Linux系统与网络管理12-Linux系统安全.ppt

* Linux系统与网络管理 第十二章 Linux系统安全 * 常见入侵方法 常见入侵方法 口令入侵： 所谓口令入侵就是指用一些软件解开得到的经过加密的口令文档。 但是许多忠于此术的黑客并不采用这种方法而是用一种可以绕开或屏蔽口令保护的程序。 对于那些可以解开或屏蔽口令保护的程序通常被称为CRACK。 * 常见入侵方法 使用特洛伊木马/病毒/蠕虫： 特洛伊木马最为广泛的方法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被改变，而一旦用户触发该程序那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早以指定的任务。 病毒是对系统另一种形式的攻击，它通过依附在一些程序上，感染每一个执行的程序，或者主动寻找程序并感染，恶性病毒可以破坏硬盘和用户数据，良性病毒不对系统造成危害，只是消耗系统的资源。 蠕虫和病毒类似，不同之处在于作为单独的程序进入系统，不需要依附其他的程序。 * 常见入侵方法 利用缓冲区溢出的漏洞： 缓冲区溢出的漏洞是由于某个程序代码错误造成的，当程序中某个变量被赋以大量数据，超出程序员当初的设计，就会导致程序崩溃。 如果该程序具有suid的特权，缓冲区溢出使得该程序和root权限脱离。 监听法： 通过监听网络的信息流，截获口令或秘密信息。 这种方法常用在同一网络中。 * 常见入侵步骤 常见入侵步骤 1）收集被攻击方的有关信息，分析被攻击方可能存在的漏洞 黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后，还需进一步获取有关信息，如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等，根据这些信息进行分析，可得到有关被攻击方系统中可能存在的漏洞。 2）建立模拟环境，进行模拟攻击，测试对方可能的反应 根据第一步所获得的信息，建立模拟环境，然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志，可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。 * 常见入侵步骤 3）利用适当的工具进行扫描 收集或编写适当的工具，并在对操作系统分析的基础上，对工具进行评估，判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后，可对所获数据进行分析，发现安全漏洞。 4）实施攻击 根据己知的漏洞，实施攻击。通过猜测程序可对截获的用户帐号和口令进行破译；利用破译程序可对截获的系统密码文件进行破译；利用网络和系统本身的薄弱环节和安全漏洞可实施电子引诱(如安放特洛伊木马)等等。 * 主机安全－安全策略 主机安全 安全策略：通过系统配置文件提高主机的安全性。 /etc/login.defs：设置用户的缺省的登录（如口令最小长度等等） /etc/issue：用户登录前的版本信息（login程序所显示的提示文本信息） /etc/motd：用户登录成功后的提示信息（可写入一些警告信息） /etc/securetty：设置root可登录的地方（默认只能从控制台登录） * 主机安全－配置PAM 配置PAM（pluggable Authentication modules） PAM是由SUN公司提出的一种认证机制。它将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。 PAM库可以用一个单独的文件/etc/pam.conf来配置，也可以通过位于/etc/pam.d/下的一组配置文件来配置。（如果在/etc/pam.d/下配置了，pam.conf就无效） PAM可以对一个服务使用多个关联的模块提供认证。当一个服务的多条配置行被使用同一种模块类型来建立，称为堆叠（stack）。 * 主机安全－配置PAM PAM的四种管理方式： 认证管理（authentication management） 主要是接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些秘密 信息。 帐户管理（account management） 主要是检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的 限制等等。 密码管理（password management） 主要是用来修改用户的密码。 会话管理（session management） 主要是提供对会话的管理和记账（accounting）。 * 主机安全－配置PAM pam.conf配置文件，每一行由以下几个部分组成： service type control module-path module-arguments service：服务的名字。比如telnet、login、