《《linux安全攻防》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《linux安全攻防》PPT课件.ppt(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络与信息安全系统安全:Linux系统安全内 容nLinux系统介绍qLinux内核qLinux文件系统nLinux的网络结构nLinux攻防技术n一次针对Linux的入侵过程Linux操作系统n背景q最初由Linus Benedict Torvalds于1991年开发的q1994年3月发布第一个正式版本q内核升级模式n稳定的内核,第二个数字为偶数,例如2.2.14n开发的内核,第二个数字为奇数,例如2.1.14nLinux系统特点q兼容UNIX:API兼容,管理命令和各种工具q源码开放q支持各种硬件平台,支持多CPUqLinux平台上存在大量的应用软件,以及应用开发工具Linux内核n多用户
2、,多任务,分时,软实时处理n不是微内核系统,但具有某些微内核特征nIntel版本:i386的保护模式,特权级q内核态(0)和用户态(3)q中断和系统调用两种特权级的切换nPCB:进程控制块,常驻内存n进程是最基本的调度单元q进程是动态的,每一个进程都有一个进程控制块q没有专门的调度进程,内核中有一个schedule函数完成调度任务q进程在调度过程中有多种状态内核中的ROOTKITn通过LKM机制,可以在系统内核中插入木马模块n一个典型的以Linux 2.2.x为基础的rootkit knarkq使用insmod knark.o就可以加载到内核中q一旦加载了knark后门之后n可以改变netst
3、at的输出结果n可以改变运行进程的UID和GIDn可以不用SUID就能够获得root访问权限nn还有其他的ROOTKITS,比如adoren内核ROOTKITS的对策q根据每个rootkit的特征进行检测,然后设法删除q预防为主,安装内核检测系统,比如LIDSLinux文件系统nLinux支持多种文件系统,包括ext、ext2、hpfs、vfat、ntfs、q通过虚拟文件系统VFS,Linux操作系统可以支持不同类型的文件系统n文件系统类型管理q文件系统类型的注册途径:n在编译内核时确定n在文件系统作为模块装入时登记nextnext=0nextfile_systemfile_system_ty
4、pe虚拟文件系统(VFS)n是物理文件系统与服务之间的一个接口层,只存在于内存中n定义了关于各种特殊文件系统的公共接口抽象性qSuper_block、inode、文件操作函数入口q把所有的文件系统映射到同一个层次结构中,通过super_block与inode中的关联关系来实现,如下图所示n处理面向文件系统的通用操作n把针对文件系统的操作映射到相关的物理文件系统n许多复杂的cache机制,提高了文件系统的访问效率qVFS inode cacheqVFS directory cacheqBuffer cacheqrooti_mounti_sbs_coverds_mountedLinux文件系统的安
5、全性nLinux文件系统安全模型与两个属性相关q文件的所有者(ownership)n文件所有者的idn文件所有者所在用户组的idq访问权限(access rights)n10个标志q第1个标志:d(目录),b(块系统设备),c(字符设备),.(普通文件)q第2-4个标志:所有者的读、写、执行权限q第5-7个标志:所有者所在组的读、写、执行权限q第8-10个标志:其他用户的读、写、执行权限n用chmod修改权限:字符方式和数字方式Linux文件的安全性nSUID程序q正常情况下,一个程序在运行的时候,它的进程将属于当前用户q但是,对于SUID程序,它的进程不属于启动用户,而是属于该程序的所有者用
6、户q通常,SUID/SGID程序中的bug往往是入侵的基础nmount和fstab命令q用mount装载文件系统的时候,可以使用一些选项控制文件系统的安全性,对于装载FAT系统比较有意义。qumash=Nquid=Nqgid=NLinux文件系统安全性n权限管理的不灵活q只能对所有者、所有者所在组和其他用户分配权限,无法做到进一步的细致化nPOSIX ACLs for Linux软件包q内核补丁,可以做到用ACL来管理权限n需要重新编译内核,下载补丁:http:/acl.bestbits.atq两个命令:setfacl、getfacln真正删除文件q工具wipeLinux用户管理n用户文件/e
7、tc/passwdqShadow password:/etc/shadown此文件只对root可读n让用户拥有单独的组,而不是加入到共享的users组中qgroupaddn创建用户:useraddn改口令:passwdn管理口令的有效期qchageLinux中crypt口令加密方案ncrypt()是一个口令加密函数,它基于DES算法。我们可以认为这是一个单向加密操作n函数原型:char*crypt(const char*key,const char*salt);*salt是两个字符,每个字符可从a-zA-Z0-9./中选出来n算法qUNIX标准算法使用DES加密算法,用key对一个常量进行加密
8、,获得一个13字节的密文编码输出,其中包括salt的两个字符from Red Hat Linux 6.2nSalt的作用q同样的口令产生不同的密文q增加了穷举空间n建议使用更为安全的MD5算法Linux中Kerberos认证协议的支持n建立KDCq下载和安装Kerberos 5q配置Kerberosq启动服务n管理Kerberosqkadmin,管理Kerberos数据库n使用Kerberosqkinit,获得一个ticketqklist,列出所有的ticketsqkpasswd,修改口令qkdestroy,删除一个ticketq使用支持Kerberos的网络应用,例如ftp,telnet,等
9、PAM(Pluggable Authentication Modules)n一种可插入的认证机制n针对一个服务,指定一些认证相关的动作,放到/etc/pam.conf文件中,或者放到/etc/pam.d/下与服务同名的配置文件中q每一行包含一个模块类型、一个控制级别、一个模块:service module-type control-flag module argsq例如passwd password required pam_cracklib.so type=user retry=3passwd password required pam_pwdb.so use_authtokPAM结构图lo
10、gintelnetftp用户认证管理(auth)帐户管理(account)会话管理(session)口令管理(password)PAM配置文件管理员PAM APIUNIX认证Kerberos认证S/Key认证PAM SPIPAM核心库系统服务PAM服务模块Linux内核安全性nLinux内核机制存在的一些潜在缺陷q超级用户的特权可能会被滥用q系统文档不安全q系统内核可以比较容易地插入模块q内核中,进程不受保护Linux对网络的支持nLinux从UNIX继承了在网络方面的优势nLinux自身的发展也是与Internet息息相关的n介绍内容qLinux网络层次nLinux协议栈qLinux网络配置
11、q内核防火墙Linux网络配置nLinux用daemon程序来提供网络服务q有些服务直接由daemon程序一直运行q有些服务通过inetd提供nInetdq它的职责是监听大范围内的网络端口,根据进来的请求动态启动相应的服务daemon节约资源q在Linux上,其实大多数inetd服务并不是必需的,虽然,这些服务本身有一定的安全认证能力,但是为了安全起见,应该关闭这些服务q如何配置inetd?n编辑inetd.conf每行格式:n通过/etc/services文件,可以查到每个service的端口和协议类型n停止inetd进程,并重新启动inetd.conf配置文件/etc/services配置
12、文件n只影响inetd启动的网络服务,由其他脚本(例如rcN.d)启动的服务可能不受影响TCP wrappersn在Linux中为/usr/sbin/tcpd,用法nTCP wrapper使得系统可以在请求登录或者输入口令之前拒绝进来的连接nTCP wrapper的两个配置文件q/etc/hosts.deny 满足条件则拒绝q/etc/hosts.allow 满足条件则允许q配置规则:service:host(s):action n两个工具qtcpdchk,检查配置文件有没有错误,是否与其他文件冲突qtcpdmatch,模拟规则是否如期起作用日志、syslogdnsyslogd是一个专门用于记
13、录日志信息的服务n配置文件/etc/syslog.confq可以记录本地日志,也可以记录远程的日志信息q可以指定把什么样的日志消息记录到哪个文件中Linux的内核防火墙n协议栈在IP层上调用三个函数,防火墙的功能将在这三个函数中实现:qip_rcv():接收qip_forward():转发qip_output():发送n 三条规则链qInput链qOutput链qForward链Linux内核支持的NATLinux内核防火墙的发展n从ipfwadm-ipchains-netfilternNetfilter是2.4内核中实现网络安全功能的通用框架q在框架中,定义了5个钩子q在每个钩子上可以挂接多
14、个模块qIptables模块挂接在LOCAL_IN、FORWARD、LOCAL_OUT上q提供多种功能n包过滤防火墙n地址转换NATn网络状态检测nPre-routeForwardRoutePost-RouteLocal-inRouteLocal-out针对Linux的攻防技术nLinux平台上有大量的黑客工具,而且往往以源码方式发布,所以,学会编译和使用这些工具,可以在攻击对抗中发挥作用n探查信息q用nmap可以查到Linux的版本信息n改变Linux的协议栈行为,可以掩盖这些信息q许多早期的标准TCP/IP服务,可以暴露系统的内部信息,比如finger,还有一些基于RPC的服务n尽量关闭不
15、必要的服务q一些服务的欢迎界面,比如ftp、telnet服务n修改这些服务的配置信息口令破解n如何获得Linux的口令文件q口令文件的格式是公开的q口令文件passwd中,如果口令移到了shadow中,则没有口令信息q有一些工具能够获得shadow文件的副本n破解程序qCrack 猜口令qJohn the Ripper 字典攻击,也可以穷举攻击qXIT 字典攻击,DOS程序qn对策q使用shadow,MD5q使用强口令q失败多次之后,帐号锁定q结合其他的认证技术q日志记录Linux数据驱动攻击n目标:获得root权限n两种类型q缓冲区溢出攻击n通过缓冲区溢出,植入恶意代码,获得一个shell,
16、可以是远程的shell,也可以是本地的q输入验证攻击n对于输入没有合理地检查,导致执行破坏性的代码(命令或者脚本等)n在Web服务中比较多见,缺乏对于输入数据的语法检查n对策:加强编程中的安全意识。由用户输入的脚本代码,或者在脚本代码中要用到用户输入的数据,则一定要检查输入数据不会危害整条语句Linux的X及其他n针对X的攻击qX的功能太强大,一旦获得X的服务器访问控制权,则可以为所欲为qX的认证机制n基于主机的认证,脆弱n基于token交换的认证q对策:关闭X服务n其他攻防技术q木马技术q网络监听技术qNFS不安全性q检查SUID程序的安全性q日志记录q一次针对Linux的入侵过程(一)n1
17、.收集信息 q一般ftp服务器都使用了linux系统,所以用ftp搜索器寻找 一次针对Linux的入侵过程(二)n进一步探查目标一次针对Linux的入侵过程(三)n2.漏洞扫描 一次针对Linux的入侵过程(四)n3 尝试进入qWu-ftp2.6.0(1)是一个有漏洞的版本,首先使用ftp攻击,wuftpdgod是一个针对redhat linux 的wu-ftp2.6.0的site exec漏洞的攻击脚本 一次针对Linux的入侵过程(五)n前面的入侵企图没有成功q原因是该服务器上没有开放上载权限,没有可写目录。n尝试另外一个漏洞:rpc.statd缓冲区溢出。qStatdx2是一个针对此漏洞
18、攻击的脚本,但是要求提供准确的字符串地址。否则一次攻击过后如果不成功可能会使对方的rpc.statd进程终止,无法进行第二次攻击尝试。n如何获得这个地址:q找一台自己控制的主机,这台主机的系统版本必须和目标主机相同。将攻击脚本传到该主机上。q以root身份运行,如下图所示一次针对Linux的入侵过程(六)执行脚本statdx2一次针对Linux的入侵过程(七)n再次对目标主机进行远程攻击 成功!获得root shell,输入命令ls一次针对Linux的入侵过程(八)n4.装上后门q把后门程序放在一个ftp站点上,让目标主机去下载 命令ls命令ftp命令mv执行后门加一个帐号一次针对Linux的入侵过程(九)n5 销毁证据/痕迹q销毁证据和消灭痕迹是有区别的n销毁证据是指不让对方找到证据进行追踪。方法很简单:删除n消灭痕迹是指不让对方感觉到被入侵:做法是,有选择地删除一些记录,而且删除的动作也不能被记录。q以上动作主要留下的记录在:/var/log/messages、/var/log/secure、/var/log/wtmp、/var/spool/ftpd等。q可以删除之,如右图所示