unix系统安全基础教学PPT课件.ppt

文件权限 #find /-type f \ (-perm -4000 -o -perm -2000\) –ls 这告诉find列出所有设置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。应该在每个本地系统中运行它。 [root@kcn]# chmod a-s /usr/bin/chage UNIX文件系统安全 文件权限 文件完整性 文件加密 文件备份 文件完整性 确保操作系统文件,尤其可执行程序/bin,/sbin,/usr/bin/usr/sbin)不被修改。 许多rootkit都要替换系统程序(如login,netstat,ps,ls等)来隐藏自己及安装后门 文件完整性 一般通过计算文件校验码（如MD5码）的方式来检验文件完整性 #md5sum --check bin.sum RPM检验和签名检查（linux） # rpm --verify timed -0.10-2 UNIX文件系统安全 文件权限 文件完整性 文件加密 文件备份 文件加密 Unix常用的加密算法有crypt(最早的加密工具)、DES(目前最常用的)、IDEA(国际数据加密算法)、RC4、Blowfish(简单高效的DES)、RSA。 PGP还可以用来加密本地文件。现在常用的Linux下的PGP工具为：pgpe(加密)、pgps(签名)、pgpv(确认/解密)、pgpk(管理密钥) UNIX文件系统安全 文件权限 文件完整性 文件加密 文件备份 备份策略 第0天备份 完全备份 增量式备份 特别备份 备份命令 cp Tar（用于磁带机） Dump（把整个文件系统拷贝到备份介质上） ---#dump 0f0 /dev/rst0 1500 /dev/sd0a ---把一个SCSI硬盘(/dev/rsd0a)以0级备份到磁带(/dev/rst0)。 Restore（恢复整个文件系统或提取单个文件） UNIX系统入侵防范 UNIX系统物理安全 UNIX系统网络安全 UNIX系统帐号安全 UNIX文件系统安全 安全防范组件及工具 UNIX系统入侵防范 UNIX系统物理安全 UNIX系统网络安全 UNIX系统帐号安全 UNIX文件系统安全 安全防范组件及工具 安全防范组件及工具 防火墙组件（ipchains和iptables) PAM认证(Pluggable Authetication Module) OpenSSH PAM(Pluggable Authetication Module) PAM(Pluggable Authetication Module)框架将新的认证技术方法加入操作系统中，同时不需要修改和认证相关的命令如login,su,ftp,telnet等。 UNIX系统帐号安全 口令安全基础 口令安全管理 UNIX系统帐号安全 Passwd文件剖析 name:coded-passwd:UID:GID:user-info:home-directory:shell 7个域中的每一个由冒号隔开。 name—给用户分配的用户名。 Coded-passwd—经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（ : * :）代替。该域通常不手工编辑。 UID—用户的唯一标识号。习惯上，小于100的UID是为系统帐号保留的。 UNIX系统帐号安全 GID—用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。 User_info—习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。 home-directory—该域指明用户的起始目录，它是用户登录进入后的初始工作目录。 shell—该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。 UNIX帐号安全（shadow文件） UNIX系统帐号安全 上一次修改口令的日期，以从1970年1月1日开始的天数表示。 口令在两次修改间的最小天数。口令在建立后必须更改的天数。 口令更改之前向用户发出警告的天数。 口令终止后帐号被禁用的天数。 自从1970年1月1日起帐号被禁用的天数。 保留域。 UNIX系统帐号安全 口令安全基础 口令安全管理 UNIX系统帐号安全 禁用的口令： 不要选择简单字母序列组成的口令（例如“qwerty”或“abcdef”）。 不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。 不要选择一个与要替换的口令相似的新口令。 不要选择一个包含用户名或相似内容的口令。