信息安全竞赛培训-UNIX安全管理-无logo课件.ppt

1、 UNIXUNIX安全管理培训安全管理培训主要内容 UNIXUNIX的发展史的发展史 UNIX（solaris)启动过程简介 文件系统安全 系统帐号安全 日志文件系统 系统及网络服务 UNIX其它方面的安全配置 LINUX方面的安全配置Unix发展历史系统安全:安全度量度量标准：Trusted Computer System Evaluation Criteria(1985)目前常用美国国防部系统所制定的Trusted Computer System Evaluation Criteria(1985)系统安全程度的七个等级：(D1(D1、C1C1、C2C2、B1B1、B2B2、B3B3、A1)

2、A1)UNIX系统的安全特征按照可信计算机评价标准(TCSEC)达到C2C2级 访问控制 个人身份标识与认证 审计记录 操作的可靠性主要内容 UNIX的发展史 UNIXUNIX（solarissolaris)启动过程简介启动过程简介 文件系统安全 系统帐号安全 日志文件系统 系统及网络服务 UNIX其它方面的安全配置 LINUX方面的安全配置UNIX系统启动过程简介（1）系统运行模式简介 0 进入PROM状态（stop+A进入OK状态）1 管理状态（所有文件系统都挂上的单用户模式，禁止其他用户登录）2 多用户模式（没有网络文件共享服务）3 多用户模式（有网络文件共享服务）4 未使用 5 退出操

3、作系统并关机 6 重新启动机器 S,s 单用户模式 UNIX系统启动过程简介（2）solaris的启动过程 系统自检、显示系统信息、读取启动设备的0扇区、在启动设备寻找启动程序、加载启动程序、启动内核、当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给/sbinsbin/init/init进程，也就是所有进程的父进程，然后由init读取/etc/inittab，依次执行/etc/rc1(2,3)启动脚本，最终到达inittab中指定的默认运行级别。UNIX系统启动过程简介（3）solaris系统在多用户模式下的启动过程 Init 0 Init 1 Init 2 Init 3 init

4、 0/openboot模式：引导内核，加载硬件驱动，此时可以选择从cdrom引导进入维护模式。init 1/单用户模式：（加载/分区)登陆进入维护模式，或按Ctrl+D进入多用户模式 init 2/网络工作站模式：(连接网络，运行网络工作站服务)运行/etc/rc2脚本连接网络，启动S69inet服务,运行部分inetd网络服务 init 3/网络服务器模式：(运行各种网络服务)运行/etc/rc3脚本启动网络服务器Linux启动过程简介启动过程类似于UNIX，但在但在LinuxLinux中，系统运行级中，系统运行级别是并行式的别是并行式的，也就是系统加载完内核和mount/文件系统之后，就会

5、直接跳转到相应的默认运行级别。在SolarisSolaris中，采取了一种串行化的引导方式中，采取了一种串行化的引导方式。物理安全保护硬件环境；保护硬件；关闭不用的接口：并行口、串行、红外或USB；设置开机口令；严格限制对系统的物理存储；安装操作系统时应该在非生产的网络中，或放置在断开的网络中；使用第二系统来接收厂商提供的升级报或补丁程序.PROM openBoot OpenBoot安全级别 none：不需要任何口令 command：除了boot和go之外所有命令都需要口令 full：除了go命令之外所有命令都需要口令。改变OpenBoot安全级别 设置口令命令#eeprom security

6、-password 改变安全级别为command#eeprom security-mode=command AIX系统的自动加载文件系统AIX可在启动时自动加载文件系统信息：需要加载的信息存放在/etc/filesystems mount-t nf 加载所有在/ect/filesystems中定义type=nfs的文件系统 显示已加载的文件系统及状态：df-v,mount 主要内容 UNIX的发展史 UNIX（solaris)启动过程简介 文件系统安全文件系统安全 系统帐号安全 日志文件系统 系统及网络服务 UNIX其它方面的安全配置 LINUX方面的安全配置UNIX文件系统文件系统基础文件系

7、统的目录结构文件系统类型文件系统基础文件系统安全是UNIX系统安全的核心。在在UNIXUNIX中，所有的事物都是文件中，所有的事物都是文件。用户数据的集合是文件，目录、进程、命令、设备、甚至网络连接也是文件。文件系统的目录结构（1）/根文件系统，用于存储系统内核，启动管理和其他文件系统的装载点。/opt目录包含第三方应用软件。/export目录一般包含用于NFS共享的目录。/export/home目录包含用户的个人主目录。/var 存储经常发生变化的文件，如邮件，日志等。/usr 第二个文件系统。基本上是和系统核心无关但又属于操作系统的一部分的一个目录，大多数的应用程序 交换分区（Swap S

8、pace）/bin 系统启动时需要的一些通用可执行程序。/cdrom 光盘驱动器的装载点。文件系统的目录结构（2）/modules 内核可装载模块。/root root用户的工作目录。/proc 进程文件系统，存储指向当前活动进程的虚拟内存的伪文件/sbin 系统可执行文件。/dev 设备入口点。在UNIX系统上，每个设备都作为一个文件来看待，这里放着所有系统能够用到的各个设备 /etc 各种配置文件。非常重要的一个目录，所有的配置文件（你可以看成是windows的注册表）包括用户密码文档等存放在这里/mnt 软盘等其他文件系统的装载点。文件系统类型正规文件正规文件：（ASCII文本文件，二进

9、制数据文件，二进制可执行文件等）目录目录特殊文件特殊文件(如块设备文件等）链接链接 （软链接、硬链接）SocketsSockets（进程间通信时使用的特殊文件，以.sock结尾）Unix文件系统的权限（1）#ls al test drwxr-xr-x 3 root root 1024 Sep 13 11:58 test 在UNIX中用模式位表示文件的类型及权限，通常由一列10个字符来表示，每个字符表示一个模式设置 第1位:表示文件类型。d表示目录，-表示普通文件，l表示链接文件等等 每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所一组是文件的拥有者、一组是文件所属组的成员、一组是其他

10、所有用户属组的成员、一组是其他所有用户。第2-10位：表示文件权限 r表示可读，w表示可写，x表示可执行。一共9位(每组3位)，合起来称为模式位(mode bits)Unix文件系统的权限（2）chmod 改变文档或目录之属性。如#chmod 755 test chown 改变文档或目录之拥有权#chown user1 file1 chgrp 改变文档或目录之群组拥有权#chgrp group1 file1Unix文件系统的权限（3）SUID/SGID 这是网络入侵者非常爱用的入侵入口。SUID表示“设置用户ID”；SGID表示“设置组ID”。当用户执行一个SUID文件时，用户ID在程序运行过

11、程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了重要的安全漏洞，特别是SUID设为root的程序。Unix文件系统的权限（4）无论何时执行任何程序，它都会创建具有四个 ID 编号的进程，这四个编号分别是：真正的用户ID 和有效的用户 ID（ruid 和 euid）以及真正的组 ID 和有效的组 ID（rgid 和 egid）。通常，这些 ID 对是完全相同的。但是，运行 setuid 或 setgid 程序会将进程的 euid 或 egid 从与属主关联的 ID 更改为对象的 ID。所衍生的进程从对象获得其属性，从而授予用户与程序属主和组相同的访问

12、权限。如果打开 setuid 位，则进程的权限将设置为文件属主的权限。如果打开 setgid 位，则进程的权限将设置为文件组的权限。如果 setuid 和 setgid 位均未打开，则进程的权限不会变化。一种特别危险的情况是，如果使用 setuid 将程序设置为 root，用户将获得 root 可用的所有权限。这是很危险的，因为在这种情况下，使用程序的方式可能会破坏系统安全。在较小范围内，此问题在其他 setuid 和 setgid 情况下也存在。Unix文件系统的权限（5）Solaris系统中，可执行文件和公共目录可以使用三种特殊类型的权限：setuid、setgid 和sticky 位。设

13、置这些权限之后，运行可执行文件的任何用户都应采用该可执行文件属主（或组）的ID。对可执行文件设置setuid 权限时，将对运行该文件的进程授予基于文件属主的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限，用户可以访问通常只有属主才可访问的文件和目录。setgid 权限与setuid 权限类似。可将进程的有效组ID(group ID,GID)更改为拥有该文件的组，并基于授予该组的权限对用户授权访问权限。sticky 位是保护目录中文件的权限位。如果对目录设置了sticky 位，则只有文件属主、目录属主或特权用户才可以删除文件。root 用户和主管理员角色即是特权用户。sti

14、cky 位禁止用户从公共目录（如/tmp）中删除其他用户的文件。Unix文件系统的权限（6）如何如何识别SUID程序？检查文件的权限模式，在它的第四位如果不是第四位如果不是“x”x”，而是而是“s”s”，就是一个就是一个SUIDSUID程序程序。如：#ls-al/bin/su-rwsr-xr-x 1 root root 14888 Aug 15 1999/bin/su 应该定期察看系统中有哪些SUID和SGID文件#find/-type f(-perm-4000-o-perm-2000)ls注意：2000 2000 setgidsetgid4000 4000 setuidsetuid 出于安全

15、原因，HP-UX 内核通常会忽略脚本中的 setuid 和 setgid 位。通过更改可调参数secure_sid_scripts，可以放宽此规则，但强烈建议不要更改此可调参数的缺省值。SUID设置错误举例（1）查看文件vi的权限#ls-al ping-r-xr-xr-x 5 root bin 201516 11 4 2002 vi 修改SUID#chmod u+s/bin/ping#ls al vi-r-sr-xr-x 5 root bin 201516 11 4 2002 viSUID设置错误举例（2）以普通用户身份登录$ping192.168.13.1(ping置S位前）SUID设置错误

16、举例（3）以普通用户身份登录$ping192.168.13.1(ping置S位后）基于角色的访问控制(RBAC)简介 基于角色的访问控制基于角色的访问控制(Role-based access control,RBAC)(Role-based access control,RBAC)是一种安全功能，用于控制用户访问那些通常仅限于超级用户访问的任务。通过对进程和用户应用安全属性，RBAC 可以在多个管理员之间划分超级用户的功能。进程权利管理通过权限实现。用户权利管理通过RBAC实现。三种建议角色：主管理员等效于root 用户或超级用户的功能强大的角色。系统管理员用于执行与安全性无关的管理任务的角色

17、，其功能相对较弱。此角色可以管理文件系统、邮件以及软件安装，但是不能设置口令。操作员用于执行备份和打印机管理等操作的初级管理员角色。超级用户模型可以与RBAC 模型共存。HP-UX RBAC 的基本功能HP-UX 专用的预定义配置文件，便于轻松快速部署通过 Plugable Authentication Module(PAM)实现灵活的重新身份验证，支持基于每条命令的限制集成 HP-UX 审核系统，以便生成单个统一的审核记录用于定制访问控制决策的可插拔体系结构主要内容 UNIX的发展史 UNIX（solaris)启动过程简介 文件系统安全 系统帐号安全系统帐号安全 日志文件系统 系统及网络服务

18、 UNIX其它方面的安全配置 LINUX方面的安全配置UNIX系统帐号安全因素口令安全口令安全帐号安全帐号安全系统帐号的安全加固系统帐号的安全加固UNIX系统帐号安全（1）禁用的口令 不要选择简单字母序列组成的口令（例如“qwerty”或“abcdef”）。不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。不要选择一个包含用户名或相似内容的口令。不要选择一个短于6个字符或仅包含字母或数字的口令。不要选择一个所有字母都是小写或大写字母的口令。不要选择一个被作为口令范例公布的口令。UNIX系统帐号安全（2）强壮的口

19、令推荐 选择一个至少有10个字符长度的口令。选择一个包含非字母字符的口令，包括数字和特殊字符，如!$%&*()_-+=|:;,.?/。选择一个容易记住而不必写下来的口令。选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识别出键入的字符。禁止写下口令UNIX系统帐号安全（3）Passwd文件剖析#more/etc/passwdname:coded-passwd:UID:GID:user-info:home-dir:shell7个域中的每一个由冒号隔开。name给用户分配的用户名。Coded-passwd经过加密的用户口令/隐藏的口令。UID用户的唯一标识号。习惯上，小于100的UID是为系统

20、帐号保留的。GID用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。User_info习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。home-directory该域指明用户的起始目录，它是用户登录进入后的初始工作目录。shell该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false/bin/false值，这将阻止用户登录值，这将阻止用户登录。UNIX系统帐号安全（4）shadow文件剖析 记录了系统用户的加密后口令 格式:loginID:passwd:lastchg:min:max:warn:inactive:

21、expire:loginID 对应用户名 password 加密后的口令。LKLK表示锁定帐号，表示锁定帐号，NPNP表示无口令表示无口令 lastchg 最后更改口令的日期与与19701970年年1 1月月1 1日之间相隔的天数日之间相隔的天数 min 改变口令需要最少的天数 max 同一口令允许的最大天数 warn 口令到期时，提前通知用户的天数 inactive 用户不使用帐号多少天禁用帐号 expire 用户帐号过期的天数 最后一个字段未用UNIX系统帐号安全（5）-缺省账号UNIX系统帐号安全（6）-禁用账号简单的办法是在/etc/shadow的password域中放上NP字符。删除

22、账号#userdel user1UNIX系统帐号安全（7）-rootroot账号安全账号安全 确保root只允许从控制台登陆 限制知道root口令的人数 使用强壮的密码 三个月或者当有人离开公司是就更改一次密码 使用普通用户登陆,用su取得root权限,而不是以root身份登录 设置 umask 为077,在需要时再改回022 请使用全路径执行命令 不要允许有非root用户可写的目录存在root的路径里 修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。UNIX系统帐号安全（8）-禁止禁止rootroot远程登录远程登录多数UN

23、IX系统:编辑/etc/default/login文件，添加#CONSOLE=/dev/console 禁止root远程FTP登录 在/etc/ftpusers里加上root。linux下:编辑文件/etc/pam.d/login，添加/etc/pam.d/login auth required pam_securetty.soAIX的用户安全策略AIX的每个用户有唯一的用户名、用户ID和口令，文件属主取决于用户ID；root可以更改文件属主；系统缺省root为超级用户；系统用户adm、sys、bin不允许登录；需要共享同一类文件的用户可以归入同一个组；最常用的组有两个，system为管理员组

24、，staff为普通用户组。AIX系统安全性的基本原则是：用户被赋予唯一的用户名、用户ID（UID）和口令。用户登录后，对文件访问的合法性取决于UID。AIX用户安全配置文件/etc/passwd中包含合法用户（不含口令）/etc/group中包含合法组；/etc/security/etc/security中包含普通用户无权访问的安全性文件中包含普通用户无权访问的安全性文件；/etc/security/passwd中包含用户口令；/etc/security/user中包含用户属性、口令约束等；/etc/security/limits中包含用户使用资源限制；/etc/security/enviro

25、n中包含用户环境设置；/etc/security/login.cfg中包含登录设置；/etc/security/group中包含组的属性。AIX用户环境的合法性检查 pwdckpwdck验证本机认证信息的合法性，检查/etc/passwd和/etc/security/passwd的一致性，以及与/etc/security/login.cfg和/etc/security/user的一致性；usrckusrck验证用户定义的合法性，检查/etc/passwd、/etc/security/user、/etc/security/limits和/etc/security/passwd中的用户信息，同时也

26、检查/etc/group和/etc/security/group，以保证数据的一致性。grpckgrpck验证组的合法性，检查/etc/group、/etc/security/group和/etc/security/user之间的数据一致性。主要内容 UNIX的发展史 UNIX（solaris)启动过程简介 文件系统安全 系统帐号安全 日志文件系统日志文件系统 系统及网络服务 UNIX其它方面的安全配置 LINUX方面的安全配置日志文件系统（1）日志文件说明日志文件系统（2）连接时间日志有关当前登录用户的信息记录在文件utmp中；登录进入和退出记录在文件wtmp中；数据交换、关机和重启也记录在

27、wtmp文件中。最后一次登录在文件lastlog中。所有的记录都包含时间戳。日志文件系统（3）基于utmp/wtmp的命令who命令w命令users命令last命令lastb命令ac命令日志文件系统（4）who命令who命令查询utmp文件并报告当前每个登录的用户。日志文件系统（5）w命令w命令查询utmp文件并显示当前系统中每个用户和他所运行的进程信息。标题栏显示当前时间、系统已运行了多长时间、当前有多少用户登录以及过去1、5和15分钟内的系统平均负载。日志文件系统（6）users命令users命令用单独一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会

28、话，那他的用户名将显示相同的次数。$usersalice carol dave bob日志文件系统（7）last命令last命令往回搜索wtmp来显示自从文件第一次创建后登录过的用户。它还报告终端类型和日期。日志文件系统（8）ac命令ac命令根据当前/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时）。如果不使用标志，则报告总的时间。$actotal 136.25“-d”标志产生每天的总的连接时间。“-p”标志报告每个用户的总的连接时间日志文件系统（9）syslog日志syslog设备重要元素/etc/syslogd（守护程序）(solaris下在/usr/sbin/s

29、yslogd)/etc/syslog.conf（配置文件）/var/adm或/var/log 多数syslog信息被写到上述目录下的信息文件中。日志文件系统（10）UNIX的log系统/etc/syslog.conf*.err;kern.notice;auth.notice /dev/console*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages*.alert;kern.err;daemon.err operator*.alert root*.emerg *mail.debug ifdef(LOGHOST,/var/log/s

30、yslog,loghost)ifdef(LOGHOST,user.err /dev/consoleuser.err /var/adm/messagesuser.alert root,operatoruser.emerg *)syslog.conf的格式如下设备.行为级别；设备.行为级别 记录行为注意各栏之间用Tab来分隔，用空格是无效的日志文件系统（11）log系统中的设备日志文件系统（12）log系统中的行为级别日志文件系统（13）程序日志sulog:系统为su保持一个日志：/var/adm/sulog；httpd日志/var/apache/access-logSolaris系统auditd

31、守护进程的基本功能 auditd 守护进程可打开和关闭audit_control 文件内指定的目录中的审计文件。这些文件将按顺序打开。auditd 守护进程可装入一个或多个插件。Sun 提供了两个插件。/lib/security/audit_binfile.so.1 插件可将二进制审计数据写入文件。/lib/security/audit_syslog.so.1 插件可将审计记录的文本摘要发送到syslogd 守护进程。auditd 守护进程可使用auditd 插件从内核读取审计数据并输出此数据。auditd 守护进程可执行audit_warn 脚本来发出有关配置错误的警告。binfile.so

32、.1 插件可执行audit_warn 脚本。此脚本在缺省情况下将警告发送到audit_warn 电子邮件别名以及控制台。syslog.so.1 插件无法执行audit_warn 脚本。缺省情况下，当所有的审计目录已满时，生成审计记录的进程便会暂停。此外，auditd守护进程可将消息写入控制台以及audit_warn 电子邮件别名。此时，只有系统管理员才可以修复审计服务。管理员可以登录以将审计文件写入脱机介质、从系统中删除审计文件，以及执行其他清除任务。AIX系统的可信计算库（TCB）简介 可信计算库（Trusted Computing Base，TCB）是负责强制系统范围信息安全策略的系统的一

33、部分。通过安装和使用TCB，可以定义对可信通信路径的用户访问，这将允许用户和TCB间的安全通信。只有在安装操作系统时，才启用TCB功能。要在已安装的机器上安装TCB，必须执行“保留”安装。如果在初始安装过程中未选择 TCB 选项，tcbck 命令将被禁用。只有通过启用 TCB 选项来重新安装系统才可以使用该命令。启用TCB允许您访问可信shell、可信进程以及“安全注意键”（SAK）。TCB 包含全部计算机硬件。TCB 监视/dev 目录中的每个文件。另外，TCB 自动监视超过 600 个附加文件，把这些文件的关键信息存储在/etc/security/sysck.cfg 文件中。如果正在安装

34、TCB，安装以后立即把该文件备份到可移动的介质中，例如磁带、CD 或磁盘，并把介质存储在安全的地方。AIX系统的可信计算库（TCB）的审计 使用tcbck 命令审计“可信计算库”的安全状态。tcbck 命令通过读取/etc/security/sysck.cfg 文件审计该信息。该文件包含所有 TCB 文件、配置文件和可信命令的描述。tcbck 命令通常用于执行以下操作：确保安全性相关文件的恰当安装 确保文件系统树不包含明显违反系统安全性的文件 更新、添加或删除可信文件 安装 TCB 和使用 tcbck 命令不能保证不能保证系统在符合受控访问保护概要文件（CAPP）和评估保证级别 4+（EAL4

35、+）的方式下运行。AIX系统的内核审计可设置为BIN或STREAM方式以定义内核审计跟踪要写入哪里。可以编辑审计子系统的配置文件/etc/security/audit/config来更改所用模式。示例1：Solaris中如何监视失败的登录尝试？承担主管理员角色，或成为超级用户。在/var/adm 目录中创建loginlog 文件。#touch/var/adm/loginlog 在loginlog 文件中，为root 用户设置读写权限。#chmod 600/var/adm/loginlog 在loginlog 文件中，将组成员关系更改为sys。#chgrp sys/var/adm/loginlo

36、g 检验日志是否正常工作。例如，使用错误的口令五次登录系统。然后，显示/var/adm/loginlog 文件。示例2：Solaris系统如何启用审计功能？成为超级用户并使系统进入单用户模式；%suPassword:#init S 运行启用审计服务的脚本：转至/etc/security 目录，并在其中执行bsmconv 脚本；#cd/etc/security#./bsmconv 进入多用户模式，启动文件/etc/security/audit_startup 使auditd 守护进程在系统进入多用户模式时自动运行。审计策略确定本地主机审计记录的特征。启用审计后，/etc/security/aud

37、it_startup文件的内容将确定审计策略。#init 6主要内容 UNIX的发展史 UNIX（solaris)启动过程简介 文件系统安全 系统帐号安全 日志文件系统 系统及网络服务系统及网络服务 UNIX其它方面的安全配置 LINUX方面的安全配置一些重要的配置文件说明/etc/inetd.conf/etc/inetd.conf决定inetd启动网络服务时，启动哪些服务，用什么命令启动这些服务，以及这些服务的相关信息 /etc/service/etc/services文件记录一些常用的接口及其所提供的服务的对应关系。/etc/protocols/etc/protocols文件记录协议名及其

38、端口的关系。/etc/Rc*.d/etc/inittab定义了系统缺省运行级别，系统进入新运行级别需要做什么 /etc/init.d/etc/init.d目录包含了系统的一些启动脚本inetd服务/etc/inetd.conf文件#systat stream tcp nowait root /usr/bin/ps ps-ef#系统进程监控服务，允许远程察看进程#netstat stream tcp nowait root /usr/bin/netstat netstat-f inet#网络状态监控服务，允许远程察看网络状态#time stream tcp6 nowait root intern

39、al#time dgram udp6 wait root internal#网络时间服务，允许远程察看系统时间#echo stream tcp6 nowait root internal#echo dgram udp6 wait root internal#网络测试服务，回显字符串#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed#named，DNS服务器#telnet stream tcp6 nowait root /usr/sbin/in.telnetd in.telnetd#telnet服务器#ftp stream tcp6 n

40、owait root /usr/sbin/in.ftpd in.ftpd-a#ftp服务器/etc/services文件#Network services,Internet style#tcpmux 1/tcpecho 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcp usersdaytime 13/tcpdaytime 13/udpnetstat 15/tcpchargen 19/tcp ttytst sourcechargen 19/udp ttytst sourceftp-data 20/

41、tcpftp 21/tcpssh 22/tcp#Secure Shelltelnet 23/tcpsmtp 25/tcp mailtime 37/tcp timservertime 37/udp timservername 42/udp nameserverdomain 53/udpdomain 53/tcpUnix系统服务安全（1）在inetd.conf中关闭不用的服务#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak 然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记“#”字符即可。Ftp和Telnet服务在不需要

42、时也可注释掉。在AIX系统中还可以通过编辑/etc/services、/etc/rc.tcpip、/etc/rc.*或/etc/inittab来关闭服务。Unix系统服务安全（2）清理/etc/inet/inetd.conf服务 所有的TCP/UDP小服务 所有的调试服务(echo、discard、daytime、chargen)所以的R服务(rsh、rexe、rlogin)几乎所有的RPC服务 使用必要的工具替换telnet、ftp 重起inetd服务#ps ef|grep inetd#kill HUP inetd_进程号Unix系统服务安全（3）在services中关闭不用的服务#cp/e

43、tc/inet/services/etc/inet/services.bak 然后用vi编辑器编辑services文件，对于需要注释掉的服务在相应行开头标记“#”字符即可。#ps-ef|grep inetd#kill-HUP 进程号 在AIX系统中，可通过netstat af inet命令来识别每种网络服务的状态，然后通过上述方法关闭不必要的服务与端口。Unix系统服务安全（4）重启服务的命令1 Solaris系统psps-efef|grepgrep process_idprocess_id kill-9 kill-9 process_idprocess_id /usr/sbin/usr/sb

44、in/process_deamonprocess_deamon svcadmsvcadm start start process_deamonprocess_deamon AIXAIX系统系统stopsrcstopsrc-s-s process_deamonprocess_deamon startsrcstartsrc-s-s process_deamonprocess_deamon refresh-srefresh-s process_deamonprocess_deamon HP-UXHP-UX系统系统psps efef|grepgrep process_idprocess_id kill

45、-9 kill-9 process_idprocess_id kill-HUP cat/kill-HUP cat/varvar/run/run/process_idprocess_idUnix系统服务安全（5）重启服务的命令2RedHat Linux系统 service process_deamonprocess_deamon stop|start|restartDebian Linux系统/etc/init.d/process_deamonprocess_deamon stop|start|restart减少过期时间#ndd set/dev/arp arp_cleanup_interval

46、60000#ndd -set/dev/ip ip_ire_flush_interval 60000 默认是300000毫秒（5分钟）加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复 请不要在繁忙的网络上使用。ARP攻击加固（1）ARP攻击加固（2）建立静态ARP 编辑文件filename，内容如下： 08:00:20:ba:a1:f2 08:00:20:ee:de:1f这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议 使用arp f filename加载上述文件禁止ARP ifconfig interface arp 网卡

47、不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机，将不能通信。IP加固（1）关闭ip转发（或创建/etc/notrouter)ndd set/dev/ip ip_forwarding 0关闭转发包广播 由于转发包广播在默认状态下是允许的，为了防止被用来实施smurf攻击，关闭这一特性。(参见cert-98.01)#ndd set/dev/ip ip-forward_directed_broadcasts 0关闭源路由转发ndd set/dev/ip ip_forward_src_routed 0IP加固（2）关闭响应echo广播ndd set/dev/

48、ip ip_respond_to_echo_broadcast 0关闭响应时间戳广播#ndd set/dev/ip ip_respond_to_timestamp_broadcast 0关闭地址掩码广播#ndd set/dev/ip ip_respind_to_address_mask_broadcast 0ICMP加固防止ping 在/etc/rc.d/rc.local文件中增加如下一行：echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all TCP加固 Synflood（半开式连接攻击）SYNFLOOD原理请求方 服务方 -发送 SYN消息 回应 SYN

49、-ACK ACK ndd set/dev/tcp tcp_conn_req_max_q0 4096 默认连接数为1024 连接耗尽攻击 ndd set/dev/tcp tcp_conn_req_max_q 1024 默认连接数为128Tcp_wrapper简介 TCP Wrappers 是一种对使用/etc/inetd.sec 的替换方法。TCP Wrappers 提供防止主机名和主机地址欺骗的保护。TCP Wrappers 使用访问控制列表(ACL)来防止欺骗。ACL 是/etc/hosts.allow 和/etc/hosts.deny 文件中的系统列表。可以针对其他安全功能配置/etc/h

50、osts.allow 和/etc/hosts.deny 文件，例如陷阱设置和标题消息。通过 TCP Wrappers 的陷阱设置功能，可以根据被拒绝的远程主机的连接尝试的数量，在主机上触发相应的操作。当访问控制文件中包含了 ACL 规则时，标题消息功能将会导致向客户端发送一条消息。TCP Wrappers 不能通过 TCP 使用远程过程调用(RPC)。这些服务在/etc/inetd.conf 文件中被注册为 rpc 或 tcp。受该限制影响的唯一重要的服务是 rexd，该服务由 on 命令使用。Tcp_wrapper配置文件 Tcp_wrapper在inetd接到客户请求时启动，具有存取管理启