[精选]unix系统安全.pptx

《[精选]unix系统安全.pptx》由会员分享，可在线阅读，更多相关《[精选]unix系统安全.pptx（139页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、NISE平安技术工程师培训平安技术工程师培训UNIX系统平安系统平安课程目的课程目的了解UNIX系统的开展了解UNIX的启动原理和脆弱性掌握UNIX的基础使用掌握UNIX系统的平安配置掌握UNIX系统的异常分析及审计授课方式：讲解、演示、学员上机操作UNIXUNIX系统平安系统平安UNIX系统开展历史为什么介绍UNIX系统平安UNIX系统的启动过程UNIX系统基础UNIX系统平安配置UNIX系统审计分析Unix的起源与开展的起源与开展起源起源1969年年KenThompson，DennisRitchie开展开展V1汇编、汇编、V4C、V6大学、大学、V7分支分支SystemVAT&TBSDSV

2、R4OSF/1OpenSoftwareFoundationUnix的版本的版本SVRxAIXSVR2及局部及局部BSDHP-UXSCOSVR3.2XenixBSD*BSDSunSolaris基于基于BSD，包含，包含SystemVDECUltrixUNIX产品标准产品标准 UNIX产品 计算机 生产厂家SCOUNIXPC兼容机SCO公司XENIX PC兼容机微软,SCODigitalUnix DecAlpha机Digital公司SolarisSun工作站Sun公司AIXIBM机IBM公司Unix的开展历程的开展历程UNIXUNIX系统平安系统平安UNIX系统开展历史为什么介绍UNIX系统平安U

3、NIX系统的启动过程UNIX系统基础UNIX系统平安配置UNIX系统审计分析为什么介绍为什么介绍UNIX平安平安DOS/Windows3.xD1WindowsNT/Windows2000C1/C2多数商用多数商用Unix系统系统C1NovellC2部份强部份强Unix系统，如系统，如TrustsolarisC2-B1Linux/*BSD没有测评，通常认为在没有测评，通常认为在C1-C2新的测试标准是新的测试标准是CC为什么介绍为什么介绍UNIXUNIX平安平安TCPIP网的主要平安缺陷脆弱的认证机制容易被窃听和监视易受欺骗有缺陷的LAN效劳和相互信任的主机复杂的设置和控制基于主机的平安不易扩展

4、为什么介绍为什么介绍UNIXUNIX平安平安黑客攻击的日益增长新技术应用中不断发现了新的平安漏洞新的效劳未经过严格的平安测试就开始使用早期业务系统均采用UNIX系统大型重要业务大多数采用UNIX系统黑客攻击最早对象是UNIX系统各种UNIX系统的漏洞层出不穷为什么介绍为什么介绍UNIXUNIX平安平安按照可信计算机评价标准到达C2级访问控制对象的可用性个人身份标识与认证审计记录操作的可靠性UNIXUNIX系统平安系统平安UNIX系统开展历史为什么介绍UNIX系统平安UNIX系统的启动过程UNIX系统基础UNIX系统平安配置UNIX系统审计分析UNIXUNIX系统启动过程简介系统启动过程简介系统

5、运行模式简介0 0 进入进入EPROMEPROM状态状态OKOK状态状态1 1 管理状态所有文件系统都挂上的单用户模式，禁管理状态所有文件系统都挂上的单用户模式，禁止其他用户登录止其他用户登录2 2 多用户模式没有网络文件共享效劳多用户模式没有网络文件共享效劳3 3 多用户模式有网络文件共享效劳多用户模式有网络文件共享效劳4 4 未使用未使用 5 5 退出操作系统并关机退出操作系统并关机6 6 重新启动机器重新启动机器 S,S,单用户模式单用户模式 Linux启动过程简介启动过程简介在Linux中，系统运行级别是并行式的，也就是系统加载完内核和mount/文件系统之后，就会直接跳转到相应的默认

6、运行级别。在Solaris中，采取了一种串行化的引导方式。UNIXUNIX系统启动过程简介系统启动过程简介SolarisSolaris的启动分为假设干个运行级别的启动分为假设干个运行级别S,1-6S,1-6，当系统内核运行完毕，加载好所，当系统内核运行完毕，加载好所有的驱动之后，就会把控制权移交给有的驱动之后，就会把控制权移交给/sbin/init/sbin/init进程，也就是所有进程的父进进程，也就是所有进程的父进程，然后由程，然后由initinit读取读取/etc/inittab/etc/inittab，依次，依次执行执行/etc/rc1/etc/rc12,32,3启动脚本，最终到达启动

7、脚本，最终到达inittabinittab中指定的默认运行级别。中指定的默认运行级别。UNIXUNIX系统启动过程简介系统启动过程简介solaris系统启动过程系统启动过程Init0Init1Init2Init3init 0/openbootinit 0/openboot模式：引导内核，加载硬件驱动，模式：引导内核，加载硬件驱动，此时可以选择从此时可以选择从cdromcdrom引导进入维护模式。引导进入维护模式。init 1/init 1/单用户模式：单用户模式：加载加载/分区分区 登陆进入维护登陆进入维护模式，或按模式，或按Ctrl+DCtrl+D进入多用户模式进入多用户模式init 2/i

8、nit 2/网络工作站模式：连接网络，运行网络网络工作站模式：连接网络，运行网络工作站效劳工作站效劳 运行运行/etc/rc2/etc/rc2脚本连接网络，启动脚本连接网络，启动S69inetS69inet效劳效劳,运行局部运行局部inetdinetd网络效劳网络效劳init 3/init 3/网络效劳器模式：运行各种网络效劳网络效劳器模式：运行各种网络效劳 运行运行/etc/rc3/etc/rc3脚本启动网络效劳器脚本启动网络效劳器Solaris的启动过程的启动过程引导引导EEPROMOpenBootsparc/platform/arch/kernel/unix启动过程启动过程init的概念

9、的概念init0openboot模式模式-引导内核，加载硬件驱动引导内核，加载硬件驱动可以选择从可以选择从cdrom引导进入维护模式引导进入维护模式|init1单用户模式单用户模式-加载加载/分区分区登陆进入维护模式，或按登陆进入维护模式，或按Ctrl+D进入多用户模式进入多用户模式|init2网络工作站模式网络工作站模式-连接网络，运行网络工作站效劳连接网络，运行网络工作站效劳运行运行/etc/rc2脚本连接网络脚本连接网络|-启动启动S69inet效劳效劳,运行局部运行局部inetd网络效劳网络效劳|init3网络效劳器模式网络效劳器模式-运行各种网络效劳运行各种网络效劳运行运行/etc/

10、rc3脚本启动网络效劳器脚本启动网络效劳器rc0.d和和rc1.d说明说明+代表必须效劳，系统正常运行必须代表必须效劳，系统正常运行必须=代表可选效劳，由用户环境决定代表可选效劳，由用户环境决定-代表无效，不必要，或不平安的效劳代表无效，不必要，或不平安的效劳initinittabrc0rc1rc2rc3rc5rc6rcSinit.dinit系统启动超级进程系统启动超级进程inittab进程启动配置文件进程启动配置文件rc0-rc6各启动级别的启动脚本各启动级别的启动脚本rcS单用户模式启动脚本单用户模式启动脚本init.d启动脚本存放目录启动脚本存放目录rc0.d:eepromOpenBoo

11、t状态状态,可以进入硬件维护模式可以进入硬件维护模式,或关闭机器。或关闭机器。rc1.d:单用户模式，可以对系统进行软件维护。单用户模式，可以对系统进行软件维护。S01MOUNTFSYS+加载文件系统加载文件系统S10lu=当运行当运行liveupdate后清理系统后清理系统rc2.drc3.drc3.d:多用户模式，启动网络效劳器模式多用户模式，启动网络效劳器模式S15nfs.server-启动启动nfs效劳器效劳器,NFS网络文件效劳器网络文件效劳器S13kdc.master-启动启动Kerberos效劳器效劳器S14kdc-启动启动Kerberos效劳器效劳器,Kerberos认证效劳器

12、认证效劳器S16boot.server-启动启动bootp效劳器效劳器,boot网络启动效劳网络启动效劳S34dhcp=启动启动dhcp,DHCP效劳器效劳器S50apache-启动启动apache效劳器效劳器S76snmpdx-启动启动snmp效劳器效劳器,启动启动SNMP效劳，允许远程网络管理效劳，允许远程网络管理S77dmi-启动启动snmp-dmi效劳效劳,SNMP子效劳子效劳S89sshd+启动启动sshd效劳器效劳器,SSH效劳器效劳器S80mipagent-启动启动MobileIP代理代理S90samba-启动启动samba效劳器效劳器,SambaCIFS网络文件效劳器网络文件效

13、劳器Ps-ef启动过程看平安启动过程看平安OpenBoot平安级别none：不需要任何口令 mand：除了boot和go之外所有命令都需要口令 full：除了go命令之外所有命令都需要口令。改变OpenBoot平安级别设置口令命令#eeprom security-password 改变平安级别为 mand#eeprom security-mode=mandUNIX用户登录过程用户登录过程1.用户翻开终端电源或运行telnet。2.getty进程将登录提示信息送到用户终端显示，并等待用户输入用户名。3.用户输入用户名。4.getty进程接收到用户名后，启动login进程。5.login进程要求用

14、户输入口令。6.用户输入口令。7.login进程对username和password进行检查。8.login启动shell进程。9.shell进程根据/etc/password中的shell类型，启动相应的shell。并启动/etc/profile文件和$HOME/.profile文件或$HOME/.login文件。最后出现UNIX提示符，等待用户输入命令。UNIX用户登录过程用户登录过程翻开终端翻开终端-getty-login-sh-/etc/profile-$HOME/.profile-出现提示符出现提示符$UNIXUNIX系统平安系统平安UNIX系统开展历史为什么介绍UNIX系统平安UN

15、IX系统的启动过程UNIX系统基础UNIX系统平安配置UNIX系统审计分析UNIX系统基础系统基础UNIX系统组成UNIX文件系统基础UNIX帐户管理基础UNIX口令基础UNIX系统组成系统组成UNIXKernelUNIX内核内核是是UNIX操作系统的核心，指挥调度操作系统的核心，指挥调度UNIX机器的运行，直接控制计算机的资源，保护用户程序不受错综机器的运行，直接控制计算机的资源，保护用户程序不受错综复杂的硬件事件细节的影响。复杂的硬件事件细节的影响。UNIXShellUNIX外壳外壳是一个是一个UNIX的特殊程序，是的特殊程序，是UNIX内核内核和用户的接口，是和用户的接口，是UNIX的命

16、令解释器、也是一种解释性高级语言。的命令解释器、也是一种解释性高级语言。UNIX文件系统文件系统UNIX文件系统结构文件系统结构UNIX帐户管理基础帐户管理基础UNIX帐户管理基础帐户管理基础useradd增加用户增加用户userdel删除用户删除用户usermod修改用户修改用户userls显示用户和系统登录信息显示用户和系统登录信息passwd修改用户口令修改用户口令groupadd增加用户组增加用户组groupdel删除用户组删除用户组groupmod修改用户组修改用户组groupls显示用户组的属性显示用户组的属性只有root用户和授权用户才能对用户和用户组进行增加、修改、删除操作。P

17、asswd文件剖析name:coded-passwd:UID:GID:user-info:home-directory:shell7个域中的每一个由冒号隔开。空格是不允许的，除非在user-info域中使用。.name给用户分配的用户名，这不是私有信息。.Coded-passwd经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号:*:代替。该域通常不手工编辑。用户应该使用passwd命令修改他们的口令。.UID用户的唯一标识号。习惯上，小于100的UID是为系统帐号保存的。帐号口令基础Passwd文件剖析续.GID用户所属的基本分组。通常它将决定用户创立文件的分组拥有

18、权。.User_info习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。.home-directory该域指明用户的起始目录，它是用户登录进入后的初始工作目录。.shell该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。帐号口令基础帐号口令基础UNIXUNIX帐号口令基础帐号口令基础/etc/shadow文件记录了系统用户的加密后口令记录了系统用户的加密后口令loginID:passwd:lastchg:min:max:warn:inactive:expire:#more/etc/shadow

19、 root:LXeokt/C/oXtw:6445:daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:UNIXUNIX帐号口令基础帐号口令基础loginID 对应用户名 password 加密后的口令。LK表示锁定帐号，NP表示无口令lastchg 最后更改口令的日期与1970年1月1日之间相隔的天数min 改变口令需要最少的天数max 同一口令允许的最大天数warn 口令到期时，提前通知用户的天数inactive 用户不使用帐号多少天禁用帐号expire 用户帐号过期的天数最后一个字段未用 UNIXUNIX系统平安系统平

20、安UNIX系统开展历史为什么介绍UNIX系统平安UNIX系统的启动过程UNIX系统基础UNIX系统平安配置UNIX系统审计分析UNIX系统平安配置系统平安配置UNIX系统基本安装配置帐号和口令平安文件系统平安其它平安配置网络效劳平安异常检测和维护UNIX系统系统不安装多余组件停止不必要的效劳打最新的补丁UNIX系统平安配置系统平安配置UNIX系统基本安装配置帐号和口令平安文件系统平安其它平安配置网络效劳平安UNIXUNIX系统系统帐号平安帐号平安禁用和删除不必要的帐号简单的方法是在/etc/shadow的password域前加*。删除账号#userdel user1UNIXUNIX系统系统帐号

21、平安帐号平安Root帐号平安性确保root只允许从控制台登陆 限制知道root口令的人数 使用强壮的密码 三个月或者当有人离开公司是就更改一次密码 使用普通用户登陆,用su取得root权限,而不是以root身份登录UNIXUNIX系统系统帐号平安帐号平安Root帐号平安性设置 umask 为077,在需要时再改回022 请使用全路径执行命令 不要允许有非root用户可写的目录存在root的路径里 修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。UNIXUNIX系统系统帐号平安帐号平安多数UNIX系统:编辑编辑/etc/defa

22、ult/login/etc/default/login文件，添加文件，添加#CONSOLE=/dev/console#CONSOLE=/dev/console 禁止禁止rootroot远程远程FTPFTP登录登录在在/etc/ftpusers/etc/ftpusers里加上里加上rootroot。linux下:编辑文件编辑文件/etc/pam.d/login/etc/pam.d/login，添加，添加/etc/pam.d/login auth required pam_securetty.so/etc/pam.d/login auth required pam_securetty.so禁止禁止

23、root用户远程登录用户远程登录UNIX帐号口令平安帐号口令平安设置密码策略编辑编辑“/etc/login.defschage-lusernamechage-m最短周期最短周期-M最长周期最长周期-I口口令到期到被锁定的天数令到期到被锁定的天数-E到期日期到期日期-W口令到期之前开始警告口令到期之前开始警告的天数的天数usernameUNIX系统平安配置系统平安配置UNIX系统基本安装配置帐号和口令平安文件系统平安其它平安配置网络效劳平安Unix文件系统的平安文件系统的平安#ls al testdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列模式位通常

24、由一列10个字符来表示，每个字符表示个字符来表示，每个字符表示一个模式设置一个模式设置1:表示文件类型。表示文件类型。d表示目录，表示目录，-表示普通文件，表示普通文件，l表示链接文件等等表示链接文件等等每个文件和目录有三组权限，一组是文件的拥有者、每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。一组是文件所属组的成员、一组是其他所有用户。r表示可读，表示可读，w表示可写，表示可写，x表示可执行。一表示可执行。一共共9位位每组每组3位位，合起来称为模式位，合起来称为模式位modebitsUnix文件系统的平安文件系统的平安Chmod 改变文档或目录之属

25、性。如改变文档或目录之属性。如#chmod 755 test#chmod 755 testChown改变文档或目录之拥有权改变文档或目录之拥有权#chownuser1file1;chown-R user1 dir1 chown-R user1 dir1 Chgrp改变文档或目录之群组拥有权改变文档或目录之群组拥有权#chgrpgroup1file1Unix文件系统的平安文件系统的平安SUID/SGIDSUID表示设置用户ID“;SGID表示设置组ID。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。SUID程序代表了

26、重要的平安漏洞，特别是SUID设为root的程序。Unix文件系统的平安文件系统的平安SUID/SGID#find/-perm-04000-o-perm-02000-print find列出所有设置了SUID“4000或SGID“2000位的普通文件“f。chmod a-s 移去相应文件的“s位。Unix文件系统的平安文件系统的平安给口令文件和组文件设置不可改变位rootvenus#chattr+i/etc/passwdrootvenus#chattr+i/etc/shadowrootvenus#chattr+i/etc/group文件系统平安文件系统平安备份命令.cp虽然常用来拷贝单独一个文

27、件，但cpcopy命令支持一个递归选项-R来拷贝一个目录和它里面所有的文件和子目录。例如把mydir中所有内容拷贝到mydir2中：cp-R mydir mydir2。.tartarTApe aRchiver命令可以创立、把文件添加到或从一个tar档案或“tar文件中解开文件。.cpio这个SVR4和GNU工具把文件拷贝进或拷贝出一个cpio或tar档案。与tar相似。文件系统平安文件系统平安Dump和RestoreDump把整个文件系统拷贝到备份介质上-#dump0f0/dev/rst01500/dev/sd0a-把一个SCSI硬盘/dev/rsd0a以0级备份到磁带/dev/rst0。Re

28、store恢复整个文件系统或提取单个文件练习练习将passwd文件去掉置S位将shadow文件设为不可改变位改变inittab文件的owner和组UNIX系统平安配置系统平安配置UNIX系统基本安装配置帐号和口令平安文件系统平安其它平安配置网络效劳平安日常异常检测和维护启动网络参数设定启动网络参数设定设置/etc/init.d/inetinit文件在系统作为路由器的情况中执行#nddset/dev/ipip_forwarding1关闭数据包转发#nddset/dev/ipip_forwarding0或/etc/notrouter忽略重定向数据包否则有遭到DOS的隐患#nddset/dev/ip

29、ip_ignore_redirects1启动网络参数设定启动网络参数设定不发送重定向数据包不发送重定向数据包#ndd set/dev/ip ip_send_redirects 0#ndd set/dev/ip ip_send_redirects 0 禁止转发定向播送禁止转发定向播送#ndd set/dev/ip#ndd set/dev/ip ip_forward_directed_broadcasts 0 ip_forward_directed_broadcasts 0 禁止转发在数据源设置了路由的数据包禁止转发在数据源设置了路由的数据包#ndd set/dev/ip ip_forward_s

30、rc_routed 0#ndd set/dev/ip ip_forward_src_routed 0ARP攻击防止攻击防止减少过期时间减少过期时间#nddset/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000默认是默认是300000毫秒毫秒5分钟分钟加快过期时间，并不能防止攻击，但是使得攻加快过期时间，并不能防止攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的击更加困难，带来的影响是在网络中会大量的出现出现ARP请求和回复请求和回复请不要在繁忙的网络上使用。请不要在繁忙的网络上使用。AR

31、P攻击防止攻击防止建立静态建立静态ARP使用使用arpffilename加载如下文件加载如下文件test.venus.08:00:20:ba:a1:f2user.venus.08:00:20:ee:de:1f这是一种很有效的方法，而且对系统影响不这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态大。缺点是破坏了动态ARP协议协议禁止禁止ARPifconfiginterfacearp网卡不会发送网卡不会发送ARP和接受和接受ARP包。但是使用包。但是使用前提是使用静态的前提是使用静态的ARP表，如果不在表，如果不在apr表中表中的计算机的计算机，将不能通信，将不能通信IP协议参数协议参数

32、关闭关闭ip转发或创立转发或创立/etc/notrouternddset/dev/ipip_forwarding0关闭转发包播送关闭转发包播送由于在转发状态下默认是允许的，为了防止由于在转发状态下默认是允许的，为了防止被用来实施被用来实施smurf攻击，关闭这一特性。攻击，关闭这一特性。#nddset/dev/ipip-forward_directed_broadcasts0关闭源路由转发关闭源路由转发nddset/dev/ipip_forward_src_routed0ICMP协议参数协议参数关闭响应关闭响应echo播送播送ndd set/dev/ip ndd set/dev/ip ip_r

33、espond_to_echo_boadcast 0ip_respond_to_echo_boadcast 0关闭响应时间戳播送关闭响应时间戳播送#ndd set/dev/ip#ndd set/dev/ip ip_respond_to_timestamp_broadcast 0ip_respond_to_timestamp_broadcast 0关闭地址掩码播送关闭地址掩码播送#ndd set/dev/ip#ndd set/dev/ip ip_respind_to_address_mask_broadcast 0ip_respind_to_address_mask_broadcast 0防止防止

34、ping在在/etc/rc.d/rc.local文件中增加如下一行：文件中增加如下一行：echo1/proc/sys/net/ipv4/icmp_echo_ignore_allICMP协议参数协议参数TCP协议参数协议参数Synflood半开式连接攻击SYNFLOOD原理请求方效劳方-发送SYN消息回应SYN-ACKACKnddset/dev/tcptcp_conn_req_max_q04096默认连接数为1024连接耗尽攻击nddset/dev/tcptcp_conn_req_max_q1024默认连接数为128Su限制限制禁止任何人通过su命令改变为root用户。如果你不希望任何人通过su

35、命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文件在/etc/pam.d/目录下的开头添加下面两行：编辑su文件vi/etc/pam.d/su，在开头添加下面两行：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/Pam_wheel.sogroup=wheel这说明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel组，以使它可以使用su命令成为root用户。隐藏系统信息隐藏系统信息编辑编辑“/etc/rc.d/rc.local文件，注释下面的行

36、。文件，注释下面的行。#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.#echo/etc/issue#echo$R/etc/issue#echoKernel$uname-ron$a$uname-m/etc/issue#cp-f/etc/issue/etc/#echo/etc/issue删除删除/etc目录下的目录下的“和和issue文件：文件：rootkapil/#rm-f/etc/issuerootkapi

37、l/#rm-f/etc/UNIX系统平安配置系统平安配置UNIX系统基本安装配置帐号和口令平安文件系统平安其它平安配置网络效劳平安日常异常检测和维护Unix的系统及网络效劳的系统及网络效劳/etc/inetd.conf/etc/inetd.conf/etc/inetd.conf决定决定inetdinetd启动网络效劳时，启动哪些启动网络效劳时，启动哪些效劳，用什么命令启动这些效劳，以及这些效劳的相关效劳，用什么命令启动这些效劳，以及这些效劳的相关信息信息/etc/service/etc/services/etc/services文件记录一些常用的接口及其所提供的文件记录一些常用的接口及其所提供

38、的效劳的对应关系。效劳的对应关系。/etc/protocols/etc/protocols/etc/protocols文件记录协议名及其端口的关系。文件记录协议名及其端口的关系。/etc/Rc*.d/etc/inittabinittab/etc/inittabinittab定义了系统缺省运行级别，系统定义了系统缺省运行级别，系统进入新运行级别需要做什么进入新运行级别需要做什么 Inetd效劳效劳#more/etc/inetd.conf#more/etc/inetd.conf#systat stream tcp nowait root /usr/bin/ps#systat stream tcp

39、nowait root /usr/bin/ps ps-efps-ef#系统进程监控效劳，允许远程观察进程系统进程监控效劳，允许远程观察进程#netstat stream tcp nowait root /usr/bin/netstat#netstat stream tcp nowait root /usr/bin/netstat netstat-f inetnetstat-f inet#网络状态监控效劳，允许远程观察网络状态网络状态监控效劳，允许远程观察网络状态#time stream tcp6 nowait root internal#time stream tcp6 nowait root

40、 internal#time dgram udp6 wait root internal#time dgram udp6 wait root internal#网络时间效劳，允许远程观察系统时间网络时间效劳，允许远程观察系统时间#echo stream tcp6 nowait root internal#echo stream tcp6 nowait root internal#echo dgram udp6 wait root internal#echo dgram udp6 wait root internal#网络测试效劳，回显字符串网络测试效劳，回显字符串Inetd效劳效劳#name

41、dgram udp wait root /usr/sbin/in.tnamed#name dgram udp wait root /usr/sbin/in.tnamed in.tnamedin.tnamed#named#named，DNSDNS效劳器效劳器#telnet stream tcp6 nowait root /usr/sbin/in.telnetd#telnet stream tcp6 nowait root /usr/sbin/in.telnetd in.telnetdin.telnetd#telnet#telnet效劳器效劳器#ftp stream tcp6 nowait roo

42、t /usr/sbin/in.ftpd#ftp stream tcp6 nowait root /usr/sbin/in.ftpd in.ftpd-ain.ftpd-a#ftp#ftp效劳器效劳器/etc/servicesMore/etc/servicesMore/etc/services#Network services,Internet style#Network services,Internet style#tcpmux 1/tcptcpmux 1/tcpecho 7/tcpecho 7/tcpecho 7/udpecho 7/udpdiscard 9/tcp sink nulldis

43、card 9/tcp sink nulldiscard 9/udp sink nulldiscard 9/udp sink nullsystat 11/tcp userssystat 11/tcp usersdaytime 13/tcpdaytime 13/tcpdaytime 13/udpdaytime 13/udpnetstat 15/tcpnetstat 15/tcpUnix系统效劳平安系统效劳平安在在inetd.confinetd.conf中关闭不用的效劳中关闭不用的效劳#cp/etc/inet/inetd.conf#cp/etc/inet/inetd.conf/etc/inet/in

44、etd.conf.bak/etc/inet/inetd.conf.bak然后用然后用vivi编辑器编辑编辑器编辑inetd.confinetd.conf文件，文件，对于需要注释掉的效劳在相应行开头标对于需要注释掉的效劳在相应行开头标记记“#“#字符即可。字符即可。注注:Ftp:Ftp和和TelnetTelnet效劳在不需要时也可注释掉。效劳在不需要时也可注释掉。Unix系统效劳平安系统效劳平安清理清理/etc/inet/inetd.conf/etc/inet/inetd.conf 效劳效劳所有的所有的TCP/UDPTCP/UDP小效劳小效劳所有的调试效劳所有的调试效劳echoecho、disc

45、arddiscard、daytimedaytime、chargenchargen所以的所以的R R效劳效劳rshrsh、rexerexe、rloginrlogin几乎所有的几乎所有的RPCRPC效劳效劳使用必要的工具替换使用必要的工具替换telnet,ftptelnet,ftp重起重起inetdinetd效劳效劳#killall HUP inetd#killall HUP inetdUNIX网络效劳平安网络效劳平安DNSFTPTELNETMAILTcp_wrapperDnsBind历史历史Bind最初在最初在加利佛尼亚大学伯克利分校加利佛尼亚大学伯克利分校实现在实现在4.3FSBUNIX机上。

46、机上。有两种版本有两种版本BIND4、BIND8都是免费版本都是免费版本BIND8是新版的是新版的BIND4已停止除平安补丁程序外的开发。已停止除平安补丁程序外的开发。已移植到已移植到Unix、linux、winnt、os/2上。上。两种版本在书写格式上不同。两种版本在书写格式上不同。BINDBIND主要配置文件主要配置文件named配置文件/etc/named.bootbind4/etc/named.conf bind8DNS数据文件正向解析文件反向解析文件Db.cache文件解析装置文件/etc/resolv.conf/etc/named.conf/etc/named.conf 举例举例#

47、more/etc/named.confoptions options directory/var/named;directory/var/named;zone.in zone.in type hint;type hint;file db.cache;file db.cache;/etc/named.conf/etc/named.conf 举例举例zone“abc.in zone“abc.in type master;type master;file“abc.zone;file“abc.zone;zone 0.3.10.in-addr.arpa in zone 0.3.10.in-addr.ar

48、pa in type master;type master;file“abc.rev;file“abc.rev;DNSDNS效劳器的常见攻击方法效劳器的常见攻击方法地址欺骗远程漏洞入侵拒绝效劳地址欺骗地址欺骗DNSDNS效劳器的拒绝效劳攻击效劳器的拒绝效劳攻击针对DNS效劳器软件本身利用DNS效劳器作为中间的“攻击放大器，去攻击其它intetnet上的主机BindBind效劳器平安配置效劳器平安配置基本平安配置Bind效劳器的访问控制设置chroot运行环境Bind效劳器平安配置基本平安配置隐藏版本信息在options节中增加自定义的BIND版本信息，可隐藏BIND效劳器的真正版本号。例如：v

49、ersionWhoknows?;/version9.9.9;此时如果通过DNS效劳查询BIND版本号时，返回的信息就是Whoknows?。BindBind效劳器平安配置效劳器平安配置基本平安配置named进程启动选项-r：关闭域名效劳器的递归查询功能缺省为翻开。该选项可在配置文件的options中使用recursion选项覆盖。-u 和-g：定义域名效劳器运行时所使用的UID和GID,这用于丢弃启动时所需要的root特权。-t：指定当效劳器进程处理完命令行参数后所要chroot的目录。BindBind效劳器平安配置效劳器平安配置Bind效劳器的访问控制:限制查询限制区域传输关闭递归查询Bind

50、效劳器平安配置/etc/named.confoptions directory “/var/named;allow-query 202.96.44.0/24;allow-transfer 192.168.100.1;202.96.44.0/24;recursion no;Bind效劳器平安配置FTPFTP有平安问题有平安问题proftppre3remoteshellProftppre10DoSWuftp2.4.18Wuftp2.5Wuftp2.6SunftpcoreFtp平安要点平安要点TELNET改变TELNET登录的提示编辑编辑/etc/motd/etc/motd文件文件防止显示系统和版本