Linux 網路系統安全管理

1. Linux網路系統安全管理 • 系統安全概論 • 安全系統安裝 • 安裝後的安全設定 • Webmin+SSL 簡易系統管理 • 安全稽核機制 • Linux Security Tools • 結論 --- 網路安全是沒有deadline 的 Y2K 問題 亞東技術學院 帆毅網路研究室 施勢帆

2. 系統安全概論 • TCSEC – 電腦系統安全評估準則 • 身分識別 • 自主式存取控制 • 強制式存取控制 • 系統稽核 • 安全策略 • 安全保證 • 入侵原因排行 • 入侵種類 • 駭客入侵 • 電腦病毒入侵 • 內賊入侵 • 網路攻擊手法 • Vulnerabilities 亞東技術學院 帆毅網路研究室 施勢帆

3. 入侵原因排行 （From NAI) 1.Hosts running unnecessary services; e.g. ftp, sendmail 2.Unpatched, outdated application software and hardware firmware 3.Information leakage through services such as: gopher, finger, telnet, SNMP, SMTP, netstat, etc. 4.Misappropriated trust relationships; e.g. rsh, rlogin, rexec 5.Misconfigured firewalls or router ACL's (Access Control Lists) 6.Weak passwords 7.Misconfigured web servers 8.Improperly imported file systems 9.Misconfigured or unpatched NT systems 10.Unsecured remote access points; e.g. remote access servers, modems pools, etc. 亞東技術學院 帆毅網路研究室 施勢帆

4. RedHatVulnerabilities • 2000-06-09: 3R Soft MailStudio 2000 Multiple Vulnerabilities • 2000-06-07: Multiple Linux Vendor restore Buffer Overflow Vulnerability • 2000-06-05: BRU BRUEXECLOG Environmental Variable Vulnerability • 2000-05-29: Xlockmore 4.16 Buffer Overflow Vulnerability • 2000-05-24: HP Web JetAdmin Directory Traversal Vulnerability • 2000-05-24: HP Web JetAdmin 6.0 Printing DoS Vulnerability • 2000-05-24: MDBMS Buffer Overflow Vulnerability • 2000-05-18: Lotus Domino Server ESMTP Buffer Overflow Vulnerability • 2000-05-18: XFree86 Xserver Denial of Service Vulnerability • 2000-05-16: Multiple Vendor Kerberos 5/Kerberos 4 Compatibility krb_rd_req() Buffer Overflow Vulnerability • Etc. 亞東技術學院 帆毅網路研究室 施勢帆

5. 網路攻擊手法 • Ping of Death • Out of Bound Data • Mail Bombing • Email Spamming • Flood • Teardrop • SYN Flood • LAND • Denial of Service • DDOS … • Etc. 亞東技術學院 帆毅網路研究室 施勢帆

6. 安全系統安裝 • 選擇高品質的伺服器系統安裝套件的要求 • Security • Availability • Commercially Supported • Performance and Tuning • Simplicity • 安裝過程注意事項 • Do not Connect to the Network • Installation Type - Custom • Disk Partitioning and Formatting • Installing LILO • User Account Configuration • Authentication on Configuration • Package Selection and the Install • Getting and Installing Patches 亞東技術學院 帆毅網路研究室 施勢帆

7. 安裝後的安全設定 • Securing Services • Securing LILO • linux init=/bin/sh ? • password • chmod 640 /etc/lilo.conf • File Permissions • Securing and Managing suid root binaries • find / -type f -perm +6000 -exec ls -l {} \; > suidfiles.txt • chmod -s programname • Other Necessary Steps • /etc/passwd • /etc/securetty • /etc/security/ • Bastille Linux • Subscribe mail list 亞東技術學院 帆毅網路研究室 施勢帆

8. 安全網路服務 • SSH / SNP / PAM • TCP-Wrappers Using Passive Fingerprinting (TTL, Window Size, DF, TOS) • Stunnel /usr/sbin/stunnel –p /etc/ssl/certs/server.pem –d spop3 –l /usr/sbin/ipop3d • Apache-SSL • Chroot • PGP/GPG Key Server 亞東技術學院 帆毅網路研究室 施勢帆

9. Linux PAM • PAM（Pluggable Authentication Modules for Linux）是允許系統管理員可以設置多種認証方式，而不須要再重新編譯要進行認証的程序。藉以下的流程圖來說明Linux-PAM的工作流程： 亞東技術學院 帆毅網路研究室 施勢帆

10. Kernel Modifications (openwall) Features: • Non-executable user stack area • Restricted links in /tmp • Restricted FIFOs in /tmp • Restricted /proc • Special handling of fd 0, 1, and 2 • Enforce RLIMIT_NPROC on execve(2) • Destroy shared memory segments not in use • Privileged IP aliases (Linux 2.0 only) 亞東技術學院 帆毅網路研究室 施勢帆

11. Webmin+SSL簡易系統管理 • 系統管理者要求 • 網路遠端管理 • 簡單的視窗化介面 • 分層授權管理 • 何謂Webmin • 利用瀏覽器透過網路來遠端管理Unix系統的軟體 • 支援多國語言 • BSD 版權宣告 亞東技術學院 帆毅網路研究室 施勢帆

12. Webmin 安裝及功能 • 安裝所需軟體 • Perl, openssl, Net_SSLeay.pm, Webmin • 功能 亞東技術學院 帆毅網路研究室 施勢帆

13. Webmin 分層授權管理 亞東技術學院 帆毅網路研究室 施勢帆

14. Webmin 系統管理 亞東技術學院 帆毅網路研究室 施勢帆

15. Webmin 硬體管理 亞東技術學院 帆毅網路研究室 施勢帆

16. Webmin 其他功能 亞東技術學院 帆毅網路研究室 施勢帆

17. Webmin伺服器管理 亞東技術學院 帆毅網路研究室 施勢帆

18. 安全稽核機制 • /etc/syslog.conf • Facility • Syslog level • Action • tcplogd • icmpinfo • logcheck • Tripwire • Intrusion Detection • Damage Asseccment and Recovery • Policy Compliance • Software Verification • Forensics 亞東技術學院 帆毅網路研究室 施勢帆

19. Intrusion Detection • Lines of Defence 亞東技術學院 帆毅網路研究室 施勢帆

20. Firewalling Firewalls offer the outermost layer of protection for a network, providing a basic barrier and restricting points of access. 亞東技術學院 帆毅網路研究室 施勢帆

21. LIDS • LIDS is an intrusion detection and prevention system that resides within the Linux kernel. • LIDS' protection is aimed at preventing the root user (who would normally have access to the entire system) from tampering with important parts of the system. LIDS' most important features include increased file system protection, protection against direct port access or direct memory access, protection against raw disk access, and protection of log files. LIDS also prevents certain system actions, such as installing a packet sniffer or changing firewall rules. 亞東技術學院 帆毅網路研究室 施勢帆

22. Linux Security Tools • Introduction • Scanners • Firewalls • Portscan Detectors • Honeypots • Authentication • Access Control • Encryption • Virtual Private Networks • Developer libraries 亞東技術學院 帆毅網路研究室 施勢帆

23. 結論 • 網路安全是沒有deadline 的 Y2K 問題 • 訂閱相關網路安全新聞 • 加裝安全程式 • 建構 IDS 亞東技術學院 帆毅網路研究室 施勢帆

24. 參考資料 • CERT&reg Coordination Center --- http://www.cert.org • TWCERT ---http://www.cert.org.tw • SecurityFocus --- http://www.securityfocus.com/ • Security Space ---http://www.securityspace.com深入Linux建構與管理，楊文誌，旗標 • Linux網路伺服器架設，施勢帆、呂建毅，碁峰 • 使用Linux建立網路伺服環境，施勢帆等，第三波 • 帆毅網路研究室 ---http://mouse.oit.edu.tw 亞東技術學院 帆毅網路研究室 施勢帆