Linux 系统安全讲座
---------------
大纲
* 注:
授课内容主要以<>为主□
再配以网页资料为副。
---------------
网路安全层次
网路
服务
系统
系统安全
物理保安
地理防御
门禁制度
社交工程 P2-13
机房保护
机柜
主机
电源
键盘
荧幕
开机保护
钥匙
电源按钮
BIOS
启动设备:
硬碟
软碟
光碟
OS Loader
LILO P8-2
GRUB info grub (参考范例一)
开机程式 (run level & rc) P7-1
系统登录
Login
PAM P1-20
ls /usr/share/doc/pam-0.75/
Limit more /etc/security/limits.conf
Nologin touch /etc/nologin
Consol vs remote more /etc/securetty
L istfile (参考范例二)
帐号管理
帐号名称和 UID P1-5
群组 P2-2~P2-7
帐号密码 P2-12
Crack / John
shadow P1-11
chage info change
usermod info usermod
gpasswd info gpasswd
权限管理
ugo & rwx P3-8
档案 vs 目录 x ?
木马与病毒 root or non-root?
SUID & SGID & Sticky Bit P4-2
档案 vs 目录
侦查技巧 P4-4
su vs sudo
su 缺失 passwd? privilege?
sudoers 设计 info sudoers
档案属性 P4-8
appand only
read only
档案系统设计
file type P3-2
inode & block P3-6
http://www.study-area.org/linux/system/linux_fs.htm#fstab
mount point
quota http://www.study-area.org/linux/system/linux_fs.htm#fquota
read only /usr/bin /usr/sbin...
no dev /home
no suid / no sgid
no exec
安全下载
信任网站 rpmfind, sourceforge...
GPG 签章 *.sign
MD5 checksum info md5sum
软体测试
执行码
生成档
连线/生成封包
源码追踪
入侵侦测
异常行为
多余连线
记录档残缺
档案替换
档案权限改变
隐藏档
拥有者变更
suid / sgid
设备档
工具:
chkrootkit
http://linux.tnc.edu.tw/techdoc/check-rootkit-by-u-self.htm
tripwire
http://www.study-area.org/tips/tripwire.htm
tiger
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU
日志保护
延增属性 chattr +a
存取权限 (root only)
size 控制 logrotate
http://www.study-area.org/linux/system/linux_conf.htm#log
真实性 (防止修改) @central / printer
记录分析
工具:
logcheck
logwatch
资料备份
原始备份
系统备份 vs 资料备份
完整备份 vs 差异备份
http://www.study-area.org/linux/system/linux_conf.htm#backup
备份媒体 & 保存
备份抽样 tar, cpio/apio
灾后复原
风险评估
容错等级
复原程度
容错方案/设备:
连线:
redundent connection
load balance
cluster
内容:
RAIDS
SAN & NAS
Mirror & rsync
修补 P14-3
版本选择
最安全版本□ ftp://linux.sinica.edu.tw/
更新 mirror / APT / rhn
测试
------------
网路安全
安全资讯
网站
http://www.cert.org.tw
http://www.vtcif.telstra.com.au/info/security.html
http://www.redhat.com/apps/support/errata/
wu-ftp
zlib
UW imap
openssh
ssnldap
.....
http://www.securityfocus.com/
http://safe.ip-market.com/
讨论群组/新闻组
news:comp.security.announce
Mail List / 技术论坛
[email protected] [email protected] 杂志
服务程式漏洞与修补
服务程式数量 P12-3
集中 vs 分散
版本更新 wu-ftp, bind, sendmail
测试
chroot 技巧
使用时机
可行软体
http://www.study-area.org/tips/dns_chr.htm
困难点
tcpwrapper 之应用
Compile time vs run time
Supper daemon vs tcp_wrapper P15-2
Inetd vs xinetd P11-2
hosts.allow vs hosts.deny P15-9
services * 附录一
防火墙和 NAT
防火墙种类
proxy vs filtering P16-1 / P17-1
防火墙工作原理
http://www.study-area.org/network/network_fw.htm
基础知识
http://www.study-area.org/linux/servers/linux_nat.htm
防火墙规则设计
ACL vs state list
NAT 之应用场合
NAT 种类
SNAT vs DNAT
Statice vs Dynamic
http://www.study-area.org/tips/NAT-HOWTO/NAT-HOWTO-chn-3.html
网路架构之设计与部署
信任网路 vs 非信任网路
DMZ 应用
物理区隔
Protocol Switching
常见攻击方法
DoS
Ping of death P13-2
Syn Flood P13-6
其他 P13-8
因应 P13-9
自我攻击测试
netstat
http://www.study-area.org/linux/servers/linux_net.htm#network
nmap P25-8
portsentry / snort
-------------
资讯加密
明文 vs 密文
荧幕显示 vs 封包内容
http://www.study-area.org/network/network_enscp.htm
窃听技巧与防范
窃听前提 packet?
窃听工具
tcpdump
sniffit
拦截点 routing ?
Hub vs Swtich CSMA/CD?
加密手段和原理
加密原理
原始加密方法
http://www.study-area.org/network/network_enscp.htm
演算法
技术专利
加密技术
对称密钥 vs 非对称密钥
http://www.study-area.org/network/network_enscp.htm
美国之出口限制
电子签章
纸张 vs 电子
可确认性/非抵赖性
电子交易之现况与将来
安全连连线
ssl & ssh
破解成本
http://www.study-area.org/tips/security.htm
(http://www.nchu.edu.tw/trnc/90-2/firewall.ppt)
ssh 工作原理
http://www.study-area.org/tips/security.htm
vpn 之建置
VPN 原理
应用场合
VPN 方案:
ssh
vpnd
http://www.study-area.org/tips/vpn.htm
ipsec P21-3
网路设计 vs 实作技术 subnet/routing?
实作参考
安全的伺服器环境(1)
http://safe.ip-market.com/article.php?sid=5
确保Linux安全的十招
http://safe.ip-market.com/article.php?sid=26
Linux安全设置手册(转贴)
http://phorum.study-area.org/viewtopic.php?t=5080&highlight=time-out%3D00
---------------
* 范例一: GRUB 密码保护
1) 输入 grub 进入其中产生 MD5 密码:
grub> md5crypt
Password: **********
Encrypted: $1$U$JK7xFegdxWH6VuppCUSIb.
** 完成后请用滑鼠左键将密码选取,并输入 quit 退出 grub 。
2) 修改 /etc/grub.conf 进行密码保护设定:
password --md5 $1$U$JK7xFegdxWH6VuppCUSIb.
** 请用滑鼠中键将密码贴上。
title Red Hat Linux 7.3 (2.4.18-3)
lock
root (hd0,1)
kernel /vmlinuz-2.4.18-3 ro root=/dev/hda12
initrd /initrd-2.4.18-3.img
3) 在开机的时候输入 p 和密码。
* 范例二: PAM 之 listfile (ssh)
1) 参考 ftp 之现成设定:
grep listfile /etc/pam.d/ftp
2) 模仿之并在 ssh 中设定:
vi /etc/pam.d/sshd
在前面加入:
auth required /lib/security/pam_listfile.so item=user \
sense=deny file=/etc/sshusers onerr=succeed
---------------
附录一: 系统服务建议
finger 强烈建议关闭
ftp 如果不需要□尽量关闭。尤其 anonymous 更应关闭。
gopher 关闭
imap 如果不需要□尽量关闭。
pop2 关闭
pop3 如果不需要□尽量关闭。
talk 关闭
ntalk 关闭
telnet 如果不需要□尽量关闭。请以 ssh 取代之。
uucp 关闭
samba 只对内部开放
nfs/nis 只对内部开放
r-command 尽量关闭□以 ssh 取代。
x-protoco