【正文】 例如：對(duì)于 Redhat系統(tǒng)而言可以在：或者在 在 具 up2date，它能自動(dòng)夠測(cè)定哪些 rpm包需要升級(jí)，然后自動(dòng)從 Redhat的站點(diǎn)下載并完成安裝。它檢查你的 tcp wrapper配置并報(bào)告所有發(fā)現(xiàn)的潛在 /存在的問(wèn)題。下面是一個(gè)修改 ，假如有下一行： ftp stream tcp nowait root /usr/sbin/tcpd l L i o 注釋： l 每一個(gè) ftp連接都寫(xiě)到 syslog L 紀(jì)錄用戶的每一個(gè)命令 i 文件 received,紀(jì)錄到 xferlog o 文件 transmitted,記錄到 xferlog 關(guān)于 TCP_Wrapper 將禁止所有的請(qǐng)求放入“ ALL: ALL‖到/etc/，然后放那些明確允許的請(qǐng)求到/etc/，如 : sshd: 對(duì) IP地址 ，允許通過(guò) ssh連接。 用下面的命令顯示沒(méi)有被注釋掉的服務(wù) : grep v ―‖ /etc/ 用下面命令統(tǒng)計(jì)面前服務(wù)的總數(shù)： ps eaf|wc l 同時(shí)建議采用 ssh代替 tel和 ftp 關(guān)于日志 所有的日志都在 /var/log下（僅對(duì) linux系統(tǒng)而言），默認(rèn)情況下 linux的日志就已經(jīng)很強(qiáng)大了，但除ftp外。你可以編輯文件 /etc/exports并且加： /dir/to/export (ro,root_squash) /dir/to/export (ro,root_squash) 其中 /dir/to/export 是你想輸出的目錄， ro意味著 mount成只讀系統(tǒng)， root_squash禁止 root寫(xiě)入該目錄。例如，對(duì)所有用戶的限制，編輯 /etc/security/： * hard core 0 * hard rss 5000 * hard nproc 20 你也必須編輯 /etc/，檢查這一行的存在： session required /lib/security/ 上面的命令禁止 core files―core 0‖，限制進(jìn)程數(shù)為“ nproc 50―，且限制內(nèi)存使用為 5M―rss 5000‖。 如將 id文件屬性改為 600： chmod 600 /etc/ 關(guān)于系統(tǒng)文件 保證文件的屬主為 root，還可以將其設(shè)置為不能改變 : chattr +i /etc/ 這樣，對(duì)該文件的任何改變都將被禁止。注意：修改了該參數(shù)后，必須退出并重新登錄 root，更改才能生效。 你可以修改 /etc/profile文件，保證賬戶在一段時(shí)間沒(méi)有操作后，自動(dòng)從系統(tǒng)注銷。 關(guān)于賬戶注銷 如果系統(tǒng)管理員在離開(kāi)系統(tǒng)時(shí)忘了從 root注銷，系統(tǒng)應(yīng)該能夠自動(dòng)從 shell中注銷。 如果你希望用戶 admin能 su作為 ： usermod gisd admin 關(guān)于 suid suid程序也是非常危險(xiǎn)的，這些程序被普通用戶以euid=0（即 root）的身份執(zhí)行，只能有少量程序被設(shè)置為 suid。 刪除你系統(tǒng)上的用戶，用下面的命令： userdel username 刪除你系統(tǒng)上的組用戶帳號(hào)，用下面的命令：groupdel username 或者把 passwd和 shadow文件里的相關(guān)記錄用’ ‘注釋掉。 echo 1 /proc/sys//ipv4/icmp_echo_ignore_all 關(guān)于 Tel 如果你希望用戶用 Tel遠(yuǎn)程登錄到你的服務(wù)器時(shí)不要顯示操作系統(tǒng)和版本信息（可以避免有針對(duì)性的漏洞攻擊），你應(yīng)該改寫(xiě) /etc/的一行象下面這樣： tel stream tcp nowait root /usr/sbin/tcpd h 加 h標(biāo)志在最后使得 tel后臺(tái)不要顯示系統(tǒng)信息，而僅僅顯示 login。 關(guān)于 Ping 沒(méi)有人能 ping通你的機(jī)器，你可以大大增強(qiáng)你的站點(diǎn)的安全性。為此，需修改文件 /etc/PASS_MIN_LEN（口令最小長(zhǎng)度）。這樣可以阻止不懷好意的人用專門(mén)的啟動(dòng)盤(pán)啟動(dòng)你的 Linux系統(tǒng)，并避免別人更改BIOS設(shè)置，如更改軟盤(pán)啟動(dòng)設(shè)置或不彈出密碼框直接啟動(dòng)服務(wù)器等等。最好為特殊的應(yīng)用程序單獨(dú)開(kāi)一個(gè)分區(qū)，特別是可以產(chǎn)生大量日志的程序，如為 開(kāi)設(shè)/mail分區(qū) , 還有建議為 /home單獨(dú)分一個(gè)區(qū)，從而就避免了部分針對(duì) Linux分區(qū)溢滿的惡意攻擊。} } 3. 隱藏 BIND的版本信息 在 options可以自定義版本信息，例如： options{ … version ―unknow‖ … } DNS服務(wù)器安全 4. 以普通用戶身份運(yùn)行 BIND 啟動(dòng) named時(shí)使用以下參數(shù) : u 以該用戶名或用戶 id來(lái)運(yùn)行 named, 例如 u nobody g 以該用戶組或組 id來(lái)運(yùn)行 named, 例如 g nogroup DNS服務(wù)器安全 Module 5: UNIX下常用安全工具介紹 1. rsh和 rlogin 的替代品 2. 可以在不安全的網(wǎng)絡(luò)上提供安全的加密通信 SSH 安全 shell (ssh)的特點(diǎn) : SSH SSH 的下載和安裝 ? SSH SSH 的用法以及常用選項(xiàng) ssh –l username hostname ssh usernamehostname ssh usernamehostname mand SSH SSH 提供的其他工具 1. Sftp 安全 ftp客戶端 2. Scp 安全遠(yuǎn)程拷貝工具 以 pop3服務(wù)為例說(shuō)明 SSH SSH 端口轉(zhuǎn)發(fā)功能 pop3(110)端口 郵件客戶端軟件 客戶端 服務(wù)器端 非加密連接 傳統(tǒng)的 POP3連接示意圖 pop3(110)端口 客戶端 服務(wù)器 通過(guò) ssh客戶端轉(zhuǎn)發(fā)的本地端口 (7755) 郵件客戶端軟件 : foxmail ssh服務(wù)端口(22) ssh客戶端軟件 加密連接 通過(guò) ssh端口轉(zhuǎn)發(fā)的加密 POP3連接示意圖 SSH 端口轉(zhuǎn)發(fā)功能的命令格式 ssh l username L 7755::110 SSH 1. Linux/UNIX一般自帶 2. Windows 下可以使用 SecureCRT,Putty等 SSH的客戶端軟件 vmware: cygwin: SecureCRT: 相關(guān)軟件的下載地址 GPG簡(jiǎn)介 1. 用于 和其它數(shù)據(jù)的加密安全通信 2. 加 /解密文件 3. 數(shù)字簽名的生成 /驗(yàn)證 4. 兼容 PGP 5. 1. 多種方式進(jìn)行端口掃描 2. 多種方式進(jìn)行遠(yuǎn)程主機(jī)操作系統(tǒng)探測(cè) 3. Nmap簡(jiǎn)介 Md5sum簡(jiǎn)介 1. 計(jì)算文件的 md5檢校和 2. 驗(yàn)證文件的完整性 3.. textutils( cat,who,tail,head 等 lsof簡(jiǎn)介 1. 列出當(dāng)前系統(tǒng)進(jìn)程打開(kāi)的文件 2. 列出打開(kāi)文件與端口打開(kāi)的情況等 …… 3. 其他常用安全工具 1. Sudo (使用其他用戶身份執(zhí)行命令 ) 2. Crack, john (破解密碼 ) 3. tcp_wrapper (,) 4. Tripwire (檢查文件完整性 ) 5. Swatch (日志過(guò)濾工具 ) Module 6: 了解系統(tǒng)入侵 1) WEB站點(diǎn)主頁(yè)面被刪除或者被篡改 2) 文件突然被刪除或者被修改 3) 系統(tǒng)速度突然變慢 4) 系統(tǒng)用戶異常 5) 某些程序運(yùn)行失敗 如何知道系統(tǒng)已經(jīng)被入侵 : 1) 網(wǎng)絡(luò)流量出現(xiàn)異常 2) 用戶登陸次數(shù)明顯增多 3) stat 看有不明連接或者不明端口 4) 日志文件內(nèi)容、大小、日期異常 5) ps ax 列舉有不明進(jìn)程 入侵檢查一般步驟和要求 在出現(xiàn)以上或者其他異常情況后，首先應(yīng)該 使主機(jī)與網(wǎng)絡(luò)斷開(kāi)，可能的話不使用已經(jīng)被 入侵的系統(tǒng)啟動(dòng) . ? 檢查系統(tǒng)日志 (.bash_history,last等 ) ? 檢查敏感的命令是否被改動(dòng) (ls,ps,su… 等 ) ? 檢查系統(tǒng)啟動(dòng)文件 ? 檢查入侵者留下的目錄 /文件 ? 檢查核心級(jí)的后門(mén) (module等 ) ? 檢查是否已經(jīng)成了入侵內(nèi)網(wǎng)的跳板 檢查系統(tǒng)日志 1. last,lastlog命令的輸出