Linux黑技客术大暴光.docVIP

本书讲述了linux安全的方方面面，并且以一问一答的方式介绍，思路清晰。文中提供了很 多有益的安全提示，是Linux系统维护人员的必备参考书。通过本书，你能了解到linux安 全的整体概念，从系统安全到应用安全，从单机安全到网络安全。但安全问题是一个不断变 化不断更新的过程而不是一个解决方案，所以本书只是提到当时为人所发现的安全问题的介 绍，新出现的安全问题可参考该书网站的更新和网上的安全警告。 第一章 linux安全问题概述 粘着位（Sticky bit） 如果用户对目录有写权限，则可以删除其中的文件和子目录，即使该用户不是这些文件的所 有者，而且也没有读或写许可。粘着位出现执行许可的位置上，用t表示，设置了该位后， 其它用户就不以删除不属于他的文件和目录。但是该目录下的目录不继承该权限，要再设置 才可使用。 # chmod 1770 xxx 文件属性 chattr命令修改 lsattr命令列出文件属性 文件属性定义 A 不要更新atime文件，当在笔记本电脑或NFS上限制磁盘I/0流量时，很有用，除2.0 系列外，这一属性不被其它内核支持。 a 文件仅能以追加方式打开，只有root才能设置这个属性。 c 文件保存在磁盘时，内核将自动压缩该文件。 d 文件标记，使其不能被转储。 i 文件不能被修改，删除或重命名，不能创建任何指向它的链接，并不能写入任何数据。 s 删除文件时，相应的磁盘存储块清零。 S 修改文件时，对其写入进行同步。 u 删除文件时，保存其内容。 Ulimit命令 设置限制 可以把命令加到profile文件里，也可以在/etc/security/limits.conf文件中定义 限制。 命令参数 -a 显示所有限制 -c core文件大小的上限 -d 进程数据段大小的上限 -f shell所能创建的文件大小的上限 -m 驻留内存大小的上限 -s 堆栈大小的上限 -t 每秒可占用的CPU时间上限 -p 管道大小 -n 打开文件数的上限 -u 进程数的上限 -v 虚拟内存的上限 除可用Ulimit命令设置外，也可以在/etc/security/limits.conf文件中定义限制。 domino type item value domino是以符号@开头的用户名或组名，*表示所有用户，type设置为hard or soft。item指 定想限制的资源。如cpu,core nproc or maxlogins 。value是相应的限制值。 信号 # kill -TERM XXXX 终止信号 # kill -HUP HTTPD 重读配置信号 特权端口 root用户是可绑定端口小于1024的惟一用户。可以信任来自于远程机器端口小于1024的连 接。 第二章 预防措施与从入侵中恢复 系统安全 简单的FIND命令 # find / \(-perm -02000 -o -perm -4000 \) -ls 可以找出系统中所有的setuserid and setgroupid 程序。 在最严格的情况下，可以去掉除/bin/su外所有已安装程序的setXid位。 系统安全扫描工具 cops tiger Nabou 扫描检测器 黑客入侵系统前所做的第一件事就是从网络上扫描系统，扫描检测器能及时获知，是一个良 好的入侵检测系统（IDS） Klaxon Courtney Scanlogd PortSentry 加固系统 Bastille项目创建了一组模块来加固新近发布的REDHAT。在安装完系统后可运行该补丁， 在什么时候都可运行，不必要一定是刚安装完系统。 加固的方法是：1、下载源代码到/root目录并解包。以root身份动行InteractiveBastille.pl脚 本。在回答完问题后，程序将做出相应改动。配置完成后，该工具把其保存在BackEnd.pl 中，如果希望加固同样配置的服务器，将它复制到新服务器并运行AutomatedBastille.pl即可。 Openwall Linux补丁 它是一个内核补丁。要这些补丁起作用，用户必须重新编译和安装新的打上补丁的内核。在 某些情况下，这些内核补丁和标准linux不完全兼容，因此在决定使用前必须确信理解其含 义。 LIDS 它包括内核级的端口扫描检测程序和安全警告程序。是内核补丁（现在适用于2.2.X和2.4.X， 但以后