《linux第10章系统安全课件.ppt》由会员分享,可在线阅读,更多相关《linux第10章系统安全课件.ppt(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Linux操作系统实训教程主讲人 刘晓辉第10章 Linux系统安全本章要点常见攻击类型常见攻击类型LinuxLinux系统安全策略系统安全策略网络服务安全网络服务安全脚本安全脚本安全使用使用SnortSnort进行入侵检测进行入侵检测网络防火墙网络防火墙 10.1 常见的攻击类型10.1.1 扫描10.1.2 嗅探10.1.3 木马10.1.4 病毒 几种常见的攻击方式,包括端口扫描、嗅探、几种常见的攻击方式,包括端口扫描、嗅探、几种常见的攻击方式,包括端口扫描、嗅探、几种常见的攻击方式,包括端口扫描、嗅探、种植木马、传播病毒等等。种植木马、传播病毒等等。种植木马、传播病毒等等。种植木马、传
2、播病毒等等。10.1.1 扫描1.1.什么是扫描器什么是扫描器2.2.工作原理工作原理3.3.扫描器能干什么扫描器能干什么4.4.常用的端口扫描技术常用的端口扫描技术(1 1)TCP connect()TCP connect()扫描扫描 (2 2)TCP SYNTCP SYN扫描扫描 (3 3)TCP FINTCP FIN扫描扫描 (4 4)IPIP段扫描段扫描 (5 5)TCPTCP反向反向identident扫描扫描 (6 6)FTPFTP返回攻击返回攻击 10.1.2 嗅探 1.1.嗅探原理嗅探原理 2.2.嗅探造成的危害嗅探造成的危害 窃取用户名和密码窃取用户名和密码 捕获专用或机密信
3、息捕获专用或机密信息 窃取高级访问权限窃取高级访问权限 窥探低级的协议信息窥探低级的协议信息 3.3.常见的嗅探器常见的嗅探器 Tcpdump/WindumpTcpdump/Windump SniffitSniffit EttercapEttercap SnarpSnarp 4.4.嗅探特征嗅探特征 网络通信丢包率反常网络通信丢包率反常 网络带宽出现反常网络带宽出现反常 5.5.嗅探对策嗅探对策 及时打补丁及时打补丁 本机监控本机监控 监控本地局域网的数据帧监控本地局域网的数据帧 对敏感数据加密对敏感数据加密 使用安全的拓朴结构使用安全的拓朴结构10.1.3 木马提示提示提示提示 网络客户网络
4、客户网络客户网络客户/服务模式的原理是一台主机提供服务服务模式的原理是一台主机提供服务服务模式的原理是一台主机提供服务服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为(服务器),另一台主机接受服务(客户机)。作为(服务器),另一台主机接受服务(客户机)。作为(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听,服务器的主机一般会打开一个默认的端口并进行监听,服务器的主机一般会打开一个默认的端口并进行监听,服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服如果有客户机向服务器的这一端
5、口提出连接请求,服如果有客户机向服务器的这一端口提出连接请求,服如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请务器上的相应程序就会自动运行,来应答客户机的请务器上的相应程序就会自动运行,来应答客户机的请务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于特洛伊木马,被控求,这个程序称为守护进程。对于特洛伊木马,被控求,这个程序称为守护进程。对于特洛伊木马,被控求,这个程序称为守护进程。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机。制端就成为一台服务器,控制端则是一台客户机。制端就成为一台服务器,控制端则是一
6、台客户机。制端就成为一台服务器,控制端则是一台客户机。10.1.4 病毒1.可执行文件型病毒2.蠕虫(worm)病毒3.脚本病毒4.后门程序10.2 Linux系统安全策略10.2.1 分区安全10.2.2 系统引导安全10.2.3 账号安全10.2.4 密码安全10.2.5 系统日志 系统安全包括分区安全、系统引导安全、账号安系统安全包括分区安全、系统引导安全、账号安系统安全包括分区安全、系统引导安全、账号安系统安全包括分区安全、系统引导安全、账号安全、密码安全等全、密码安全等全、密码安全等全、密码安全等 10.2.1 分区安全 修改修改/etc/fstab 提示提示提示提示 各个单独分区的
7、磁盘空间大小应充分考虑,避免因某些各个单独分区的磁盘空间大小应充分考虑,避免因某些各个单独分区的磁盘空间大小应充分考虑,避免因某些各个单独分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃。原因造成分区空间用完而导致系统崩溃。原因造成分区空间用完而导致系统崩溃。原因造成分区空间用完而导致系统崩溃。10.2.3 账号安全 使用使用su命令命令 删除用户删除用户 修改文件属性修改文件属性 10.2.4 密码安全1.强制密码设置规范2.密码数据库的保护手段提示提示提示提示 系统管理员可以采取各种策略来确保密码安全。但首先要让系统管理员可以采取各种策略来确保密码安全。但首先要让
8、系统管理员可以采取各种策略来确保密码安全。但首先要让系统管理员可以采取各种策略来确保密码安全。但首先要让用户们明白密码安全的重要性,同时制定密码策略来强制密码设置用户们明白密码安全的重要性,同时制定密码策略来强制密码设置用户们明白密码安全的重要性,同时制定密码策略来强制密码设置用户们明白密码安全的重要性,同时制定密码策略来强制密码设置规范。这包括确定可接受的密码设置要求、更换密码的时限、密码规范。这包括确定可接受的密码设置要求、更换密码的时限、密码规范。这包括确定可接受的密码设置要求、更换密码的时限、密码规范。这包括确定可接受的密码设置要求、更换密码的时限、密码需要包含多少字符等等。系统管理员
9、还可以运行检测工具来查找密需要包含多少字符等等。系统管理员还可以运行检测工具来查找密需要包含多少字符等等。系统管理员还可以运行检测工具来查找密需要包含多少字符等等。系统管理员还可以运行检测工具来查找密码数据库的安全漏洞。码数据库的安全漏洞。码数据库的安全漏洞。码数据库的安全漏洞。10.2.5 系统日志1.基本日志命令的使用2.使用Syslog设备l连接时间日志连接时间日志连接时间日志连接时间日志l进程统计进程统计进程统计进程统计 l错误日志错误日志错误日志错误日志 连接时间日志和错误日志查查看看错错误误日日志志 连结时间日志连结时间日志所有位置所有位置 2.使用Syslog设备 记录邮件信息记
10、录邮件信息到一个文件中到一个文件中 存储日志存储日志并设置级别并设置级别 2.使用Syslog设备 将日志发送到邮箱将日志发送到邮箱 将消息传送至将消息传送至messages 提示提示提示提示 在有些情况在有些情况在有些情况在有些情况下,可以把日志送下,可以把日志送下,可以把日志送下,可以把日志送到打印机,这样网到打印机,这样网到打印机,这样网到打印机,这样网络入侵者怎么修改络入侵者怎么修改络入侵者怎么修改络入侵者怎么修改日志都不能清除入日志都不能清除入日志都不能清除入日志都不能清除入侵的痕迹。因此,侵的痕迹。因此,侵的痕迹。因此,侵的痕迹。因此,syslogsyslog设备是一个设备是一个设
11、备是一个设备是一个攻击者的显著目标,攻击者的显著目标,攻击者的显著目标,攻击者的显著目标,破坏了它将会使用破坏了它将会使用破坏了它将会使用破坏了它将会使用户很难发现入侵以户很难发现入侵以户很难发现入侵以户很难发现入侵以及入侵的痕迹,因及入侵的痕迹,因及入侵的痕迹,因及入侵的痕迹,因此要特别注意保护此要特别注意保护此要特别注意保护此要特别注意保护其守护进程以及配其守护进程以及配其守护进程以及配其守护进程以及配置文件。置文件。置文件。置文件。10.3 网络服务安全10.3.1 iptables10.3.2 TCP Wrappers10.3.3 xinetd10.3.4 常见网络服务的安全问题 网络
12、服务安全包括:网络服务安全包括:网络服务安全包括:网络服务安全包括:iptablesiptables、TCP WrappersTCP Wrappers、xinetdxinetd及其他常见网络服务安全。及其他常见网络服务安全。及其他常见网络服务安全。及其他常见网络服务安全。10.3.1 iptables1.iptables基础2.简单iptable管理1.iptables基础 用用man查看查看iptables帮助信息帮助信息 GNOME进入安全级别设置进入安全级别设置 提示提示提示提示 基于浏览器界面的服务器管理系统基于浏览器界面的服务器管理系统基于浏览器界面的服务器管理系统基于浏览器界面的服
13、务器管理系统WebminWebmin也具备也具备也具备也具备iptableiptable的管理能力。甚至有些的管理能力。甚至有些的管理能力。甚至有些的管理能力。甚至有些LinuxLinux的发布的发布的发布的发布版本的整个目的就是为了提供一个版本的整个目的就是为了提供一个版本的整个目的就是为了提供一个版本的整个目的就是为了提供一个iptableiptable的的的的GUIGUI前台、一定的配置功能、合理健全的默认配置、前台、一定的配置功能、合理健全的默认配置、前台、一定的配置功能、合理健全的默认配置、前台、一定的配置功能、合理健全的默认配置、路由服务配置界面的整合以及其他常用的网络防路由服务配
14、置界面的整合以及其他常用的网络防路由服务配置界面的整合以及其他常用的网络防路由服务配置界面的整合以及其他常用的网络防火墙设备的功能。火墙设备的功能。火墙设备的功能。火墙设备的功能。2.简单iptable管理(1)备份(2)恢复(3)安全设置修改内核变量修改内核变量 修改脚本修改脚本 (1)备份进行设置进行设置 执行执行“iptables-L”命令命令(1)备份 存储存储iptables设置设置(2)恢复 和(3)安全设置 恢复设置恢复设置 修改修改network脚本脚本 10.3.2 TCP Wrappers1.Tcp Wrappers的功能2.Tcp Wrappers的配置查看查看tcp_w
15、rappers具体具体信息的文件所有位置信息的文件所有位置 配置配置hosts.allow 10.3.3 xinetdxinetd服务配置服务配置10.3.4 常见网络服务的安全问题1.WuFTPD2.Telnet3.Sendmail4.su5.named10.4 脚本安全10.4.1 处理用户输入10.4.2 注意隐式输入 脚本就是运行在网页服务器上的文本程序,例如:脚本就是运行在网页服务器上的文本程序,例如:脚本就是运行在网页服务器上的文本程序,例如:脚本就是运行在网页服务器上的文本程序,例如:ASPASP、PHPPHP、CGICGI、JSPJSP、ISAPISAP等,脚本攻击就是利用这些
16、文件的设置和编写时的错等,脚本攻击就是利用这些文件的设置和编写时的错等,脚本攻击就是利用这些文件的设置和编写时的错等,脚本攻击就是利用这些文件的设置和编写时的错误或疏忽,进行攻击的,如果一个服务器存在这些漏洞,那么它就很容误或疏忽,进行攻击的,如果一个服务器存在这些漏洞,那么它就很容误或疏忽,进行攻击的,如果一个服务器存在这些漏洞,那么它就很容误或疏忽,进行攻击的,如果一个服务器存在这些漏洞,那么它就很容易被攻破。这些文本文件一般都是要结合数据库来使用的,这些数据库易被攻破。这些文本文件一般都是要结合数据库来使用的,这些数据库易被攻破。这些文本文件一般都是要结合数据库来使用的,这些数据库易被攻
17、破。这些文本文件一般都是要结合数据库来使用的,这些数据库有有有有AccessAccess、MsSQLMsSQL、MySQLMySQL、OracleOracle等。等。等。等。10.5 使用Snort进行入侵检测10.5.1 10.5.1 入侵检测系统简介入侵检测系统简介10.5.2 snort10.5.2 snort介绍介绍10.5.3 10.5.3 安装安装SnortSnort10.5.4 10.5.4 使用使用SnortSnort10.5.5 10.5.5 配置配置snortsnort规则规则10.5.6 10.5.6 编写编写SnortSnort规则规则10.5.7 snort10.5.
18、7 snort规则应用举例规则应用举例入侵检测和使用网络防火墙,正是安全防范的两大措施。入侵检测和使用网络防火墙,正是安全防范的两大措施。入侵检测和使用网络防火墙,正是安全防范的两大措施。入侵检测和使用网络防火墙,正是安全防范的两大措施。10.5.1 入侵检测系统简介1.基于网络的入侵检测系统2.基于主机的入侵检测系统3.混合式入侵检测系统4.文件完整性检查工具10.5.2 snort介绍1.snort是一个轻量级的入侵检测系统2.snort的可移植性很好3.snort的功能非常强大10.5.3 安装Snort1.获得snortSnortSnort下载地址:下载地址:http:/http:/w
19、ww.snort.orgwww.snort.org 2.安装snort1.获得snort下载下载snort压缩包压缩包 下载下载libpcap库压缩包库压缩包 2.安装snort (1 1)解压解压libpcaplibpcap包和包和snortsnort包包 (2 2)编译编译libpcaplibpcap库库 (3 3)安装安装snort snort (4 4)编译编译snort snort 鼠标右键解压鼠标右键解压 执行执行./configure命令命令 10.5.4 使用Snort1.1.作为嗅探器作为嗅探器2.2.记录数据包记录数据包3.3.作为入侵检测系统作为入侵检测系统查看查看sno
20、rt用法用法 提示提示提示提示 SnortSnort命令的各个参数可以分开写或任意结合在一块。例如,命令的各个参数可以分开写或任意结合在一块。例如,命令的各个参数可以分开写或任意结合在一块。例如,命令的各个参数可以分开写或任意结合在一块。例如,./snort-d-v-e./snort-d-v-e 和和和和./snort-./snort-vdevde 的效果是完全相同的。的效果是完全相同的。的效果是完全相同的。的效果是完全相同的。2.记录数据包 使用使用-vde参数参数 记录数据包记录数据包 2.记录数据包 执行执行“snort l/log-b”3.作为入侵检测系统 snortsnort最重要的
21、用途还是作为网络入侵检测系统(最重要的用途还是作为网络入侵检测系统(最重要的用途还是作为网络入侵检测系统(最重要的用途还是作为网络入侵检测系统(NIDSNIDS),),),),使用下面的命令行可以启动这种模式:使用下面的命令行可以启动这种模式:使用下面的命令行可以启动这种模式:使用下面的命令行可以启动这种模式:./snort-dev-l./log-h 192.168.0.95/24-c snort.conf./snort-dev-l./log-h 192.168.0.95/24-c snort.conf 提示提示提示提示 如果用户想长期使用如果用户想长期使用如果用户想长期使用如果用户想长期使用
22、snortsnort作为自己的入侵检测系统,最好不要使作为自己的入侵检测系统,最好不要使作为自己的入侵检测系统,最好不要使作为自己的入侵检测系统,最好不要使用用用用-v-v选项。因为使用这个选项,使选项。因为使用这个选项,使选项。因为使用这个选项,使选项。因为使用这个选项,使snortsnort向屏幕上输出一些信息,会大大向屏幕上输出一些信息,会大大向屏幕上输出一些信息,会大大向屏幕上输出一些信息,会大大降低降低降低降低snortsnort的处理速度,从而在向显示器输出的过程中丢弃一些包。的处理速度,从而在向显示器输出的过程中丢弃一些包。的处理速度,从而在向显示器输出的过程中丢弃一些包。的处理速度,从而在向显示器输出的过程中丢弃一些包。10.5.5 配置snort规则 pass:放行数据包log:把数据包记录到日志文件alert:产生报警消息并日志数据包10.6 动手实践 安装snort并用snort进行入侵检测(1 1)下载下载 (2 2)安装安装