【文章內(nèi)容簡(jiǎn)介】 級(jí)受害主機(jī)發(fā)現(xiàn)它作為攻擊者已經(jīng)成功的感染了一定數(shù)量的主機(jī) （ 目前已發(fā)現(xiàn)版本的數(shù)量為 2022） 后 ， 允許自身暴露 。 ? 第九步 ， 隨機(jī)生成 IP作為二級(jí)受害主機(jī)的超集 ，對(duì)這些 IP所在的 C類網(wǎng)段的 80口進(jìn)行橫向掃描（ 檢測(cè)是否為 WWW服務(wù)器 ） ， 保存結(jié)果 ， 獲得存在 WWW服務(wù)的主機(jī)集合 （ 即二級(jí)受害主機(jī)集合二 ） ； ? 第十步，對(duì)二級(jí)受害主機(jī)集合嘗試 UNICODE攻擊（該攻擊針對(duì) Windows NT系列系統(tǒng)），試圖修改其主頁(yè)。 攻擊示意圖 原始攻擊者FTP第一級(jí)受害者第二級(jí)受害者 第二級(jí)受害者 第二級(jí)受害者 NT web server NT web server NT web serverUNIX簡(jiǎn)史 UNIX安全管理基本原則 ? 好的安全管理起始于安全規(guī)劃 ? 危險(xiǎn)評(píng)估 ? 哪些需要被保護(hù)？ ? 他們有多大的價(jià)值？ ? 要使他抵御什么樣的危險(xiǎn)？ ? 怎樣來(lái)保護(hù)？ UNIX安全管理基本原則（續(xù)上） ? 成本收益分析 ? 用戶培訓(xùn) ? 了解社會(huì)工程 ? 管理員素質(zhì)培養(yǎng) ? 遵守安全守則 安全的主機(jī)（ UNIX） ? 主機(jī)的安全配置 ? 配置管理 ? 服務(wù)裁剪 ? 主機(jī)的安全管理 ? 日常安全管理 ? 系統(tǒng)審計(jì) ? 常用工具介紹 UNIX的安全配置 ? 帳號(hào)管理 ? 文件系統(tǒng)的管理 ? 服務(wù)管理 一個(gè) UNIX防御模型 帳號(hào)安全用戶名和口令root用戶文件系統(tǒng)安全權(quán)限加密物理安全鎖和守衛(wèi)網(wǎng)絡(luò)安全外層和防火墻UNIX帳號(hào)管理 ? 侵入系統(tǒng)最簡(jiǎn)潔的方式是獲得系統(tǒng)帳號(hào) ? 選擇安全的口令 ? 最安全的口令是完全隨機(jī)的由字母、數(shù)字、標(biāo)點(diǎn)、特殊字符組成 ? 選擇的口令要經(jīng)得住兩層攻擊 ?依據(jù)個(gè)人信息猜測(cè) ?用口令猜測(cè)程序猜測(cè) UNIX帳號(hào)管理（續(xù)上） ? 口令禁忌 ? 不要選擇字典中的單詞 ? 不要選擇簡(jiǎn)單字母組合（ abcdef等） ? 不要選擇任何指明個(gè)人信息的口令 ? 不要選擇包含用戶名的口令 ? 盡量不要短于 6個(gè)字符 ? 不要選擇全大寫或者全小寫的組合 UNIX帳號(hào)管理（續(xù)上） ? 好的口令 ? 不能短于 6個(gè)字符 ? 選擇包含非字母字符的口令 ? 選擇一個(gè)容易記住而不必寫下來(lái)的口令 ? 選擇一個(gè)易于輸入的口令 ? 口令不能落紙 ? 關(guān)閉不必要的帳號(hào) UNIX文件系統(tǒng)安全 ? 定義用戶安全級(jí)別 ? 系統(tǒng)文件的訪問(wèn)控制 ? 重要數(shù)據(jù)的備份和加密存放 ? 重要數(shù)據(jù)一定要做分機(jī)備份 ? 外部可訪問(wèn)主機(jī)的重要數(shù)據(jù)需要加密存放 UNIX文件系統(tǒng)安全 Web server 學(xué)生資料庫(kù) inter UNIX啟動(dòng)過(guò)程 ? UNIX啟動(dòng) （ Redhat Linux for Alpha/AXP） ? Bootloader ? Kernel引導(dǎo)入口 ? 核心數(shù)據(jù)結(jié)構(gòu)初始化 內(nèi)核引導(dǎo)第一部分 ? 外設(shè)初始化 內(nèi)核引導(dǎo)第二部分 ? init進(jìn)程和 inittab引導(dǎo)指令 ? rc啟動(dòng)腳本 ? getty和 login ? bash UNIX服務(wù)配置 ? 基本原則 ? 盡量關(guān)閉不必要的服務(wù) ? 服務(wù)越多，被攻入的可能性越大 ? 服務(wù)裁剪 ? 參考 UNIX的啟動(dòng)過(guò)程 ? 減弱 id的能力 ? 消弱 cron中定時(shí)啟動(dòng)的服務(wù) 服務(wù)裁剪－－ linux ? 把 /etc/掉，僅僅保留所需要的部分服務(wù)。 ? 在該配置文件中沒(méi)有不可以注釋的部分 。 ? 在一般情況下可以保留 tel、 FTP，以及其它該服務(wù)器所提供的特殊服務(wù)，如DNS服務(wù)器的 named等等 ? 注釋方法為：在不使用的服務(wù)前加 ‘ ’ 服務(wù)裁剪－－ linux（ cont.） ? 需要注意： Linux自身攜帶的 FTPd在許多版本中有安全漏洞。 ? reboot系統(tǒng) ? Linux各版本內(nèi)核注釋方法基本相同。 服務(wù)裁剪－－ linux（ cont.） ? 超級(jí)用戶 (root)直接使用命令： linuxconf ? 選擇 Control(Control Panel)?Control service activity僅保留以下服務(wù)： i, keytable, kudzu, linuxconf(即該配置界面 )，work, syslog。 ? 此外，部分 Linux也可以在控制臺(tái)上使用setup命令進(jìn)行配置。如果可以使用 setup則 linuxconf服務(wù)建議關(guān)閉。 服務(wù)裁剪－－ Solaris ? 為了系統(tǒng)安全，盡量減少系統(tǒng)對(duì)外提供的服務(wù)，使系統(tǒng)服務(wù)最小化。 ? 編輯 /etc/，注釋調(diào)所有不需要的服務(wù) (在注釋行開(kāi)始加入’ ’)。 ? 其中可以被注釋的一些比較有代表性的服務(wù)有：shell, login, exec, talk, bat, uucp, tftp, finger, stat, ruserd, sprayd, walld, rstatd, cmsd, ttdbserverd等等 ， 可以僅保留需要使用的 tel、FTP 、 DNS() 等等 。 需要特別注意Solaris系統(tǒng)自身攜帶的 DNS()、 FTP、POP、 IMAP等主要服務(wù)均有問(wèn)題 。 服務(wù)裁剪－－ Solaris(續(xù) ) ? 注釋掉服務(wù)后重新啟動(dòng) id ? Ps –ef |grep id獲得 id的進(jìn)程號(hào) ? Kill –9 processid殺死 id進(jìn)程 ? /usr/sbin/id s 重新啟動(dòng) id ? Sun OS ? 上述服務(wù)中，只保留必須的服務(wù)，并且務(wù)必保證運(yùn)行服務(wù)的版本的及時(shí)更新。 服務(wù)裁剪－－ Solaris(續(xù) ) ? 通過(guò)注釋掉不必要的 RC程序，可以使某些服務(wù)不啟動(dòng)。 ? 對(duì)于 Solaris系統(tǒng)而言，可以在非 MAIL服務(wù)器上注釋掉 sendmail服務(wù)； ? 可以在不需要使用 NFS的環(huán)境下注釋掉statd服務(wù)和 automountd服務(wù)； 服務(wù)裁剪－－ Solaris(續(xù) ) ? 注釋的方法為： ? 進(jìn)入 /etc目錄，在 ，利用grep命令搜索自己關(guān)心的服務(wù) ? 發(fā)現(xiàn)啟動(dòng)的文件后，把該文件移走即可。 ? 為了防止將來(lái)需要使用該文件建議使用如下方法： ? 在 /etc目錄下建立 rcbackuprc目錄，對(duì)文件做備份 ? 具體資料見(jiàn)附件 UNIX主機(jī)的安全管理 ? 日常管理原則 ? 系統(tǒng)審計(jì) ? 常用管理工具介紹 日常管理原則 ? 管理員必須對(duì)主機(jī)全權(quán)管理 ? 必須是管理員管理 ? 管理員必須管理 ? 管理員必須定期審計(jì)主機(jī) ? 系統(tǒng)軟件的安裝必須進(jìn)行授權(quán) ? 超級(jí)用戶的控制 ? 原則上只有管理員和備份管理員有超級(jí)用戶口令 ? 超戶的擴(kuò)散必須有足夠的理由 系統(tǒng)審計(jì) ? 日常審計(jì) ? 系統(tǒng)進(jìn)程檢查 ? 系統(tǒng)服務(wù)端口檢查 ? 系統(tǒng)日志檢查 ? 針對(duì)性審計(jì) ? 懷疑發(fā)生攻擊后，對(duì)系統(tǒng)進(jìn)行針對(duì)性審計(jì) ? 針對(duì)具體懷疑情況，具體操作。 日常審計(jì) ? 系統(tǒng)進(jìn)程檢查 ? ps –ef |more (solaris) ? ps –ax|more (linux) ? 系統(tǒng)管理員應(yīng)該清楚系統(tǒng)應(yīng)該啟動(dòng)哪些進(jìn)程 日常審計(jì)－－系統(tǒng)進(jìn)程 服務(wù)器端口檢查 ? stat –a ? 列出所有活動(dòng)端口 ? 管理員應(yīng)該熟知所管理系統(tǒng)應(yīng)該活動(dòng)的端口 ? 發(fā)現(xiàn)異常端口活動(dòng)，那么這個(gè)系統(tǒng)的可靠性值得懷疑 日志檢查 ? 系統(tǒng)日志位置 ? /var/adm/messages.* (solaris) ? /var/log/messages.* (linux) ? 日志的生成 ? syslogd ? minilogd 日志檢查 ? 記錄重要的系統(tǒng)事件是系統(tǒng)安全的一個(gè)重要因素 ? 使用 wtmp/utmp文件的連接時(shí)間日志 ? 使用 acct和 pacct文件的進(jìn)程統(tǒng)計(jì) ? 經(jīng)過(guò) syslogd實(shí)施的錯(cuò)誤日志 ? 日志為兩個(gè)重要功能提供數(shù)據(jù)：審計(jì)和監(jiān)測(cè) 日志檢查 ? 日志使用戶對(duì)自己的行為負(fù)責(zé) ? 日志能夠幫助檢測(cè) ? 日志最重要的功能使制止 ? 日志文件本身易被攻擊 日志檢查 ? 日志是否缺失？ ? 日志是否異常 ? 缺失 ? 是否有段錯(cuò)誤 ? 登錄失敗記錄 ? 其他異常情況 一個(gè)例子 第二個(gè)例子 日志檢查 ? 應(yīng)用程序日志 ? mail－ maillog(或 syslog) ? ftp－ xferlog ? 存放在 Linux在相同的目錄下 ? Apache access_log和 error_log ? 帳號(hào)相關(guān)日志 ? lastl