1 / 177

UNIX 系统安全

UNIX 系统安全. 李宗洋 lizyj@lenovo.com lizy3@lenovoai.com. UNIX 系统安全. UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复. UNIX 系统安全基础. UNIX 系统综述 UNIX 系统安全管理基础. UNIX 系统安全基础. UNIX 系统综述 UNIX 系统安全管理基础. UNIX 系统综述. UNIX 系统的安全特征. 按照可信计算机评价标准 (TCSEC) 达到 C2 级 有控制的存取保护.

liana
Download Presentation

UNIX 系统安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. UNIX系统安全 李宗洋 lizyj@lenovo.com lizy3@lenovoai.com

  2. UNIX系统安全 • UNIX系统安全基础 • UNIX系统安全规划 • UNIX系统入侵防范 • UNIX系统入侵检测 • UNIX系统安全审计 • UNIX系统入侵恢复

  3. UNIX系统安全基础 • UNIX系统综述 • UNIX系统安全管理基础

  4. UNIX系统安全基础 • UNIX系统综述 • UNIX系统安全管理基础

  5. UNIX系统综述

  6. UNIX系统的安全特征 按照可信计算机评价标准(TCSEC)达到C2级 有控制的存取保护

  7. UNIX系统的安全特征 按照可信计算机评价标准(TCSEC)达到C2级 有控制的存取保护 • 访问控制 • 个人身份标识与认证 • 审计记录 • 操作的可靠性

  8. UNIX系统的安全模型

  9. UNIX系统安全基础 • UNIX系统综述 • UNIX系统安全管理基础

  10. Unix 系统结构 • 多用户; • 多任务; • 分层的操作系统。

  11. Unix 系统结构 用户程序与底层的硬件无关

  12. unix文件系统 • 文件系统基础 • 文件系统结构 • 文件系统类型

  13. 文件系统基础 • 文件系统安全是UNIX系统安全的核心。 • 在UNIX中,所有的事物都是文件。用户数据的集合是文件,目录是文件,进程是文件,命令是文件,设备是文件、甚至网络连接也是文件。

  14. 文件系统结构

  15. 文件系统结构

  16. 文件系统类型 • 正规文件:(A S C I I文本文件,二进制数据文件,二进制可执行文件等) • 目录 • 特殊文件 • 链接 (硬链接、软链接) • Sockets(进程间通信时使用的特殊文件) • Ls /etc/ | more(演示)

  17. 入侵检测系统 • UNIX系统安全基础 • UNIX系统安全规划 • UNIX系统入侵防范 • UNIX系统入侵检测 • UNIX系统安全审计 • UNIX系统入侵恢复

  18. UNIX系统安全规划 • 危险评估 • 安全策略

  19. UNIX系统安全规划 危险评估 • 资产确认 • 资产评估 • 判断危险性 • 确定保护方法

  20. UNIX系统安全规划 安全策略 • 通用策略 • 个人使用策略 • 帐户策略 • 电子邮件策略 • 防火墙策略 • 问题报告策略

  21. 入侵检测系统 • UNIX系统安全基础 • UNIX系统安全规划 • UNIX系统入侵防范 • UNIX系统入侵检测 • UNIX系统安全审计 • UNIX系统入侵恢复

  22. UNIX系统入侵防范 • 物理安全 • 网络安全 • 帐号安全 • 文件系统安全 • 安全防范组件及工具

  23. UNIX系统入侵防范 • 物理安全 • 网络安全 • 帐号安全 • 文件系统安全 • 安全防范组件及工具

  24. UNIX系统物理安全 • 控制台安全 • 数据安全 • 用户意识

  25. UNIX系统物理安全 • 控制台安全 • 数据安全 • 用户意识

  26. 控制台安全(一) • 用有效的钥匙锁住房间 • 不要有其他的途径进入房间 • 具有报警系统和警卫

  27. 控制台安全(二) • BIOS安全,设定引导口令 • 禁止从软盘或光盘启动 • 防止未授权用户使用单用户模式 • Control-Alt-Delete关机键无效 • 禁止使用控制台程序

  28. 防止未授权用户使用单用户模式 修改lilo文件 • boot=/dev/sda • map=/boot/map • install=/boot/boot.b • prompt • timeout=00 ? change this line to 00. • Default=linux • restricted ? add this line. • password=<password> ? add this line and put your password. • image=/boot/vmlinuz-2.2.12-20 • label=linux 使修改生效 • [root@cnns]# /sbin/lilo -v (to update the lilo.conf file).

  29. Control-Alt-Delete关机键无效 • 编辑inittab文件 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now • 用下面的命令使改变生效: #[root@cnns]# /sbin/init q

  30. 禁止使用控制台程序 [root@cnns]# rm -f /etc/security/console.apps/halt [root@cnns]# rm -f /etc/security/console.apps/poweroff [root@cnns]# rm -f /etc/security/console.apps/reboot [root@cnns]# rm -f /etc/security/console.apps/shutdown [root@cnns]# rm -f /etc/security/console.apps/xserver

  31. UNIX系统物理安全 • 控制台安全 • 数据安全 • 用户意识

  32. 数据安全 • 数据备份在安全的,专用的恢复数据的地方 • 计算机在UPS 保护下保证稳定的电源 • 保护网络电缆不要暴露 • 把敏感的信息锁在抽屉里 • 毁坏敏感的打印输出和磁带

  33. UNIX系统物理安全 • 控制台安全 • 数据安全 • 用户意识

  34. 用户意识 • 离开时请锁住屏幕或注销登陆机器 • 不要把密码或者密码提示写在桌子上 • 管理意识,信息是有价值的资产 • 经常改变root的口令

  35. UNIX系统入侵防范 • 物理安全 • 网络安全 • 帐号安全 • 文件系统安全 • 安全防范组件及工具

  36. UNIX系统网络安全 • linux系统网络安全基本配置 • Solaris系统网络安全基本配置 • 常用网络服务安全

  37. UNIX系统网络安全 • linux系统网络安全基本配置 • Solaris系统网络安全基本配置 • 常用网络服务安全

  38. linux系统网络安全基本配置 • 过滤 • 防止欺骗

  39. linux系统网络安全基本配置 过滤: • 系统启动服务清理 • 屏蔽系统对ping请求的反应 • 屏蔽系统登录显示信息 • “/etc/host.conf”文件配置 • 使用更安全的版本替代(比如ssh2)

  40. linux系统网络安全基本配置 过滤: • 采用TCP wrappers 提供更强的访问控制 • 限制root用户登录的tty设备

  41. 系统启动服务清理 • 清理/etc/rc2.d • 值得注意的 • nfs.* • S71RPC • 清理/etc/rc3.d • SNMP使用的选择 • SNMP配置

  42. 系统启动服务清理 • 清理/etc/xinetd.d 服务: • 所有的TCP/UDP小服务 • 所有的调试服务 • 所以的R服务 • 几乎所有的RPC服务 • 使用必要的工具替换telnet,ftp • 必要的时候可以完全禁止inetd或用xinetd替换

  43. 禁止所有不需要的服务 • /etc/xinetd.d/telnet ---------------------------------------- service telnet { disable = yes flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd server_args = -h log_on_failure += USERID

  44. linux系统网络安全基本配置 • 屏蔽系统对ping请求的反应 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all(演示) • 编辑“host.conf”文件(vi /etc/host.conf) • order bind,hosts • multi on • nospoof on

  45. linux系统网络安全基本配置 • 屏蔽系统登录显示信息 • 1)编辑“/ect/rc.d/rc.local”文件 • #echo "" > /etc/issue #echo "$R" >> /etc/issue • #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue • #cp -f /etc/issue /etc/issue.net • #echo >> /etc/issu • 2)、删除“/etc”目录下“issue.net”、“issue”文件

  46. linux系统网络安全基本配置 • 限制root用户登录的tty设备 • “/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。 • 编辑securetty文件(vi /etc/securetty)象下面一样,注释掉一些行: tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8

  47. linux系统网络安全基本配置 防止欺骗: • 禁止IP源路径路由 • 防范“SYN Attack”拒绝服务攻击 • 配置防火墙加强网络防御

  48. linux系统网络安全基本配置 • 禁止IP源路径路由: #echo 0 /proc/sys/net/ipv4/conf/*/accept_source_route; • 防范“SYN Attack”拒绝服务攻击 # echo 1 > proc/sys/net/ipv4/tcp_syncookies

  49. UNIX系统网络安全 • linux系统网络安全基本配置 • Solaris系统网络安全基本配置 • 常用网络服务安全

  50. Solaris系统网络安全基本配置 • 调整ARP协议参数 • 调整IP层参数 • 调整ICMP参数 • 调整TCP协议参数

More Related