统安全的核心。 在UNIX中，所有的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络连接也是文件。 文件系统结构 文件系统结构 文件系统类型 正规文件：（A S C I I文本文件，二进制数据文件，二进制可执行文件等） 目录 特殊文件 链接 （硬链接、软链接） Sockets（进程间通信时使用的特殊文件） Unix文件系统的权限 Jack$ ls –l a.txt - rwxr-xr-x 3 jack root 1024 Sep 13 11:58 a.txt 12345678910 1:目录或文件（文件类型）， －普通文件,b块文件,c字符设备，d目录，l符号链接 234:用户rwx（所有者许可） 567:组rwx （组许可） 8910:其他rwx （其他人许可） 3:链接数 jack：用户 Root：组 1024：字节数 Sep 13 11:58：最后修改时间 a.txt：名字 Unix文件系统的权限 Chmod/chown/chgrp Suid：set-user-id，4000,使程序以所有者身份运行，而忽略实际执行该程序的用户身份。 Sgid:2000,使程序以所有者的组身份运行，而忽略实际执行该程序的用户的组。 Unix的密码系统 /etc/passwd ; /etc/shadow; /etc/master.passwd 用户密码的强度问题 Shell的控制 密码过期的优缺点 PAM认证系统 Unix的系统服务 /etc/inetd.conf /etc/service /etc/Rc*.d Unix常见应用服务及其安全防护 常见UNIX应用服务及其安全要点 DNS FTP TELNET SSH MAIL Web Samba DNS ?DNS （域名系统）适用于域名和IP地址之间的相互转换协议，BIND（Berkeley Internet Name Domain）则是Internet上应用最广泛的DNS服务器。 基本措施 安装或者升级到必威体育精装版的bind 划分DNS 禁止或限制DNS zone传输 关闭递归查询 设计备用DNS 限制动态更新 Chroot的DNS环境 FTP FTP（文件传输协议）适用于主机之间传输文件的协议，而Wuftp是Unix和Linux中应用最广泛的FTP后台程序; 了解那些FTP有安全问题proftp pre3 remote shell Proftp pre10 DoS Wuftp 2.4.18 Wuftp 2.5 Wuftp 2.6 Sun ftp core 所以说：从本质上讲FTP是不安全的！即使在加固之后！ FTP安全要点 使用必威体育精装版版本/ / 用ftpuser限制ftp用户ftpaccess控制用户行为，流量等，不允许root、bin和httpd用户进入FTP服务器。 ftp的chroot使用ssh或sftp代替ftp 改变服务器标识 如果允许匿名上传，则上传得文件必须是隐藏的，同时应该禁止下载上传得文件，否则，FTP服务器很有可能被入侵者利用。 TELNET telnet：用来登陆远程机器的明文协议；不安全的telnettelnet历史上的安全问题使用ssh代替telnet SSH：用于数据交换的安全协议，由于其通信是必威体育官网网址的，因此成为telnet、rlogin、FTP的替代品。 Ssh的安全问题 Ssh的其他作用 SSH SSH：用于数据交换的安全协议，由于其通信是必威体育官网网址的，因此成为telnet、rlogin、FTP的替代品。 确保禁用版本号为1的SSH协议，sshd_config文件必须含有以下命令行： Protocol2 不允许根用户通过SSH登陆服务器，确保sshd_config文件必须含有以下命令行： PermitRootLogin no SSH私钥文件只允许根用户读取。 MAIL Sendmail是Internet上最流行的MTA（邮件传输代理） 通过修改sendmail.cf文件改变SMTP的欢迎信息 ； 通过修改sendmail.cf文件编辑expn和vrfy命令，将其关闭； 检查/etc/mail/access内容，该文件包含可以通过sendmail进行中继的主机名，切勿添加不信任的主机名； 关闭relay的功能； 其他:邮件大小控制,黑名单… 由