unix系统安全课件.pptx

《unix系统安全课件.pptx》由会员分享，可在线阅读，更多相关《unix系统安全课件.pptx（139页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NISE安全技术工程师培训安全技术工程师培训UNIX系统安全系统安全课程目的课程目的了解UNIX系统的发展了解UNIX的启动原理和脆弱性掌握UNIX的基础使用掌握UNIX系统的安全配置掌握UNIX系统的异常分析及审计授课方式：讲解、演示、学员上机操作UNIXUNIX系统安全系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析Unix的起源与发展的起源与发展起源起源1969年年KenThompson，DennisRitchie发展发展V1(汇编汇编)、V4(C)、V6(大学大学)、V7分支分支SystemV(AT&T

2、)BSDSVR4OSF/1(OpenSoftwareFoundation)Unix的版本的版本SVRxAIX(SVR2及部分及部分BSD)HP-UXSCO(SVR3.2)XenixBSD*BSDSunSolaris(基于基于BSD，包含，包含SystemV)DEC(Ultrix)UNIX产品标准产品标准 UNIX产品 计算机 生产厂家SCOUNIXPC兼容机SCO公司XENIX PC兼容机微软,SCODigitalUnix DecAlpha机Digital公司SolarisSun工作站Sun公司AIXIBM机IBM公司Unix的发展历程的发展历程UNIXUNIX系统安全系统安全UNIX系统发展

3、历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析为什么介绍为什么介绍UNIX安全安全DOS/Windows3.xD1WindowsNT/Windows2000C1/C2多数商用多数商用Unix系统系统C1NovellC2部份强部份强Unix系统，如系统，如TrustsolarisC2-B1Linux/*BSD没有测评，通常认为在没有测评，通常认为在C1-C2新的测试标准是新的测试标准是CC为什么介绍为什么介绍UNIXUNIX安全安全TCPIP网的主要安全缺陷脆弱的认证机制容易被窃听和监视易受欺骗有缺陷的LAN服务和相互信任的主机复杂的

4、设置和控制基于主机的安全不易扩展为什么介绍为什么介绍UNIXUNIX安全安全黑客攻击的日益增长新技术应用中不断发现了新的安全漏洞新的服务未经过严格的安全测试就开始使用早期业务系统均采用UNIX系统大型重要业务大多数采用UNIX系统黑客攻击最早对象是UNIX系统各种UNIX系统的漏洞层出不穷为什么介绍为什么介绍UNIXUNIX安全安全按照可信计算机评价标准达到C2级访问控制对象的可用性个人身份标识与认证审计记录操作的可靠性UNIXUNIX系统安全系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIXUNIX系统

5、启动过程简介系统启动过程简介系统运行模式简介0 0 进入进入EPROMEPROM状态（状态（OKOK状态）状态）1 1 管理状态（所有文件系统都挂上的单用户模式，禁管理状态（所有文件系统都挂上的单用户模式，禁止其他用户登录）止其他用户登录）2 2 多用户模式（没有网络文件共享服务）多用户模式（没有网络文件共享服务）3 3 多用户模式（有网络文件共享服务）多用户模式（有网络文件共享服务）4 4 未使用未使用 5 5 退出操作系统并关机退出操作系统并关机6 6 重新启动机器重新启动机器 S,S,单用户模式单用户模式 Linux启动过程简介启动过程简介在Linux中，系统运行级别是并行式的，也就是系

6、统加载完内核和mount/文件系统之后，就会直接跳转到相应的默认运行级别。在Solaris中，采取了一种串行化的引导方式。UNIXUNIX系统启动过程简介系统启动过程简介SolarisSolaris的启动分为若干个运行级别的启动分为若干个运行级别(S,1-(S,1-6)6)，当系统内核运行完毕，加载好所有的，当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给驱动之后，就会把控制权移交给/sbin/init/sbin/init进程，也就是所有进程的父进进程，也就是所有进程的父进程，然后由程，然后由initinit读取读取/etc/inittab/etc/inittab，依次，依次执行执

7、行/etc/rc1(2,3)/etc/rc1(2,3)启动脚本，最终到达启动脚本，最终到达inittabinittab中指定的默认运行级别。中指定的默认运行级别。UNIXUNIX系统启动过程简介系统启动过程简介solaris系统启动过程系统启动过程Init0Init1Init2Init3init 0/openbootinit 0/openboot模式：引导内核，加载硬件驱动，模式：引导内核，加载硬件驱动，此时可以选择从此时可以选择从cdromcdrom引导进入维护模式。引导进入维护模式。init 1/init 1/单用户模式：单用户模式：（加载加载/分区分区)登陆进入维护登陆进入维护模式，或按

8、模式，或按Ctrl+DCtrl+D进入多用户模式进入多用户模式init 2/init 2/网络工作站模式：网络工作站模式：(连接网络，运行网络工连接网络，运行网络工作站服务作站服务)运行运行/etc/rc2/etc/rc2脚本连接网络，启动脚本连接网络，启动S69inetS69inet服务服务,运行部分运行部分inetdinetd网络服务网络服务init 3/init 3/网络服务器模式：网络服务器模式：(运行各种网络服务运行各种网络服务)运运行行/etc/rc3/etc/rc3脚本启动网络服务器脚本启动网络服务器Solaris的启动过程的启动过程引导引导(EEPROMOpenBoot)spa

9、rc(/platform/arch/kernel/unix)启动过程启动过程init的概念的概念init0openboot模式模式-(引导内核，加载硬件驱动引导内核，加载硬件驱动)可以选择从可以选择从cdrom引导进入维护模式引导进入维护模式|init1单用户模式单用户模式-(加载加载/分区分区)登陆进入维护模式，或按登陆进入维护模式，或按Ctrl+D进入多用户模式进入多用户模式|init2网络工作站模式网络工作站模式-(连接网络，运行网络工作站服务连接网络，运行网络工作站服务)运行运行/etc/rc2脚本连接网络脚本连接网络|-启动启动S69inet服务服务,运行部分运行部分inetd网络服

10、务网络服务|init3网络服务器模式网络服务器模式-(运行各种网络服务运行各种网络服务)运行运行/etc/rc3脚本启动网络服务器脚本启动网络服务器rc0.d和和rc1.d说明说明+代表必须服务，系统正常运行必须代表必须服务，系统正常运行必须=代表可选服务，由用户环境决定代表可选服务，由用户环境决定-代表无效，不必要，或不安全的服务代表无效，不必要，或不安全的服务initinittabrc0rc1rc2rc3rc5rc6rcSinit.dinit系统启动超级进程系统启动超级进程inittab进程启动配置文件进程启动配置文件rc0-rc6各启动级别的启动脚本各启动级别的启动脚本rcS单用户模式启

11、动脚本单用户模式启动脚本init.d启动脚本存放目录启动脚本存放目录rc0.d:eepromOpenBoot状态状态,可以进入硬件维护模式可以进入硬件维护模式,或关闭机器。或关闭机器。rc1.d:单用户模式，可以对系统进行软件维护。单用户模式，可以对系统进行软件维护。S01MOUNTFSYS+加载文件系统加载文件系统S10lu=当运行当运行liveupdate后清理系统后清理系统rc2.drc3.drc3.d:多用户模式，启动网络服务器模式多用户模式，启动网络服务器模式S15nfs.server-启动启动nfs服务器服务器,NFS网络文件服务器网络文件服务器S13kdc.master-启动启动

12、Kerberos服务器服务器S14kdc-启动启动Kerberos服务器服务器,Kerberos认证服务器认证服务器S16boot.server-启动启动bootp服务器服务器,boot网络启动服务网络启动服务S34dhcp=启动启动dhcp,DHCP服务器服务器S50apache-启动启动apache服务器服务器S76snmpdx-启动启动snmp服务器服务器,启动启动SNMP服务，允许远程网络管理服务，允许远程网络管理S77dmi-启动启动snmp-dmi服务服务,SNMP子服务子服务S89sshd+启动启动sshd服务器服务器,SSH服务器服务器S80mipagent-启动启动Mobil

13、eIP代理代理S90samba-启动启动samba服务器服务器,SambaCIFS网络文件服务器网络文件服务器Ps-ef启动过程看安全启动过程看安全OpenBoot安全级别none：不需要任何口令 command：除了boot和go之外所有命令都需要口令 full：除了go命令之外所有命令都需要口令。改变OpenBoot安全级别设置口令命令#eeprom security-password 改变安全级别为command#eeprom security-mode=commandUNIX用户登录过程用户登录过程1.用户打开终端电源（或运行telnet）。2.getty进程将登录提示信息送到用户终端

14、显示，并等待用户输入用户名。3.用户输入用户名。4.getty进程接收到用户名后，启动login进程。5.login进程要求用户输入口令。6.用户输入口令。7.login进程对username和password进行检查。8.login启动shell进程。9.shell进程根据/etc/password中的shell类型，启动相应的shell。并启动/etc/profile文件和$HOME/.profile文件（或$HOME/.login文件）。最后出现UNIX提示符，等待用户输入命令。UNIX用户登录过程用户登录过程打开终端打开终端-getty-login-sh-/etc/profile-$H

15、OME/.profile-出现提示符出现提示符$UNIXUNIX系统安全系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIX系统基础系统基础UNIX系统组成UNIX文件系统基础UNIX帐户管理基础UNIX口令基础UNIX系统组成系统组成UNIXKernel（UNIX内核）内核）是是UNIX操作系统的核心，指挥调度操作系统的核心，指挥调度UNIX机器的运行，直接控制计算机的资源，保护用户程序不受错综机器的运行，直接控制计算机的资源，保护用户程序不受错综复杂的硬件事件细节的影响。复杂的硬件事件细节的影响。UNI

16、XShell（UNIX外壳）外壳）是一个是一个UNIX的特殊程序，是的特殊程序，是UNIX内核内核和用户的接口，是和用户的接口，是UNIX的命令解释器、也是一种解释性高级语言。的命令解释器、也是一种解释性高级语言。UNIX文件系统文件系统UNIX文件系统结构文件系统结构UNIX帐户管理基础帐户管理基础UNIX帐户管理基础帐户管理基础useradd增加用户增加用户userdel删除用户删除用户usermod修改用户修改用户userls显示用户和系统登录信息显示用户和系统登录信息passwd修改用户口令修改用户口令groupadd增加用户组增加用户组groupdel删除用户组删除用户组groupm

17、od修改用户组修改用户组groupls显示用户组的属性显示用户组的属性只有root用户和授权用户才能对用户和用户组进行增加、修改、删除操作。Passwd文件剖析name:coded-passwd:UID:GID:user-info:home-directory:shell7个域中的每一个由冒号隔开。空格是不允许的，除非在user-info域中使用。.name给用户分配的用户名，这不是私有信息。.Coded-passwd经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（:*:）代替。该域通常不手工编辑。用户应该使用passwd命令修改他们的口令。.UID用户的唯一标识

18、号。习惯上，小于100的UID是为系统帐号保留的。帐号口令基础Passwd文件剖析（续）.GID用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。.User_info习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。.home-directory该域指明用户的起始目录，它是用户登录进入后的初始工作目录。.shell该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。帐号口令基础帐号口令基础UNIXUNIX帐号口令基础帐号口令基础/etc/shadow文件记录了系统用户的加密后口令记录了系统用

19、户的加密后口令loginID:passwd:lastchg:min:max:warn:inactive:expire:#more/etc/shadow root:LXeokt/C/oXtw:6445:daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:UNIXUNIX帐号口令基础帐号口令基础loginID 对应用户名 password 加密后的口令。LK表示锁定帐号，NP表示无口令lastchg 最后更改口令的日期与1970年1月1日之间相隔的天数min 改变口令需要最少的天数max 同一口令允许的最大天数warn 口令到

20、期时，提前通知用户的天数inactive 用户不使用帐号多少天禁用帐号expire 用户帐号过期的天数最后一个字段未用 UNIXUNIX系统安全系统安全UNIX系统发展历史为什么介绍UNIX系统安全UNIX系统的启动过程UNIX系统基础UNIX系统安全配置UNIX系统审计分析UNIX系统安全配置系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全异常检测和维护UNIX系统系统不安装多余组件停止不必要的服务打最新的补丁UNIX系统安全配置系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全UNIXUNIX系统系统帐号安全帐号安全

21、禁用和删除不必要的帐号简单的办法是在/etc/shadow的password域前加*。删除账号#userdel user1UNIXUNIX系统系统帐号安全帐号安全Root帐号安全性确保root只允许从控制台登陆 限制知道root口令的人数 使用强壮的密码 三个月或者当有人离开公司是就更改一次密码 使用普通用户登陆,用su取得root权限,而不是以root身份登录UNIXUNIX系统系统帐号安全帐号安全Root帐号安全性设置 umask 为077,在需要时再改回022 请使用全路径执行命令 不要允许有非root用户可写的目录存在root的路径里 修改/etc/securetty，去除终端ttyp

22、0-ttyp9，使root只能从console或者使用ssh登陆。UNIXUNIX系统系统帐号安全帐号安全多数UNIX系统:编辑编辑/etc/default/login/etc/default/login文件，添加文件，添加#CONSOLE=/dev/console#CONSOLE=/dev/console 禁止禁止rootroot远程远程FTPFTP登录登录在在/etc/etc/里加上里加上rootroot。linux下:编辑文件编辑文件/etc/pam.d/login/etc/pam.d/login，添加，添加/etc/pam.d/login auth required pam_secur

23、etty.so/etc/pam.d/login auth required pam_securetty.so禁止禁止root用户远程登录用户远程登录UNIX帐号口令安全帐号口令安全设置密码策略编辑编辑“/etc/login.defs”chage-lusernamechage-m最短周期最短周期-M最长周期最长周期-I口口令到期到被锁定的天数令到期到被锁定的天数-E到期日期到期日期-W口令到期之前开始警告口令到期之前开始警告的天数的天数usernameUNIX系统安全配置系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全Unix文件系统的安全文件系统的安全#l

24、s al testdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列模式位通常由一列10个字符来表示，每个字符表示个字符来表示，每个字符表示一个模式设置一个模式设置1:表示文件类型。表示文件类型。d表示目录，表示目录，-表示普通文件，表示普通文件，l表示链接文件等等表示链接文件等等每个文件和目录有三组权限，一组是文件的拥有者、每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。一组是文件所属组的成员、一组是其他所有用户。r表示可读，表示可读，w表示可写，表示可写，x表示可执行。一表示可执行。一共共9位位(每组每组3位

25、位)，合起来称为模式位，合起来称为模式位(modebits)Unix文件系统的安全文件系统的安全Chmod 改变文档或目录之属性。如改变文档或目录之属性。如#chmod 755 test#chmod 755 testChown改变文档或目录之拥有权改变文档或目录之拥有权#chownuser1file1;chown-R user1 dir1 chown-R user1 dir1 Chgrp改变文档或目录之群组拥有权改变文档或目录之群组拥有权#chgrpgroup1file1Unix文件系统的安全文件系统的安全SUID/SGIDSUID表示设置用户ID“;SGID表示设置组ID。当用户执行一个SU

26、ID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了重要的安全漏洞，特别是SUID设为root的程序。Unix文件系统的安全文件系统的安全SUID/SGID#find/-perm-04000-o-perm-02000-print find列出所有设置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。chmod a-s”移去相应文件的“s”位。Unix文件系统的安全文件系统的安全给口令文件和组文件设置不可改变位rootvenus#chattr+i/etc/passwdrootvenus#chatt

27、r+i/etc/shadowrootvenus#chattr+i/etc/group文件系统安全文件系统安全备份命令.cp虽然常用来拷贝单独一个文件，但cp（copy）命令支持一个递归选项（-R）来拷贝一个目录和它里面所有的文件和子目录。例如把mydir中所有内容拷贝到mydir2中：cp-R mydir mydir2。.tartar（TApe aRchiver）命令可以创建、把文件添加到或从一个tar档案（或“tar文件”）中解开文件。.cpio这个SVR4和GNU工具把文件拷贝进或拷贝出一个cpio或tar档案。与tar相似。文件系统安全文件系统安全Dump和RestoreDump（把整个

28、文件系统拷贝到备份介质上）-#dump0f0/dev/rst01500/dev/sd0a-把一个SCSI硬盘(/dev/rsd0a)以0级备份到磁带(/dev/rst0)。Restore（恢复整个文件系统或提取单个文件）练习练习将passwd文件去掉置S位将shadow文件设为不可改变位改变inittab文件的owner和组UNIX系统安全配置系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护启动网络参数设定启动网络参数设定设置/etc/init.d/inetinit文件在系统作为路由器的情况中执行#nddset/dev/ipip_forw

29、arding1关闭数据包转发#nddset/dev/ipip_forwarding0(或/etc/notrouter)忽略重定向数据包（否则有遭到DOS的隐患）#nddset/dev/ipip_ignore_redirects1启动网络参数设定启动网络参数设定不发送重定向数据包不发送重定向数据包#ndd set/dev/ip ip_send_redirects 0#ndd set/dev/ip ip_send_redirects 0 禁止转发定向广播禁止转发定向广播#ndd set/dev/ip#ndd set/dev/ip ip_forward_directed_broadcasts 0 i

30、p_forward_directed_broadcasts 0 禁止转发在数据源设置了路由的数据包禁止转发在数据源设置了路由的数据包#ndd set/dev/ip ip_forward_src_routed 0#ndd set/dev/ip ip_forward_src_routed 0ARP攻击防止攻击防止减少过期时间减少过期时间#nddset/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000默认是默认是300000毫秒（毫秒（5分钟）分钟）加快过期时间，并不能避免攻击，但是使得攻加快过期时间，

31、并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的击更加困难，带来的影响是在网络中会大量的出现出现ARP请求和回复请求和回复请不要在繁忙的网络上使用。请不要在繁忙的网络上使用。ARP攻击防止攻击防止建立静态建立静态ARP使用使用arpf加载如下文件加载如下文件08:00:20:ba:a1:08:00:20:ee:de:1f这是一种很有效的方法，而且对系统影响不这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态大。缺点是破坏了动态ARP协议协议禁止禁止ARPifconfiginterfacearp网卡不会发送网卡不会发送ARP和接受和接受ARP包。但是使用包。但是使用前提

32、是使用静态的前提是使用静态的ARP表，如果不在表，如果不在apr表中表中的计算机的计算机，将不能通信，将不能通信IP协议参数协议参数关闭关闭ip转发（或创建转发（或创建/etc/notrouter)nddset/dev/ipip_forwarding0关闭转发包广播关闭转发包广播由于在转发状态下默认是允许的，为了防止由于在转发状态下默认是允许的，为了防止被用来实施被用来实施smurf攻击，关闭这一特性。攻击，关闭这一特性。#nddset/dev/ipip-forward_directed_broadcasts0关闭源路由转发关闭源路由转发nddset/dev/ipip_forward_src_

33、routed0ICMP协议参数协议参数关闭响应关闭响应echo广播广播ndd set/dev/ip ndd set/dev/ip ip_respond_to_echo_boadcast 0ip_respond_to_echo_boadcast 0关闭响应时间戳广播关闭响应时间戳广播#ndd set/dev/ip#ndd set/dev/ip ip_respond_to_timestamp_broadcast 0ip_respond_to_timestamp_broadcast 0关闭地址掩码广播关闭地址掩码广播#ndd set/dev/ip#ndd set/dev/ip ip_respind_

34、to_address_mask_broadcast 0ip_respind_to_address_mask_broadcast 0防止防止ping在在/etc/rc.d/rc.local文件中增加如下一行：文件中增加如下一行：echo1/proc/sys/net/ipv4/icmp_echo_ignore_allICMP协议参数协议参数TCP协议参数协议参数Synflood（半开式连接攻击）SYNFLOOD原理请求方服务方-发送SYN消息回应SYN-ACKACKnddset/dev/tcptcp_conn_req_max_q04096默认连接数为1024连接耗尽攻击nddset/dev/tcp

35、tcp_conn_req_max_q1024默认连接数为128Su限制限制禁止任何人通过su命令改变为root用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文件（在/etc/pam.d/目录下）的开头添加下面两行：编辑su文件(vi/etc/pam.d/su)，在开头添加下面两行：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/Pam_wheel.sogroup=wheel这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户

36、添加到“wheel”组，以使它可以使用su命令成为root用户。隐藏系统信息隐藏系统信息编辑编辑“/etc/rc.d/rc.local”文件，注释下面的行。文件，注释下面的行。#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.#echo/etc/issue#echo$R/etc/issue#echoKernel$(uname-r)on$a$(uname-m)/etc/issue#cp-f/etc/issue/e

37、tc/#echo/etc/issue删除删除/etc目录下的目录下的“”和和issue文件：文件：rootkapil/#rm-f/etc/issuerootkapil/#rm-f/etc/UNIX系统安全配置系统安全配置UNIX系统基本安装配置帐号和口令安全文件系统安全其它安全配置网络服务安全日常异常检测和维护Unix的系统及网络服务的系统及网络服务/etc/inetd.conf/etc/inetd.conf/etc/inetd.conf决定决定inetdinetd启动网络服务时，启动哪些启动网络服务时，启动哪些服务，用什么命令启动这些服务，以及这些服务的相关服务，用什么命令启动这些服务，以及

38、这些服务的相关信息信息/etc/service/etc/services/etc/services文件记录一些常用的接口及其所提供的文件记录一些常用的接口及其所提供的服务的对应关系。服务的对应关系。/etc/protocols/etc/protocols/etc/protocols文件记录协议名及其端口的关系。文件记录协议名及其端口的关系。/etc/Rc*.d/etc/inittabinittab/etc/inittabinittab定义了系统缺省运行级别，系统定义了系统缺省运行级别，系统进入新运行级别需要做什么进入新运行级别需要做什么 Inetd服务服务#more/etc/inetd.con

39、f#more/etc/inetd.conf#systat stream tcp nowait root /usr/bin/ps#systat stream tcp nowait root /usr/bin/ps ps-efps-ef#系统进程监控服务，允许远程察看进程系统进程监控服务，允许远程察看进程#netstat stream tcp nowait root /usr/bin/netstat#netstat stream tcp nowait root /usr/bin/netstat netstat-f inetnetstat-f inet#网络状态监控服务，允许远程察看网络状态网络状态

40、监控服务，允许远程察看网络状态#time stream tcp6 nowait root internal#time stream tcp6 nowait root internal#time dgram udp6 wait root internal#time dgram udp6 wait root internal#网络时间服务，允许远程察看系统时间网络时间服务，允许远程察看系统时间#echo stream tcp6 nowait root internal#echo stream tcp6 nowait root internal#echo dgram udp6 wait root i

41、nternal#echo dgram udp6 wait root internal#网络测试服务，回显字符串网络测试服务，回显字符串Inetd服务服务#name dgram udp wait root /usr/sbin/in.tnamed#name dgram udp wait root /usr/sbin/in.tnamed in.tnamedin.tnamed#named#named，DNSDNS服务器服务器#telnet stream tcp6 nowait root /usr/sbin/in.telnetd#telnet stream tcp6 nowait root /usr/s

42、bin/in.telnetd in.telnetdin.telnetd#telnet#telnet服务器服务器#ftp stream tcp6 nowait root /usr/sbin/in.ftpd#ftp stream tcp6 nowait root /usr/sbin/in.ftpd in.ftpd-ain.ftpd-a#ftp#ftp服务器服务器/etc/servicesMore/etc/servicesMore/etc/services#Network services,Internet style#Network services,Internet style#tcpmux 1

43、/tcptcpmux 1/tcpecho 7/tcpecho 7/tcpecho 7/udpecho 7/udpdiscard 9/tcp sink nulldiscard 9/tcp sink nulldiscard 9/udp sink nulldiscard 9/udp sink nullsystat 11/tcp userssystat 11/tcp usersdaytime 13/tcpdaytime 13/tcpdaytime 13/udpdaytime 13/udpnetstat 15/tcpnetstat 15/tcpUnix系统服务安全系统服务安全在在inetd.confin

44、etd.conf中关闭不用的服务中关闭不用的服务#cp/etc/inet/inetd.conf#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak/etc/inet/inetd.conf.bak然后用然后用vivi编辑器编辑编辑器编辑inetd.confinetd.conf文件，文件，对于需要注释掉的服务在相应行开头标对于需要注释掉的服务在相应行开头标记记“#”“#”字符即可。字符即可。注注:服务在不需要时也可注释掉。服务在不需要时也可注释掉。Unix系统服务安全系统服务安全清理清理/etc/inet/inetd.conf/etc/inet/inetd

45、.conf 服务服务所有的所有的TCP/UDPTCP/UDP小服务小服务所有的调试服务所有的调试服务(echo(echo、discarddiscard、daytimedaytime、chargen)chargen)所以的所以的R R服务服务(rsh(rsh、rexerexe、rlogin)rlogin)几乎所有的几乎所有的RPCRPC服务服务使用必要的工具替换使用必要的工具替换telnet,ftptelnet,ftp重起重起inetdinetd服务服务#killall HUP inetd#killall HUP inetdUNIX网络服务安全网络服务安全DNSFTPTELNETMAILTcp_

46、wrapperDns(Bind)历史历史Bind最初在美国加利佛尼亚大学伯克利分最初在美国加利佛尼亚大学伯克利分校实现在校实现在4.3FSBUNIX机上。机上。有两种版本有两种版本BIND4、BIND8都是免费版本都是免费版本BIND8是新版的是新版的BIND4已停止除安全补丁程序外的开发。已停止除安全补丁程序外的开发。已移植到已移植到Unix、linux、winnt、os/2上。上。两种版本在书写格式上不同。两种版本在书写格式上不同。BINDBIND主要配置文件主要配置文件named配置文件/etc/named.boot（bind4)/etc/named.conf(bind8)DNS数据文件

47、正向解析文件反向解析文件Db.cache文件解析装置文件/etc/resolv.conf/etc/named.conf/etc/named.conf 举例举例#more/etc/named.confoptions options directory/var/named;directory/var/named;zone.in zone.in type hint;type hint;file db.cache;file db.cache;/etc/named.conf/etc/named.conf 举例举例zone“ in zone“ in type master;type master;file

48、“.zone;file“.zone;zone 0.3.10.in-addr.arpa in zone 0.3.10.in-addr.arpa in type master;type master;file“.rev;file“.rev;DNSDNS服务器的常见攻击方法服务器的常见攻击方法地址欺骗远程漏洞入侵拒绝服务地址欺骗地址欺骗DNSDNS服务器的拒绝服务攻击服务器的拒绝服务攻击针对DNS服务器软件本身利用DNS服务器作为中间的“攻击放大器”，去攻击其它intetnet上的主机BindBind服务器安全配置服务器安全配置基本安全配置Bind服务器的访问控制设置chroot运行环境Bind服务

49、器安全配置基本安全配置隐藏版本信息在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。例如：versionWhoknows?;/version9.9.9;此时如果通过DNS服务查询BIND版本号时，返回的信息就是Whoknows?。BindBind服务器安全配置服务器安全配置基本安全配置named进程启动选项-r：关闭域名服务器的递归查询功能（缺省为打开）。该选项可在配置文件的options中使用recursion选项覆盖。-u 和-g：定义域名服务器运行时所使用的UID和GID,这用于丢弃启动时所需要的root特权。-t：指定当服务器进程处理完命令行参数后所要

50、chroot()的目录。BindBind服务器安全配置服务器安全配置Bind服务器的访问控制:限制查询限制区域传输关闭递归查询Bind服务器安全配置/etc/named.confoptions directory “/var/named”;allow-query 202.96.44.0/24;allow-transfer 192.168.100.1;202.96.44.0/24;recursion no;Bind服务器安全配置及时更新安装bind的最新版本FTPFTP有安全问题有安全问题proremoteshellProDoSWuWuWuSunFtp安全要点安全要点使用最新版本使用最新版本 2