腾讯内部培训资料-Linux操作系统安全配置.pdf

《腾讯内部培训资料-Linux操作系统安全配置.pdf》由会员分享，可在线阅读，更多相关《腾讯内部培训资料-Linux操作系统安全配置.pdf（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Linux操作系统安全配置 安全中心信息安全 Coolcyang 2005.3 内容提要 Who Why What How 总结总结 WhoWho 本培训针对的人群 维护主机的管理员 想加强自身team/部门主机安全的管理者 网络安全技术有兴趣的同事 WhyWhy 管 理 技 术 WhyWhy（技术层面技术层面）安 全 的 脆 弱 点 WhyWhy（技术层面技术层面）WhyWhy（技术层面技术层面）常见的黑客手段 WhyWhy（技术层面技术层面）WhyWhy（技术层面技术层面）问题一 10分钟用您的智慧挑战黑客 您听说或知晓的黑客攻击手段？黑客拿到服务器权限会有哪些危害？针对这些攻击您是否有好

2、的解决方案？按攻击方法分类 远程获得权限攻击 本地超越权限攻击 拒绝服务攻击 远程获得最高权限 远程获得普通访问权 DOS DDOS 程序设计缺陷 本地权限非正常提升 入 侵 行 为 分 类 WhyWhy（技术层面技术层面）攻击手法和入侵者技术趋势攻击手法和入侵者技术趋势 高高 低低 1980 1985 1990 1995 2000 密码猜测密码猜测 可自动复制的代码可自动复制的代码 密码破解密码破解 利用已知的漏洞利用已知的漏洞 破坏审计系统破坏审计系统 后门后门 回话劫持回话劫持 擦除痕迹擦除痕迹 嗅探嗅探 包欺骗包欺骗 GUI远程控制远程控制 自动探测扫描自动探测扫描 拒绝服务拒绝服务

3、www 攻击攻击(注入注入,垮站脚本垮站脚本)工具工具 攻击者攻击者 入侵者入侵者 技术技术 攻击手法攻击手法 半开放隐蔽扫描半开放隐蔽扫描 控制台入侵控制台入侵 检测网络管理检测网络管理 DDOS 攻击攻击 WhyWhy（技术层面技术层面）踩点踩点 攻击攻击 扫描扫描 清除日志清除日志 隐藏隐藏&后门后门 扩大战果扩大战果 发掘阶段 拓展阶段 映射阶段 勘查阶段 WhyWhy（技术层面技术层面）踩点踩点 攻击攻击 扫描扫描 清除日志清除日志 隐藏隐藏&后门后门 扩大战果扩大战果 通过nmap.SSS等扫描器扫描漏洞。利用所取得的权限清除日志，种植木马。通过某个服务的漏洞，溢出取得权限。通过t

4、elnet 80端口等形式查询信息，定位目标 WhyWhy（技术层面技术层面）WhyWhy（技术层面技术层面）一次渗透攻击的演示 WhyWhy（技术层面技术层面）踩点 WhyWhy（技术层面技术层面）扫描 WhyWhy（技术层面技术层面）攻击 清 除 日 志 rootvictim log#grep v the.hack.ip.from secure secure.tmp root victim log#mv secure.tmp secure root victim log#chmod 700 secure WhyWhy（技术层面技术层面）隐藏&后门 一个简单的rootkit:PS 1、mv

5、ps psbak 2、cat ps#!/bin/sh psbak$1|grep-v sniff|grep-v grep|grep-v psbak|gawk gsub(/sh/bin/,$0);print ctrl+d 3、chmod 755 ps WhyWhy（技术层面技术层面）扩大战果 使用john破解软件 使用Sniff类监听器捕获敏感数据 安装Dos软件攻击其他主机 利用此服务器的信任关系进行内网攻击 释放蠕虫和病毒 WhyWhy（技术层面技术层面）最小安装、关闭非要服务 访问控制和审计 保持最新的安全更新 屏蔽敏感信息 WhyWhy（技术层面技术层面）踩点踩点 隐藏隐藏&后门后门 攻击

6、攻击 扫描扫描 扩大战果扩大战果 清除日志清除日志 WhyWhy（管理层面管理层面）风险不是独立存在的 攻击有蔓延性 单一的安全手段不能保护系统的安全 木桶理论 木桶理论 WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）安全补丁更新 Kernel更新 升级避免Kernel内核漏洞 Slackware自带包更新 http:/slackware.it/en/pb/Slackware更新补丁的命令 WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问

7、控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）敏感信息保护 屏蔽banner信息&版本信息 删除默认帐户 删除默认目录 WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）最小化安全原则 关闭不必要的服务&包 包最小化 安全母盘 安装系统时使用专家模式自行定制 Pkgtools进行包管理 不安装X相关的软件 不安装GAME软件 不安装不使用的开发工具 服务最小化 安装时采取白名单仅安装需要套件 通过netstat anp检查开放端口进行验证

8、端口扫描，并根据公司高危端口相关规定检测 通过绑定内网屏蔽外部风险 通过IPTABLES进行包过滤设置 WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）访问控制 chmod Setuid&Setgid umask chattr WhatWhat（技术层面技术层面）访问控制 Chmod 禁止其他人对root可能运行的脚本有写权限。Setuid&Setgid 去除所有不必要的S位程序。Umask 最小化权限回收 Chattr Chattr设置隐蔽的访问控制规则 WhatWhat（

9、技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）防DOS配置 专业网络设备 网络上ACL 主机TCP/IP栈调整 WhatWhat（技术层面技术层面）开启LINUX自带syn-flood抵御机制进行防护。echo 1 /proc/sys/net/ipv4/tcp_syncookies 使用tcp_bic算法 echo 1 /proc/sys/net/ipv4/tcp_bic 设置开始建立一个tcp会话时，重试发送synack连接请求包的次数 echo 3 /proc/sys/net/ipv4/

10、tcp_synack_retries 增大默认队列连接数增大默认队列连接数 sysctl w net.ipv4.tcp_max_syn_backlog=1280 状态机参数 echo 365536 /proc/sys/net/ipv4/ip_conntrack_max sysctl-w filter.ip_conntrack_tcp_timeout_syn_recv=13 sysctl-w filter.ip_conntrack_tcp_timeout_fin_wait=60 sysctl-w filter.ip_conntrack_tcp_timeout_time_wait=60 WhatW

11、hat（技术层面技术层面）开启SYN-COOKIE sydctl w net.ipv4.tcp_syn_cookies=1 设置开始建立一个tcp会话时，重试发送syn连接请求包的次数 echo 3 /proc/sys/net/ipv4/tcp_syn_retries 放置IP路由欺骗转发 echo 1 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/conf/default/rp_filter 等待对方FIN包的超时时间 echo 30 /proc/sys/net/ipv4/tcp_fin_timeout 内存中

12、保持IP片断的时间 echo 15 /proc/sys/net/ipv4/ipfrag_time 遭遇DOS时不允许ping被DOS主机 echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 能够更快地回收TIME-WAIT套接字。Slackware默认是0。建议为1开启 echo 1/proc/sys/net/ipv4/tcp_tw_recycle WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）完整性检验 Tripware Aide

13、自己的简单checksum 日志维护和保护 WhatWhat（技术层面技术层面）安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 WhatWhat（技术层面技术层面）日志维护和保护 Linux系统的日志文件 /var/log/wtmp /var/log/debug*/var/log/dmesg*/var/log/messages*/var/log/secure*/var/log/syslog*对日志文件的保护 Chattr+ai 日志文件（wtmp不可）Syslog 日志文件传送 WhatWhat（技术层面技术层面）日常安全维护 日常检查项目日常检

14、查项目 工具工具 异常登陆 last 完整性检验 aide 异常进程、端口、帐户 netstat、lsof、/etc/shadow 日志审计 wtmp/var/log/*流量审计 、tcpdump WhatWhat（管理层面管理层面）腾讯安全扫描的高危端口及服务定义 slackware 服务器安全检查规范 slackware 服务器安全配置规范 S HowHow 技术问题 实际应用的复杂性 易用性与安全性整合 回退方案工具准备 对业务应用熟悉 工程问题 时间进度安排 分布实施及实施决策筛选 应急备案 总结-后期展望 管理层管理层 应用层应用层 系统层系统层 网络层网络层 硬件层硬件层 总结 攻击和防守永远是此消彼长的一个动态过程；因此安全也需要大家共同参与，不断完善加强 谢谢！