【正文】 tsrc s [process_deamon] ? refresh s [process_deamon] ? HPUX系統(tǒng) ? ps –ef | grep [process_id] ? kill 9 [process_id] ? kill HUP `cat /var/run/ [process_id]` Unix系統(tǒng)服務安全（ 5）－重啟服務的命令 2 ?RedHat Linux系統(tǒng) ? service [process_deamon] {stop|start|restart} ?Debian Linux系統(tǒng) ? /etc/[process_deamon] {stop|start|restart} ?減少過期時間 ndd –set /dev/arp arp_cleanup_interval 60000 ndd set /dev/ip ip_ire_flush_interval 60000 ? 默認是 300000毫秒（ 5分鐘） ? 加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網(wǎng)絡中會大量的出現(xiàn) ARP請求和回復 ? 請不要在繁忙的網(wǎng)絡上使用。 Unix系統(tǒng)服務安全（ 2） ?清理 /etc/i/ ? 所有的 TCP/UDP小服務 ? 所有的調(diào)試服務 (echo、 discard、 daytime、 chargen) ? 所以的 R服務 (rsh、 rexe、 rlogin) ? 幾乎所有的 RPC服務 ? 使用必要的工具替換 tel、 ftp ?重起 id服務 ? ps –ef|grep id ? kill –HUP 〔 id_進程號 〕 Unix系統(tǒng)服務安全（ 3） ?在 services中關(guān)閉不用的服務 ? cp /etc/i/services /etc/i/ ? 然后用 vi編輯器編輯 services文件，對于需要注釋掉的服務在相應行開頭標記 “ ‖字符即可。 ? Ftp和 Tel服務在不需要時也可注釋掉。 ? /etc/protocols ? /etc/protocols文件記錄協(xié)議名及其端口的關(guān)系。啟用審計后， /etc/security/audit_startup文件的內(nèi)容將確定審計策略。 示例 2： Solaris系統(tǒng)如何啟用審計功能？ ? 成為超級用戶并使系統(tǒng)進入單用戶模式； ? % su ? Password: 鍵入超級用戶口令 ? init S ? 運行啟用審計服務的腳本：轉(zhuǎn)至 /etc/security 目錄，并在其中執(zhí)行 bsmconv 腳本； ? cd /etc/security ? ./bsmconv ? 進入多用戶模式，啟動文件 /etc/security/audit_startup 使 auditd 守護進程在系統(tǒng)進入多用戶模式時自動運行。 ? 例如，使用錯誤的口令五次登錄系統(tǒng)。 ? chmod 600 /var/adm/loginlog ?在 loginlog 文件中，將組成員關(guān)系更改為 sys。 ?在 /var/adm 目錄中創(chuàng)建 loginlog 文件?？梢跃庉媽徲嬜酉到y(tǒng)的配置文件/etc/security/audit/config來更改所用模式。 tcbck 命令通常用于執(zhí)行以下操作： ? 確保安全性相關(guān)文件的恰當安裝 ? 確保文件系統(tǒng)樹不包含明顯違反系統(tǒng)安全性的文件 ? 更新、添加或刪除可信文件 ? 安裝 TCB 和使用 tcbck 命令 不能保證 系統(tǒng)在符合受控訪問保護概要文件（ CAPP）和評估保證級別 4+（ EAL4+）的方式下運行。 tcbck 命令通過讀取 /etc/security/ 文件審計該信息。如果正在安裝 TCB，安裝以后立即把該文件備份到可移動的介質(zhì)中，例如磁帶、 CD 或磁盤，并把介質(zhì)存儲在安全的地方。 TCB 監(jiān)視 /dev 目錄中的每個文件。啟用 TCB允許您訪問可信 shell、可信進程以及 “ 安全注意鍵 ” （ SAK）。如果在初始安裝過程中未選擇 TCB 選項，tcbck 命令將被禁用。 ? 只有在安裝操作系統(tǒng)時，才啟用 TCB功能。 AIX系統(tǒng)的可信計算庫（ TCB）簡介 ? 可信計算庫（ Trusted Computing Base， TCB）是負責強制系統(tǒng)范圍信息安全策略的系統(tǒng)的一部分。此時，只有系統(tǒng)管理員才可以修復審計服務。 ? 缺省情況下，當所有的審計目錄已滿時，生成審計記錄的進程便會暫停。此腳本在缺省情況下將警告發(fā)送到 audit_warn 電子郵件別名以及控制臺。 ? auditd 守護進程可執(zhí)行 audit_warn 腳本來發(fā)出有關(guān)配置錯誤的警告。/lib/security/ 插件可將審計記錄的文本摘要發(fā)送到syslogd 守護進程。 Sun 提供了兩個插件。這些文件將按順序打開。, , /dev/console /var/adm/messages `root, operator39。 operator *.alert root *.emerg * ifdef(`LOGHOST39。 /dev/console *.err。 “ p‖標志報告每個用戶的總的連接時間 日志文件系統(tǒng)（ 9）－ syslog日志 ?syslog設(shè)備重要元素 ? /etc/syslogd（守護程序） ?(solaris下在 /usr/sbin/syslogd) ? /etc/（配置文件） ? /var/adm或 /var/log ?多數(shù) syslog信息被寫到上述目錄下的信息文件中。如果不使用標志，則報告總的時間。它還報告終端類型和日期。如果一個用戶有不止一個登錄會話，那他的用戶名將顯示相同的次數(shù)。 ? 標題欄顯示當前時間、系統(tǒng)已運行了多長時間、當前有多少用戶登錄以及過去 5和 15分鐘內(nèi)的系統(tǒng)平均負載。 日志文件系統(tǒng)（ 3）－ 基于 utmp/wtmp的命令 ?who命令 ?w命令 ?users命令 ?last命令 ?lastb命令 ?ac命令 日志文件系統(tǒng)（ 4）－ who命令 ?who命令查詢 utmp文件并報告當前每個登錄的用戶。 ?最后一次登錄在文件 lastlog中。 ?grpck驗證組的合法性，檢查 /etc/group、/etc/security/group和 /etc/security/user之間的數(shù)據(jù)一致性。 AIX用戶安全配置文件 ?/etc/passwd中包含合法用戶（不含口令） ?/etc/group中包含合法組； ?/etc/security中包含普通用戶無權(quán)訪問的安全性文件 ； ?/etc/security/passwd中包含用戶口令； ?/etc/security/user中包含用戶屬性、口令約束等； ?/etc/security/limits中包含用戶使用資源限制； ?/etc/security/environ中包含用戶環(huán)境設(shè)置； ?/etc/security/； ?/etc/security/group中包含組的屬性。 ?AIX系統(tǒng)安全性的基本原則是：用戶被賦予唯一的用戶名、用戶 ID（ UID）和口令。 UNIX系統(tǒng)帳號安全（ 8） 禁止 root遠程登錄 ?多數(shù) UNIX系統(tǒng) : ? 編輯 /etc/default/login文件，添加 CONSOLE=/dev/console ? 禁止 root遠程 FTP登錄 在 /etc/ftpusers里加上 root。 LK表示鎖定帳號， NP表示無口令 ? lastchg 最后更改口令的日期 與 1970年 1月 1日之間相隔的天數(shù) ? min 改變口令需要最少的天數(shù) ? max 同一口令允許的最大天數(shù) ? warn 口令到期時，提前通知用戶的天數(shù) ? inactive 用戶不使用帳號多少天禁用帳號 ? expire 用戶帳號過期的天數(shù) ? 最后一個字段未用 UNIX系統(tǒng)帳號安全（ 5） 缺省賬號 UNIX系統(tǒng)帳號安全（ 6） 禁用賬號 ?簡單的辦法是在 /etc/shadow的 password域中放上NP字符。注意可以為用戶在該域中賦一個 /bin/false值，這將阻止用戶登錄 。 ? homedirectory—該域指明用戶的起始目錄，它是用戶登錄進入后的初始工作目錄。 ? User_info—習慣上它包括用戶的全名。 ? GID—用戶所屬的基本分組。 ? UID—用戶的唯一標識號。 ? name—給用戶分配的用戶名。 ? 選擇一個不用看鍵盤而能迅速鍵入的口令，使偷看的人不能識別出鍵入的字符。 , . ? / space。 * ( ) _ + ={ } [ ] | \ : 。 UNIX系統(tǒng)帳號安全（ 2） ?強壯的口令推薦 ? 選擇一個至少有 10個字符長度的口令。 ? 不要選擇一個所有字母都是小寫或大寫字母的口令。 ? 不要選擇一個包含用戶名或相似內(nèi)容的口令。 HPUX RBAC 的基本功能 ?HPUX 專用的預定義配置文件，便于輕松快速部署 ?通過 Plugable Authentication Module (PAM) 實現(xiàn)靈活的重新身份驗證，支持基于每條命令的限制 ?集成 HPUX 審核系統(tǒng)，以便生成單個統(tǒng)一的審核記錄 ?用于定制訪問控制決策的可插拔體系結(jié)構(gòu) 主要內(nèi)容 ?UNIX的發(fā)展史 ?UNIX（ solaris)啟動過程簡介 ?文件系統(tǒng)安全 ?系統(tǒng)帳號安全 ?日志文件系統(tǒng) ?系統(tǒng)及網(wǎng)絡服務 ?UNIX其它方面的安全配置 ?LINUX方面的安全配置 UNIX系統(tǒng)帳號安全因素 ?口令安全 ?帳號安全 ?系統(tǒng)帳號的安全加固 UNIX系統(tǒng)帳號安全（ 1） ?禁用的口令 ? 不要選擇簡單字母序列組成的口令（例如 “ qwerty‖或“ abcdef‖）。 ? 操作員－用于執(zhí)行備份和打印機管理等操作的初級管理員角色。 ? 系統(tǒng)管理員－用于執(zhí)行與安全性無關(guān)的管理任務的角色，其功能相對較弱。用戶權(quán)利管理通過 RBAC實現(xiàn)。通過對進程和用戶應用安全屬性， RBAC 可以在多個管理員之間劃分超級用戶的功能。194。194。通過更改可調(diào)參數(shù) secure_sid_scripts，可以放寬此規(guī)則，但強烈建議不要更改此可調(diào)參數(shù)的缺省值。 Unix文件系統(tǒng)的權(quán)限（ 6） ? 如何如何識別 SUID程序？ ? 檢查文件的權(quán)限模式，在它的 第四位如果不是 “ x”， 而是 “ s”， 就是一個 SUID程序 。 root 用戶和主管理員角色即是特權(quán)用戶。 ? sticky 位是保護目錄中文件的權(quán)限位。 ? setgid 權(quán)限與 setuid 權(quán)限類似。該訪問權(quán)限不是基于正在運行可執(zhí)行文件的用戶。設(shè)置這些權(quán)限之后，運行可執(zhí)行文件的任何用戶都應采用該可執(zhí)行文件屬主（或組）的 ID。在較小范圍內(nèi)，此問題在其他 setuid 和 setgid 情況下也存在。 ? 一種特別危險的情況是，如果使用 setuid 將程序設(shè)置為 root，用戶將獲得 root 可用的所有權(quán)限。 ? 如果打開 setgid 位，則進程的權(quán)限將設(shè)置為文件組的權(quán)限。所衍生的進程從對象獲得其屬性，從而授予用戶與程序?qū)僦骱徒M相同的訪問權(quán)限。通常，這些 ID 對是完全相同的。 ? SUID程序代表了重要的安全漏洞，特別是 SUID設(shè)為root的程序。 ? 當用戶執(zhí)行一個 SUID文件時，用戶 ID在程序運行過程中被置為文件擁有者的用戶 ID。如 ? chmod 755 test ?chown ? 改變文檔或目錄之擁有權(quán) ? chown user1 file1 ?chgrp ? 改變文檔或目錄之群組擁有權(quán) ? chgrp group1 file1 Unix文件系統(tǒng)的權(quán)限（ 3） ?SUID/SGID ? 這是網(wǎng)絡入侵者非常愛用的入侵入口。 ? 第 210位：表示文件權(quán)限 ? r表示可讀， w表示可寫， x表示可執(zhí)行。 文件系統(tǒng)類型 ?正規(guī)文件 ：（ ASCII文本文件，二進制數(shù)據(jù)文件，二進制可執(zhí)行文件等） ?目錄 ?特殊文件 (如塊設(shè)備文件等） ?鏈接 （軟鏈接、硬鏈接） ?Sockets（進程間通信時使用的特殊文件，以 .sock結(jié)尾） Unix文件系統(tǒng)的權(quán)限（ 1） ? ls –al test ? drwxrxrx 3 root root 1024 Sep 13 11:58 test ? 在 UNIX中用模式位表示文件的類型及權(quán)限，通常由一列 10個字符來表示，每個字符表示一個模式設(shè)置 ? 第 1位 :表示文件類型。在 UNIX系統(tǒng)上，每個設(shè)備都作為一個文件來看待，這里放著所有系統(tǒng)能夠用到的各個設(shè)備 ? /etc 各種配置文件。