Linux 系统安全

　　Linux 系统安全讲座
　　
　　---------------
　　大纲
　　
　　* 注:
　　授课内容主要以<>为主□
　　再配以网页资料为副。
　　---------------
　　
　　网路安全层次
　　网路
　　服务
　　系统
　　
　　系统安全
　　物理保安
　　地理防御
　　门禁制度
　　社交工程 P2-13
　　机房保护
　　机柜
　　主机
　　电源
　　键盘
　　荧幕
　　开机保护
　　钥匙
　　电源按钮
　　BIOS
　　启动设备:
　　硬碟
　　软碟
　　光碟
　　OS Loader
　　LILO P8-2
　　GRUB info grub (参考范例一)
　　
　　开机程式 (run level & rc) P7-1
　　系统登录
　　Login
　　PAM P1-20
　　ls /usr/share/doc/pam-0.75/
　　Limit more /etc/security/limits.conf
　　Nologin touch /etc/nologin
　　Consol vs remote more /etc/securetty
　　L istfile (参考范例二)
　　帐号管理
　　帐号名称和 UID P1-5
　　群组 P2-2~P2-7
　　帐号密码 P2-12
　　Crack / John
　　shadow P1-11
　　chage info change
　　usermod info usermod
　　gpasswd info gpasswd
　　权限管理
　　ugo & rwx P3-8
　　档案 vs 目录 x ?
　　木马与病毒 root or non-root?
　　SUID & SGID & Sticky Bit P4-2
　　档案 vs 目录
　　侦查技巧 P4-4
　　su vs sudo
　　su 缺失 passwd? privilege?
　　sudoers 设计 info sudoers
　　档案属性 P4-8
　　appand only
　　read only
　　档案系统设计
　　file type P3-2
　　inode & block P3-6
　　http://www.study-area.org/linux/system/linux_fs.htm#fstab
　　mount point
　　quota http://www.study-area.org/linux/system/linux_fs.htm#fquota
　　read only /usr/bin /usr/sbin...
　　no dev /home
　　no suid / no sgid
　　no exec
　　安全下载
　　信任网站 rpmfind, sourceforge...
　　GPG 签章 *.sign
　　MD5 checksum info md5sum
　　软体测试
　　执行码
　　生成档
　　连线/生成封包
　　源码追踪
　　入侵侦测
　　异常行为
　　多余连线
　　记录档残缺
　　档案替换
　　档案权限改变
　　隐藏档
　　拥有者变更
　　suid / sgid
　　设备档
　　工具:
　　chkrootkit
　　http://linux.tnc.edu.tw/techdoc/check-rootkit-by-u-self.htm
　　tripwire
　　http://www.study-area.org/tips/tripwire.htm
　　tiger
　　ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU
　　日志保护
　　延增属性 chattr +a
　　存取权限 (root only)
　　size 控制 logrotate
　　http://www.study-area.org/linux/system/linux_conf.htm#log
　　真实性 (防止修改) @central / printer
　　记录分析
　　工具:
　　logcheck
　　logwatch
　　资料备份
　　原始备份
　　系统备份 vs 资料备份
　　完整备份 vs 差异备份
　　http://www.study-area.org/linux/system/linux_conf.htm#backup
　　备份媒体 & 保存
　　备份抽样 tar, cpio/apio
　　灾后复原
　　风险评估
　　容错等级
　　复原程度
　　容错方案/设备:
　　连线:
　　redundent connection
　　load balance
　　cluster
　　内容:
　　RAIDS
　　SAN & NAS
　　Mirror & rsync
　　修补 P14-3
　　版本选择
　　最安全版本□ ftp://linux.sinica.edu.tw/
　　更新 mirror / APT / rhn
　　测试
　　
　　------------
　　网路安全
　　安全资讯
　　网站
　　http://www.cert.org.tw
　　http://www.vtcif.telstra.com.au/info/security.html
　　http://www.redhat.com/apps/support/errata/
　　wu-ftp
　　zlib
　　UW imap
　　openssh
　　ssnldap
　　.....
　　http://www.securityfocus.com/
　　http://safe.ip-market.com/
　　讨论群组/新闻组
　　news:comp.security.announce
　　Mail List / 技术论坛
　　[email protected]
　　[email protected]
　　杂志
　　服务程式漏洞与修补
　　服务程式数量 P12-3
　　集中 vs 分散
　　版本更新 wu-ftp, bind, sendmail
　　测试
　　chroot 技巧
　　使用时机
　　可行软体
　　http://www.study-area.org/tips/dns_chr.htm
　　困难点
　　tcpwrapper 之应用
　　Compile time vs run time
　　Supper daemon vs tcp_wrapper P15-2
　　Inetd vs xinetd P11-2
　　hosts.allow vs hosts.deny P15-9
　　services * 附录一
　　防火墙和 NAT
　　防火墙种类
　　proxy vs filtering P16-1 / P17-1
　　防火墙工作原理
　　http://www.study-area.org/network/network_fw.htm
　　基础知识
　　http://www.study-area.org/linux/servers/linux_nat.htm
　　防火墙规则设计
　　ACL vs state list
　　NAT 之应用场合
　　NAT 种类
　　SNAT vs DNAT
　　Statice vs Dynamic
　　http://www.study-area.org/tips/NAT-HOWTO/NAT-HOWTO-chn-3.html
　　网路架构之设计与部署
　　信任网路 vs 非信任网路
　　DMZ 应用
　　物理区隔
　　Protocol Switching
　　常见攻击方法
　　DoS
　　Ping of death P13-2
　　Syn Flood P13-6
　　其他 P13-8
　　因应 P13-9
　　自我攻击测试
　　netstat
　　http://www.study-area.org/linux/servers/linux_net.htm#network
　　nmap P25-8
　　portsentry / snort
　　-------------
　　资讯加密
　　明文 vs 密文
　　荧幕显示 vs 封包内容
　　http://www.study-area.org/network/network_enscp.htm
　　窃听技巧与防范
　　窃听前提 packet?
　　窃听工具
　　tcpdump
　　sniffit
　　拦截点 routing ?
　　Hub vs Swtich CSMA/CD?
　　加密手段和原理
　　加密原理
　　原始加密方法
　　http://www.study-area.org/network/network_enscp.htm
　　演算法
　　技术专利
　　加密技术
　　对称密钥 vs 非对称密钥
　　http://www.study-area.org/network/network_enscp.htm
　　美国之出口限制
　　电子签章
　　纸张 vs 电子
　　可确认性/非抵赖性
　　电子交易之现况与将来
　　安全连连线
　　ssl & ssh
　　破解成本
　　http://www.study-area.org/tips/security.htm
　　(http://www.nchu.edu.tw/trnc/90-2/firewall.ppt)
　　ssh 工作原理
　　http://www.study-area.org/tips/security.htm
　　vpn 之建置
　　VPN 原理
　　应用场合
　　VPN 方案:
　　ssh
　　vpnd
　　http://www.study-area.org/tips/vpn.htm
　　ipsec P21-3
　　网路设计 vs 实作技术 subnet/routing?
　　
　　实作参考
　　安全的伺服器环境(1)
　　http://safe.ip-market.com/article.php?sid=5
　　确保Linux安全的十招
　　http://safe.ip-market.com/article.php?sid=26
　　Linux安全设置手册(转贴)
　　http://phorum.study-area.org/viewtopic.php?t=5080&highlight=time-out%3D00
　　
　　---------------
　　
　　* 范例一: GRUB 密码保护
　　
　　1) 输入 grub 进入其中产生 MD5 密码:
　　grub> md5crypt
　　Password: **********
　　Encrypted: $1$U$JK7xFegdxWH6VuppCUSIb.
　　** 完成后请用滑鼠左键将密码选取，并输入 quit 退出 grub 。
　　
　　2) 修改 /etc/grub.conf 进行密码保护设定:
　　password --md5 $1$U$JK7xFegdxWH6VuppCUSIb.
　　** 请用滑鼠中键将密码贴上。
　　title Red Hat Linux 7.3 (2.4.18-3)
　　lock
　　root (hd0,1)
　　kernel /vmlinuz-2.4.18-3 ro root=/dev/hda12
　　initrd /initrd-2.4.18-3.img
　　
　　3) 在开机的时候输入 p 和密码。
　　
　　
　　* 范例二: PAM 之 listfile (ssh)
　　
　　1) 参考 ftp 之现成设定:
　　grep listfile /etc/pam.d/ftp
　　
　　2) 模仿之并在 ssh 中设定:
　　vi /etc/pam.d/sshd
　　在前面加入:
　　auth required /lib/security/pam_listfile.so item=user \
　　sense=deny file=/etc/sshusers onerr=succeed
　　
　　
　　---------------
　　附录一: 系统服务建议
　　finger 强烈建议关闭
　　ftp 如果不需要□尽量关闭。尤其 anonymous 更应关闭。
　　gopher 关闭
　　imap 如果不需要□尽量关闭。
　　pop2 关闭
　　pop3 如果不需要□尽量关闭。
　　talk 关闭
　　ntalk 关闭
　　telnet 如果不需要□尽量关闭。请以 ssh 取代之。
　　uucp 关闭
　　
　　samba 只对内部开放
　　nfs/nis 只对内部开放
　　r-command 尽量关闭□以 ssh 取代。
　　x-protoco