2019年unix系统安全培训.ppt

* * * * * * * * * * * * * * * * * * * * * * * * # chuser account_locked=true ecore /etc/security/user # chuser rlogin=false ecore # lsuser -f ecore # lsuser -a su ecore cat /etc/security/passwd * * * * 使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查Linux的补丁安装情况只能列出所有安装的软件，和RH网站上发布的升级软件对照，检查其中的变化。 * * * * * passmgmt –m –s /usr/sbin/false test * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Uucp和operator账号通常是不需要的,可以把它们从passwd和shadow文件中删除,其它账号视具体情况而定.要锁定一个账号,可以把该账号的shell改为一个无效的shell, 比如/dev/null * * 为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据. * * * * * * * * * * * * * * NFS系统的组成情况： nfsd NFS服务进程，运行在服务器端，处理客户的读写请求 mountd 加载文件系统服务进程，运行在服务器端，处理客户加载nfs文件系统的请求 /etc/exports 定义服务器对外输出的NFS文件系统 /etc/fstab 定义客户端加载的NFS文件系统 如果系统不需要NFS服务，可以使用chkconfig关闭NFS服务；如果不能关闭，使用showmount -e或直接查看/etc/exports文件检查输出的文件系统是否必要，以及属性是否妥当（readonly等）。 * * * * * * * * * * .syslog中的AUTH 和AUTHPRIV facility包含了大量安全相关的信息, 不是所有Linux发布都记录这些日志信息.应该把这些信息记录到/var/log/secure文件中(该文件仅超级用户可读) * * 可移动介质是引入恶意代码的一个重要途径.该设置可以防止普通用户通过CDROM或软盘引入SUID程序 * * 在基于Linux的发布中普通用户在控制台上有更大的权限, 可以使用CD-ROM和软盘驱动器.甚至在一些发布,比如Mandrake Linux上当在机器上插入软盘或光碟时系统会通过supermount来自动mount这些驱动器. * * passwd, shadow, 和group文件的属主和组应该为root, passwd和group文件的许可权限应该为644,shadow文件的许可权限应该为400 * * 禁止.rhost支持有助于防止用户搞乱系统正常的访问控制机制 * * 系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序 * * 通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做可以对登录事件进行跟踪 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 文件和目录检查： 目标：检查系统非正常隐藏文件或可疑文件 说明：检查带setuid和setgid位文件：find / \(-perm –2000 –o –perm –4000 \) –type f –exec ls –la{} \; 检查无用户或组的文件：find / -nouser –o –nogroup –print 检查/etc/hosts.equiv, /etc/hosts.lpd 和所有目录下的.rhosts文件：find / -name .rhosts –exec –-ls –la {} \; 检查隐藏目录或文件 find / -name “.*” –print –mdev 网络连接检查： 目标：检查非正常网络连接和服务端口开放情况 说明：使用netstat –an查看所有连接，检查当前网络连接和服务端口开放情况 系统异常检查 定时作业检查： 目标：检