- 1、本文档共145页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
UNIX操作系统安全原理讲解
检查启动和配置脚本 检查/etc目录文件内容及日期 与同样版本的可信系统作对比 Find命令 find / -type d -name “.*” find / -type d –name “ *” find / -perm -004000 检查入侵者留下的文件或目录 检查核心级后门 Linux系统的检查 FreeBSD系统的检查 Solaris系统的检查 检查是否已经成了入侵内网的跳板 检查是否已经成为跳板比较困难,运气好的话 可以在.bash_profile或者acct文件里面看到一 些日志记录. 检查入侵者遗留下来的程序或者文件是否有 提供包转发功能. 2.检查入侵者遗留下来的程序或者文件是否有 指定内网IP. 3.检查内网机器,看是否有何异常. UNIX/LINUX 下第三方安全工具 SSH TCP_WRAPPER TRIPWIRE NON-EXEC STACK UNIX/LINUX 系统入侵分析 特征 处理方法 UNIX/LINUX 系统配置经验 分区划分 机器的启动密码 用户管理 系统文件安全 网络服务响应 UNIX/LINUX 系统概述 系统体系结构 系统服务与进程 系统启动过程 系统的安全级别 UNIX/LINUX 系统安全特性 物理安全 常用命令介绍 用户环境变量介绍 文件系统安全 账号安全 日志记录 安全配置 APACHE 服务器配置要点 FTP 服务器配置要点 DNS 服务器配置要点 提 纲 原 理 篇 实 践 篇 关于分区 安装系统时就应该注意,如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区溢满。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,如为email开设/mail分区, 还有建议为/home单独分一个区,从而就避免了部分针对Linux分区溢满的恶意攻击。 关于BIOS 记着要在BIOS设置中设定一个BIOS密码,不接受软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。 关于口令 口令严整是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。 关于Ping 没有人能ping通你的机器,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 关于Telnet 如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。 关于特权帐号 禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 删除你系统上的用户,用下面的命令:userdel username 删除你系统上的组用户帐号,用下面的命令:groupdel username 或者把passwd和shadow文件里的相关记录用’#’注释掉。 关于su 如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行: auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.s o group=isd 这意味着仅仅isd组的用户
您可能关注的文档
- 封装线投资计划书(1千万)解读.ppt
- 封头专题讲座解读.ppt
- 射水造墙工程(底稿)解读.doc
- 导游基础知识(47第四章第七节)解读.ppt
- Unit_4_The_Girl_in_the_Fifth_Row讲解.ppt
- UP97风力发电机组检修规程讲解.doc
- 射线判断题解读.doc
- 射线检测规程解读.docx
- 射线检测培训总复习解读.ppt
- UNO牌的玩法和技巧讲解.doc
- 2024年陕西公路水运工程试验检测师《水运结构与地基》考前强化练习题库(含答案详解).pdf
- 某县河污染治理项目(一标段)拦水坝工程(技术方案).pdf
- 2024年河南省全民科学素质网络竞赛考试题库(含答案).pdf
- 2025年高级电工技能认证考试精选题库与实战演练.pdf
- 2024年河北省高校辅导员招聘笔试考前强化练习题库(含答案).pdf
- 2024年公路水运工程试验检测师《水运结构与地基》考前必刷必练题库500题(含真题、必会题).pdf
- 2024年报关员水平测试考试题库大全及答案(含真题、典型题等).pdf
- 保安服务投标方案(技术方案).pdf
- 2024年高级茶艺师考前通关必练题库(含答案).pdf
- 2024年河南省职业技能大赛咖啡师赛项考试题库(含答案).pdf
文档评论(0)