單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,Linux操作系統(tǒng)實訓教程,主講人 劉曉輝,第10章 Linux系統(tǒng)安全,本章要點,常見攻擊類型,Linux系統(tǒng)安全策略,網絡服務安全,腳本安全,使用Snort進行入侵檢測,網絡防火墻,10.1 常見的攻擊類型,10.1.1 掃描,10.1.2 嗅探,10.1.3 木馬,10.1.4 病毒,幾種常見的攻擊方式，包括端口掃描、嗅探、種植木馬、傳播病毒等等10.1.1 掃描,1.什么是掃描器,2.工作原理,3.掃描器能干什么,4.常用的端口掃描技術,（1）TCP connect()掃描,（2）TCP SYN掃描,（3）TCP FIN掃描,（4）IP段掃描,（5）TCP反向ident掃描,（6）FTP返回攻擊,10.1.2 嗅探,1.嗅探原理,2.嗅探造成的危害,竊取用戶名和密碼,捕獲專用或機密信息,竊取高級訪問權限,窺探低級的協(xié)議信息,3.常見的嗅探器,Tcpdump/Windump,Sniffit,Ettercap,Snarp,4.嗅探特征,網絡通信丟包率反常,網絡帶寬出現反常,5.嗅探對策,及時打補丁,本機監(jiān)控,監(jiān)控本地局域網的數據幀,對敏感數據加密,使用安全的拓樸結構,10.1.3 木馬,提示,網絡客戶/服務模式的原理是一臺主機提供服務（服務器），另一臺主機接受服務（客戶機）。

作為服務器的主機一般會打開一個默認的端口并進行監(jiān)聽，如果有客戶機向服務器的這一端口提出連接請求，服務器上的相應程序就會自動運行，來應答客戶機的請求，這個程序稱為守護進程對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機10.1.4 病毒,1.可執(zhí)行文件型病毒,2.蠕蟲（worm）病毒,3.腳本病毒,4.后門程序,10.2 Linux系統(tǒng)安全策略,10.2.1 分區(qū)安全,10.2.2 系統(tǒng)引導安全,10.2.3 賬號安全,10.2.4 密碼安全,10.2.5 系統(tǒng)日志,系統(tǒng)安全包括分區(qū)安全、系統(tǒng)引導安全、賬號安全、密碼安全等,10.2.1 分區(qū)安全,修改/etc/fstab,提示,各個單獨分區(qū)的磁盤空間大小應充分考慮，避免因某些原因造成分區(qū)空間用完而導致系統(tǒng)崩潰10.2.3 賬號安全,使用su命令,刪除用戶,修改文件屬性,10.2.4 密碼安全,1.強制密碼設置規(guī)范,2.密碼數據庫的保護手段,提示,系統(tǒng)管理員可以采取各種策略來確保密碼安全但首先要讓用戶們明白密碼安全的重要性，同時制定密碼策略來強制密碼設置規(guī)范這包括確定可接受的密碼設置要求、更換密碼的時限、密碼需要包含多少字符等等。

系統(tǒng)管理員還可以運行檢測工具來查找密碼數據庫的安全漏洞10.2.5 系統(tǒng)日志,1.基本日志命令的使用,2.使用Syslog設備,連接時間日志,進程統(tǒng)計,錯誤日志,連接時間日志和錯誤日志,查看錯誤日志,連結時間日志,所有位置,2.使用Syslog設備,記錄郵件信息,到一個文件中,存儲日志,并設置級別,2.使用Syslog設備,將日志發(fā)送到郵箱,將消息傳送至messages,提示,在有些情況下，可以把日志送到打印機，這樣網絡入侵者怎么修改日志都不能清除入侵的痕跡因此，syslog設備是一個攻擊者的顯著目標，破壞了它將會使用戶很難發(fā)現入侵以及入侵的痕跡，因此要特別注意保護其守護進程以及配置文件10.3 網絡服務安全,10.3.1 iptables,10.3.2 TCP Wrappers,10.3.3 xinetd,10.3.4 常見網絡服務的安全問題,網絡服務安全包括：iptables、TCP Wrappers、xinetd及其他常見網絡服務安全10.3.1 iptables,1.iptables基礎,2.簡單iptable管理,1.iptables基礎,用man查看iptables幫助信息,GNOME進入安全級別設置,提示,基于瀏覽器界面的服務器管理系統(tǒng)Webmin也具備iptable的管理能力。

甚至有些Linux的發(fā)布版本的整個目的就是為了提供一個iptable的GUI前臺、一定的配置功能、合理健全的默認配置、路由服務配置界面的整合以及其他常用的網絡防火墻設備的功能2.簡單iptable管理,（1）備份,（2）恢復,（3）安全設置,修改內核變量,修改腳本,（1）備份,進行設置,執(zhí)行“iptables-L”命令,（1）備份,存儲iptables設置,（2）恢復 和（3）安全設置,恢復設置,修改network腳本,10.3.2 TCP Wrappers,1.Tcp Wrappers的功能,2.Tcp Wrappers的配置,查看tcp_wrappers具體,信息的文件所有位置,配置,hosts.allow,10.3.3 xinetd,xinetd服務配置,10.3.4 常見網絡服務的安全問題,1.WuFTPD,2.Telnet,3.Sendmail,4.su,5.named,10.4 腳本安全,10.4.1 處理用戶輸入,10.4.2 注意隱式輸入,腳本就是運行在網頁服務器上的文本程序，例如：ASP、PHP、CGI、JSP、ISAP等，腳本攻擊就是利用這些文件的設置和編寫時的錯誤或疏忽，進行攻擊的，如果一個服務器存在這些漏洞，那么它就很容易被攻破。

這些文本文件一般都是要結合數據庫來使用的，這些數據庫有Access、MsSQL、MySQL、Oracle等10.5 使用Snort進行入侵檢測,10.5.1 入侵檢測系統(tǒng)簡介,10.5.2 snort介紹,10.5.3 安裝Snort,10.5.4 使用Snort,10.5.5 配置snort規(guī)則,10.5.6 編寫Snort規(guī)則,10.5.7 snort規(guī)則應用舉例,入侵檢測和使用網絡防火墻，正是安全防范的兩大措施10.5.1 入侵檢測系統(tǒng)簡介,1.基于網絡的入侵檢測系統(tǒng),2.基于主機的入侵檢測系統(tǒng),3.混合式入侵檢測系統(tǒng),4.文件完整性檢查工具,10.5.2 snort介紹,1.snort是一個輕量級的入侵檢測系統(tǒng),2.snort的可移植性很好,3.snort的功能非常強大,10.5.3 安裝Snort,1.獲得snort,Snort下載地址：http:/www.snort.org,2.安裝snort,1.獲得snort,下載snort,壓縮包,下載libpcap,庫壓縮包,2.安裝snort,（1）解壓libpcap包和snort包,（2）編譯libpcap庫,（3）安裝snort,（4）編譯snort,鼠標右鍵解壓,執(zhí)行./configure命令,10.5.4 使用Snort,1.作為嗅探器,2.記錄數據包,3.作為入侵檢測系統(tǒng),查看snort用法,提示,Snort命令的各個參數可以分開寫或任意結合在一塊。

例如，./snort-d-v-e 和./snort-vde 的效果是完全相同的2.記錄數據包,使用-vde參數,記錄數據包,2.記錄數據包,執(zhí)行“snort l/log-b”,3.作為入侵檢測系統(tǒng),snort最重要的用途還是作為網絡入侵檢測系統(tǒng)（NIDS），使用下面的命令行可以啟動這種模式：,提示,如果用戶想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包10.5.5 配置snort規(guī)則,pass：放行數據包,log：把數據包記錄到日志文件,alert：產生報警消息并日志數據包,10.6 動手實踐,安裝snort并用snort進行入侵檢測,（1）下載,（2）安裝,。