【正文】 99 Muttrc drwxrxrx 14 root root 1024 May 27 07:46 X11 rwrr 1 root root 39 Jun 2 08:24 adjtime rwrr 1 root root 732 Apr 19 16:38 aliases rwrr 1 root root 16384 May 25 08:36 More 文件修改命令 1. chmod — 改變文件權(quán)限設(shè)置。 2. chgrp — 改變文件的分組。 3. chown — 改變文件的擁有權(quán)。 4. Chattr — 設(shè)置文件屬性 操作實例 1. 取消 groups 與 others 組用戶的讀權(quán)限 r與 x的設(shè)置 ”粘著位”的設(shè)置 rwrr 1 root root 1 Mar 21 1999 chmod 600 rw 1 root root 1 Mar 21 1999 umask值 什么是 umask值 ? 用來指明要禁止的訪問權(quán)限，通常在登錄文件 .login或 .profile中建立。 8進(jìn)制值 2. 用來指定新創(chuàng)建文件和目錄權(quán)限的缺省許可權(quán)限 3. 通過 umask值來計算文件目錄的許可權(quán)限(modamp。~umask 4. 常用的值有 022,027,077 SUID和 SGID 什么是 SUID和 SGID程序 ? UNIX中的 SUID(Set User ID)/SGID(Set Group ID)設(shè)置 了 用戶 id和分組 id屬性，允許用戶以特殊權(quán)利來運(yùn)行程序 , 這種程序執(zhí)行時具有宿主的權(quán)限 . 如 passwd程序 ,它就設(shè)置了 SUID位 rsxx 1 root root 10704 Apr 15 2022 /usr/bin/passwd ^SUID程序 passwd程序執(zhí)行時就具有 root的權(quán)限 SUID和 SGID 為什么要有 SUID和 SGID程序 ? SUID程序是為了使普通用戶完成一些普通用戶權(quán)限不能完成的事而設(shè)置的 .比如每個用戶都允許修改自己的密碼 , 但是修改密碼時又需要 root權(quán)限 ,所以修改密碼的程序需要以管理員權(quán)限來運(yùn)行 . 非法命令執(zhí)行和權(quán)限提升 為了保證 SUID程序的安全性，在 SUID程序中要嚴(yán)格限制功能范圍，不能有違反安全性規(guī)則的 SUID程序存在。并且要保證SUID程序自身不能被任意修改。 SUID和 SGID SUID程序?qū)ο到y(tǒng)安全的威脅 . 用戶可以通過檢查權(quán)限模式來識別一個 SUID程序。如果“ x‖被改為“ s‖，那么程序是SUID。如： ls l /bin/su rwsrxrx 1 root root 12672 oct 27 1997 /bin/su 查找系統(tǒng)中所有的 SUID/SGID程序 find find / type f \( perm +4000 or perm +2022 \) exec ls alF {} \。 用命令 chmod us file 可去掉 file的 SUID位 堆棧溢出攻擊 1. 有漏洞的 SUID程序 2. 在 SUID程序堆棧中填入過長的數(shù)據(jù) , 使數(shù)據(jù)覆蓋返回地址 . 3. 執(zhí)行攻擊者指定的代碼 . 1. SUID程序 2. 服務(wù)進(jìn)程 攻擊目標(biāo) 來自 buffer overflow的威脅 1. 越來越多的 buffer overflow被發(fā)現(xiàn) 2. Inter上可以獲得大量利用 buffer overflow漏洞攻擊的程序 3. 一旦被成功攻擊，系統(tǒng)將暴露無遺 4. 更多的攻擊形式 (heap, format…) 堆棧溢出的危害 防止堆棧溢出攻擊 1. 及時發(fā)現(xiàn)系統(tǒng)和應(yīng)用程序存在的問題 2. 及時下載并修補(bǔ)最新的程序和補(bǔ)丁 3. 去掉不必要或者發(fā)生問題的 SUID程序 s位 4. 養(yǎng)成良好的編程習(xí)慣 如何更好的防止堆棧溢出攻擊 ? 1. Libsafe: 2. PAX: nonexec stack module 3. RSX: nonexec stack/heap module 4. kNoX:nonexec stack/heap module 設(shè)置 nonexec stack 文件的特殊屬性 針對特定系統(tǒng)的特殊文件屬性 /標(biāo)志 1. Linux下的 chattr命令 2. Freebsd下的 chflags命令 sappnd設(shè)置只追加標(biāo)志 schg設(shè)置不可改變標(biāo)志 sunlnk設(shè)置不可刪除標(biāo)志 文件系統(tǒng)的結(jié)構(gòu) 常見目錄的用途 /bin — 用戶命令可執(zhí)行文件。 /dev — 特殊設(shè)備文件。 /etc — 系統(tǒng)執(zhí)行文件、配置文件、管理文件。 /home — 用戶的起始目錄。 /lib — 引導(dǎo)系統(tǒng)及在 root 文件系統(tǒng)中運(yùn)行命令所需共享。 /lost+found — 與特定文件系統(tǒng)斷開連接的丟失文件。 /mnt — 臨時安裝的文件系統(tǒng)。 /proc — 偽文件系統(tǒng)，是到內(nèi)核數(shù)據(jù)結(jié)構(gòu)或運(yùn)行進(jìn)程的接口。 /sbin — 為只被 root使用的可執(zhí)行文件及引導(dǎo)系統(tǒng)啟動 的文件。 /usr — 分成許多目錄，包含可執(zhí)行文件、頭文件、幫助文件。 /var — 用于電子郵件、打印、 cron等的文件，統(tǒng)計、日志文件。 文件系統(tǒng)權(quán)限限制 與安全有關(guān)的 mount選項 noodev noexec nosuid rdonly 網(wǎng)絡(luò)服務(wù)安全 服務(wù) : 服務(wù)就是運(yùn)行在網(wǎng)絡(luò)服務(wù)器上監(jiān)聽用戶請求的進(jìn)程 ,服務(wù)是通過端口號來區(qū)分的 . 常見的服務(wù)及其對應(yīng)的端口 ftp : 21 tel : 23 () : 80 pop3 : 110 網(wǎng)絡(luò)服務(wù)安全 1. id超級服務(wù)器 id 的功能 id 的配置和管理 2. 服務(wù)的關(guān)閉 關(guān)閉通過 id啟動的服務(wù) 關(guān)閉獨(dú)立啟動的服務(wù) 網(wǎng)絡(luò)服務(wù)安全 建議禁止使用的網(wǎng)絡(luò)服務(wù) 1. finger 2. tftp 3. r系列服務(wù) 4. tel 5. 大多數(shù) rpc服務(wù) 6. 其他不必要的服務(wù) 網(wǎng)絡(luò)服務(wù)安全 系統(tǒng)啟動腳本 K03rhnsd K24irda S10work S90crond K05anacron K25squid K60lpd S12syslog K05keytable K30sendmail S91smb 2. BSD風(fēng)格的啟動腳本 /etc/ sshd_enable=―YES‖ 網(wǎng)絡(luò)服務(wù)安全 使用命令工具來監(jiān)視網(wǎng)絡(luò)狀況 1. stat 2. ifconfig 3. Linux下的 socklist 4. Freebsd下的 sockstat 5. lsof –I 6. tcpdump 系統(tǒng)記帳 1. 普通的系統(tǒng)記賬 連接 /登錄記賬 ac命令 (記錄登錄時長 ) last命令 who命令 w命令 lastlog/lastlogin命令 打開進(jìn)程記賬 (FreeBSD為例 ) cd /var/account touch acct savacct usracct accton /var/account/acct sa –a lastm 系統(tǒng)記帳 系統(tǒng)計帳的相關(guān)記錄文件 1. /var/run/utmp 2. /var/log/wtmp 3. /var/account/acct 系統(tǒng)日志 1. syslog的功能 2. syslog的配置 3. 把 syslog的信息輸出到其它服務(wù)器或打印機(jī)把 syslog的信息輸出到打印機(jī) : authpriv.*。mail.*。local7.*。auth.*。 /dev/lp0 /記賬信息可以做什么和不可以做什么 5. syslog的替代品 syslog工具 主流 UNIX廠商的安全信息 Sun(Solaris) access IBM(AIX) HP(HPUX) SGI(IRIX) Compaq (Tru64 UNIX, OpenVMS, Ultrix) Linux(RedHat Linux) Freebsd 美國國家安全局發(fā)布的 SELinux補(bǔ)丁 應(yīng)用安全 ?身份認(rèn)證技術(shù)： 公開密鑰基礎(chǔ)設(shè)施（ PKI）是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。 ?應(yīng)用服務(wù)安全性： Web服務(wù)器、郵件服務(wù)器等的安全增強(qiáng)，使用 SHTTP、 SSH、 PGP等技術(shù)提高 Web數(shù)據(jù)、遠(yuǎn)程登錄、電子郵件的安全性。 ?網(wǎng)絡(luò)防病毒技術(shù)： 病毒是系統(tǒng)中最常見的威脅來源。建立全方位的病毒防范系統(tǒng)是計算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)的重要任務(wù)。 身份認(rèn)證分類 ?單因素認(rèn)證 ?雙因素認(rèn)證 ?挑戰(zhàn) /應(yīng)答機(jī)制認(rèn)證 ?時間同步機(jī)制認(rèn)證 認(rèn)證手段 ?知道某事或某物 ?擁有某事或某物 ?擁有某些不變特性 ?在某一特定場所（或特定時間）提供證據(jù) ?通過可信的第三方進(jìn)行認(rèn)證 非密碼認(rèn)證機(jī)制 ?口令機(jī)制 ?一次性口令機(jī)制 ?挑戰(zhàn) /應(yīng)答機(jī)制 ?基于地址的機(jī)制 ?基于個人特征的機(jī)制 ?個人認(rèn)證令牌 基于密碼的認(rèn)證機(jī)制 ?基本原理是使驗證者信服聲稱者所聲稱的，因為聲稱者知道某一秘密密鑰。 ? 基于對稱密碼技術(shù) ? 基于公鑰密碼技術(shù) 零知識認(rèn)證 ?零知識認(rèn)證技術(shù)可使信息的擁有者無需泄露任何信息就能夠向驗證者或任何第三方證明它擁有該信息。在網(wǎng)絡(luò)認(rèn)證中，已經(jīng)提出了零知識技術(shù)的一些變形，例如，F(xiàn)FS方案、 FS方案和 GQ方案。一般情況下，驗證者頒布大量的詢問給聲稱者，聲稱者對每個詢問計算一個回答，而在計算中使用了秘密信息。 典型的認(rèn)證協(xié)議 ?Kerberos系統(tǒng) ? Kerberos系統(tǒng)為工作站用戶（客戶）到服務(wù)器以及服務(wù)器到工作站用戶提供了認(rèn)證方法， Kerberos系統(tǒng)使用了對稱密碼技術(shù)和在線認(rèn)證服務(wù)器。 ? 缺陷： ? 需要具有很高利用率的可信（物理上安全的）在線服務(wù)器； ? 重放檢測依賴于時戳，意味著需要同步和安全的時鐘； ? 如果認(rèn)證過程中的密鑰受到威脅，那么傳遞在使用該密鑰進(jìn)行認(rèn)證的任何會話過程中的所有被保護(hù)的數(shù)據(jù)將受到威脅。 典型的認(rèn)證協(xié)議 ? ? 與 Kerberos協(xié)議相比， 一個很大的優(yōu)點：不需要物理上安全的在線服務(wù)器，因為一個證書包含了一個認(rèn)證授權(quán)機(jī)構(gòu)的簽名。公鑰證書可通過使用一個不可信的目錄服務(wù)被離線地分配。 ? ，而 向交換則克服了這一缺陷。但 協(xié)議仍存在 Kerberos的第 3個缺陷。 典型的認(rèn)證協(xié)議 ?認(rèn)證 DiffieHellman交換協(xié)議 ? Diffie,van Oorschot和 Wiener于 1992年將基于公鑰的互認(rèn)證和 DiffieHellman密鑰交換相結(jié)合提出了一個三向認(rèn)證交換?？梢詫⒃摻粨Q協(xié)議視作 ，但交換的數(shù)據(jù)項不同。 ? 認(rèn)證 DiffieHellman交換協(xié)議與 Kerberos和：如果使用在認(rèn)證過程中的簽名密鑰受到威脅，那么不會危及到結(jié)合于認(rèn)證而推導(dǎo)出的主密鑰的秘密性。 公鑰基礎(chǔ)設(shè)施（ PKI） ?PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)，即認(rèn)證中心 Certificate Authority （ CA）把用戶的公鑰和其它標(biāo)識信息（如名稱、 、身份證號等）捆綁在一起，在 Inter網(wǎng)上驗證用戶的身份。 ?目前，通用的辦法是采用建立在 PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。 PKI的組成 ?PKI主要包括四個部分 ? （ V3）和證書撤銷列表 CRL（ V2） ? CA/RA操作協(xié)議 ? CA管理協(xié)議 ? CA政策制定 ?典型 PKI系統(tǒng)： ? 認(rèn)證中心 CA、 、 Web安全通信平臺、完整的 PKI認(rèn)證政策的制定 PKI典型構(gòu)成 P K I 策 略 軟 硬 件 系 統(tǒng)證 書 機(jī) 構(gòu) C A 注 冊 機(jī) 構(gòu) R A 證 書 發(fā) 布 系 統(tǒng)P K I 應(yīng) 用典型的 CA系統(tǒng)結(jié)構(gòu) 數(shù) 據(jù) 庫 服 務(wù)