【文章內(nèi)容簡介】 將不可用75掛載文件系統(tǒng)（二）掛載文件系統(tǒng)（二）167。 掛載時使用 mount命令? 格式： mount [參數(shù) ] [設(shè)備名稱 ] [掛載點 ] 167。 t auto/vfat/iso9660167。 o ro/rw167。 /mnt/floppy167。 /mnt/cdrom76/etc/fstab? ＃ less /etc/fstab? 關(guān)于 nouser選項77FS tools? fdisk? mkfs? mount / umount? fsck? df? du? mkswap? swapon/swapoff78第第 3節(jié)節(jié) B Linux文件系統(tǒng)安全性文件系統(tǒng)安全性167。 Linux文件系統(tǒng)安全性(一 ) 控制臺和網(wǎng)絡 ↓(二 ) 引導與資源 ↓(三 ) 異常文件 ↓79Linux文件系統(tǒng)安全性（一）文件系統(tǒng)安全性（一）167。 禁止使用控制臺程序 167。 禁止控制臺的訪問 167。 防止 sendmail被沒有授權(quán)的用戶濫用 167。 使系統(tǒng)對 ping沒有反應 167。 不要顯示系統(tǒng)提示信息 167。 路由協(xié)議 167。 使 TCP SYN Cookie保護生效 167。 防火墻80? ＃ cd /etc/security/? ＃ ls? ’’Remove any item you want? 禁止控制臺程序81 or ? cd /etc/? cat poweroff? auth required ? 禁止控制臺訪問? PAM–Pluggable Authentication Modules82sendmail? /etc/ :? PrivacyOptions=authwarnings ?? PrivacyOptions=authwarnings,novrfy,noexpn ? 杜絕濫發(fā)郵件? /etc/postfix/* :83ICMP? Ping/ICMP： ECHOREQ, ECHOREPLY? echo 1 /proc/sys//ipv4/icmp_echo_ignaore_all? 禁止對 ECHOREQ反應? ”Append to /etc/84issue? 修改 /etc/issue ，勿泄漏線索信息? /etc/ :? tel stream tcp nowait root /usr/sbin/tcpd h? h則阻止顯示登陸信息? xid:85IP source routing? IP source routing options: // 禁止源路由選項? echo 0 /proc/sys//ipv4/conf/eth0/accept_source_route? for f in /proc/sys//ipv4/conf/*/accept_source_route。 do? echo 0 $f? done? append to /etc/86TCP SYN? TCP SYN Attack? echo 1 /proc/sys//ipv4/tcp_syncookies? sysctl w =1? 可抵抗 SYN攻擊87Netfilter/iptable? Firewall? ICF in winxp? filter/iptable? $ iptables A INPUT s j REJECT? $ iptables D INPUT dport 80 j DROP88 89Linux文件系統(tǒng)安全性（二）文件系統(tǒng)安全性（二）167。 資源限制 167。 更好地控制 mount上的文件系統(tǒng) 167。 把 rpm程序轉(zhuǎn)移到一個安全的地方，并改變默認的訪問許可 167。 登錄 shell 167。 創(chuàng)建所有重要的日志文件的硬拷貝 167。 改變 “/etc/”目錄下的腳本文件的訪問許可 90? less /etc/security/? * hard core 0 // 禁止 core dump? * hard nproc 20 // 進程數(shù)限制 20? * hard rss 5000 // 內(nèi)存限制 5M? in /etc/:? session required /lib/security/91mount/fstab? cat /etc/fstab? 選項：? nosuid 禁止 suid， sgid? noexec 不執(zhí)行二進制文件? nodev 不使用設(shè)備符號? 92rpm? 保護 rpm? chmod 700 /bin/rpm? 把文件 /bin/rpm 轉(zhuǎn)移到安全地方? mount /mnt/floppy? mv /bin/rpm /mnt/floppy/.? umount /mnt/floppy93shell? ~/.bash_history? in /etc/profile:? HISTFILESIZE=20? HISTSIZE=2094log? /var/log/? 防止日志被破壞? 在線打印 : append /etc/ ? authpriv.*。mail.* /dev/lp0? /etc/? service syslog // in redhat? 轉(zhuǎn)移到另外的服務器集中處理? authpriv.*。mail.* mailserver95/etc/*? chmod –R 700 /etc/*? 只有 root有權(quán)限操作96Linux文件系統(tǒng)安全性（三）文件系統(tǒng)安全性（三）167。 異常和隱含文件 167。 查找所有 SUID/SGID位有效的文件167。 查找任何人都有寫權(quán)限的文件和目錄 167。 查找沒有主人的文件 167。 查找 “.rhosts”文件 167。 使 ControlAltDelete關(guān)機鍵無效 97.?? ls a? find / name “.*” print98SUID/SGID? SUID? find /usr/bin type f perm 2023 print? SGID? find /usr/bin type f perm 4000 print? SUID/SGID文件可能是被植入的99*可寫文件? find . perm 2 print? find . perm 20? 任何人都可寫的文件，可能是入侵的遺留100無主文件? find /dev nouser print? find /dev nogroup print? 無屬主文件的存在是有疑問的101.rhosts? find /home name .rhosts? .rhosts–等價主機，允許無需口令的 rlogin等102CTL＋ ALT＋ DEL? in /etc/inittab? Trap CTRLALTDELETE? ca::ctrlaltdel:/sbin/shutdown t3 r now? init q103加密文件系統(tǒng)? 例子：文件里的虛擬盤（ loopback）dd if=/dev/zero of=myd bs=1k count=1024losetup [e des | e xor] /dev/loop0 mydmke2fs /dev/loop0 mount /dev/loop0 /mnt/myd…umount /mnt/mydlosetup d /dev/loop0 (detach)104第第 4節(jié)節(jié) Linux帳號安全性帳號安全性167。 系統(tǒng)安全記錄文件 167。 啟動和登錄安全性 167。 BIOS167。 用戶口令167。 帳號167。 口令文件167。 CAD167。 su167。 issue105系統(tǒng)安全記錄文件系統(tǒng)安全記錄文件167。 操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡入侵的重要線索 167。 可以運行來檢查系統(tǒng)所受到的攻擊167。 more /var/log/secure | grep refused167。 cat /var/log/secure167。 last,lastlog167。 less /var/log/secure | grep Failed106基本日志? Windows– 事件查看器– IIS Log– 本地安全策略－本地策略－審核策略等? Linux– accesslog 記錄 HTTP/web的傳輸 – acct/pacct 記錄用戶命令 – aculog 記錄 MODEM的活動 – btmp 記錄失敗的記錄 – lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄 – messages 從 syslog中記錄信息（有的鏈接到 syslog文件） – sudolog 記錄使用 sudo發(fā)出的命令 – sulog 記錄使用 su命令的使用 – syslog 從 syslog中記錄信息（通常鏈接到 messages文件） – utmp 記錄當前登錄的每個用戶 – wtmp 一個用戶每次登錄進入和退出時間的永久記錄 – xferlog 記錄 FTP會話 107啟動和登錄安全性啟動和登錄安全性167。 BIOS安全 ? 設(shè)置 BIOS密碼且修改引導次序禁止從軟盤啟動系統(tǒng)167。 BIOS setup/user passwd167。 108用戶口令用戶口令 167。 口令 $mkpasswd? 口令至少要有 6個字符，最好包含一個以上的數(shù)字或特殊字符 ? 口令不能太簡單，所謂的簡單就是很容易猜出來，也就是用自己的名字，電話號碼、生日、職業(yè)或者其它個人信息作為口令 ? 口令必須是有有效期的，在一段時間之后就要更換口令 ? 口令在這種情況下必須作廢或者重新設(shè)定：如果發(fā)現(xiàn)有人試圖猜測你的口令，而且已經(jīng)試過很多次了 ? 不要使用單一口令109Zip crackersampleAdvancedZIPPasswordRecoverystatistics:EncryptedZIPfile:Totalpasswords:2,091,362,752Totaltime:6m58s725msAveragespeed(passwords/s):4,994,597Passwordforthisfile:7uee23PasswordinHEX:377565653233110? /etc/? PASS_MIN_LEN 5?8? PASS_MAX_DAYS 99?99999111帳號（一）帳號（一）167。 特殊的帳號? 禁止操作系統(tǒng)中不必要的預置帳號 ? 刪除一些不必要的組 ? 在系統(tǒng)中加入必要的用戶 ? “不許改變 ”位可以用來保護文件使其不被意外地刪除