NCSE信息安全一级幻灯5PPT资料.ppt

NCSE信息安全一级幻灯5PPT资料.ppt

《NCSE信息安全一级幻灯5PPT资料.ppt》由会员分享，可在线阅读，更多相关《NCSE信息安全一级幻灯5PPT资料.ppt（87页珍藏版）》请在冰点文库上搜索。

是SUN公司Shell的BSD版本,Linux文件结构,文件结构是文件存放在磁盘等存储设备上的组织方法。

主要体现在对文件和目录的组织上。

目录提供了管理文件的一个方便而有效的途径使用Linux，用户可以设置目录和文件的权限，以便允许或拒绝其他人对其进行访问Linux目录采用多级树形结构。

用户可以浏览整个系统，可以进入任何一个已授权进入的目录，访问那里的文件,Linux实用工具,标准的Linux系统都有一套叫做实用工具的程序，它们是专门的程序，实用工具可分三类用于编辑文件用于接收数据并过滤数据允许用户发送信息或接收来自其他用户的信息,编辑器,过滤器,交互程序,内核的版本号,内核的版本号分为三部分（以2.0.35为例）主版本号：

此内核是2。

它表明对内核的重大改进，很少改变次版本号：

此内核是0。

它表明内核的稳定性。

偶数号（如0、2、4等）的内核是稳定的产品版本。

而奇数号（如1、3、5等）的内核是处于开发过程中的内核，一般包含着最近开发的试验性代码，它不太稳定，有时可能包含着致命的错误。

修订号：

此内核是35。

它表明这一发布版本的增补级,Linux特性,Linux主要特性,Linux与其他操作系统的区别,Linux与MSDOS之间的区别Linux与OS/2之间的区别Linux与Windows之间的区别Linux与WindowsNT之间的区别,Linux发行版的通用命令,Linux系统管理命令Linux与用户有关的命令Linux常用命令,Linux系统管理命令

（一）,wall命令这个命令的功能是对全部已登录的用户发送信息用户可以先把要发送的信息写好存入一个文件中，然后输入#wall文件名“”表示输入重定向,Linux系统管理命令

（二）,write命令write命令的功能是向系统中某一个用户发送信息。

该命令的一般格式为：

write用户帐号终端名称希望退出发送状态时，按组合键即可。

Linux系统管理命令（三）,mesg指令mesg命令设定是否允许其他用户用write命令给自己发送信息。

如果允许别人给自己发送信息，输入命令：

#mesgy,否则，输入：

#mesgn,Linux系统管理命令（四）,sync命令sync命令是在关闭Linux系统时使用的。

用户不能用简单的关闭电源的方法关闭系统因为Linux系统，在内存中缓存了许多数据，在关闭系统时需要进行内存数据与硬盘数据的同步校验，保证硬盘数据在关闭系统时是最新的，只有这样才能确保数据不会丢失。

一般正常的关闭系统的过程是自动进行这些工作的，在系统运行过程中也会定时做这些工作，不需要用户干预。

sync命令是强制把内存中的数据写回硬盘，以免数据的丢失。

Linux系统管理命令（五）,shutdown命令shutdown命令可以安全地关闭或重启Linux系统。

shutdown选项时间警告信息命令中各选项的含义为-k并不真正关机。

而只是发出警告信息给所有用户-r关机后立即重新启动-h关机后不重新启动-f快速关机。

重启动时跳过fsck-n快速关机。

不经过init程序c取消一个已经运行的shutdown该命令只能由超级用户使用,Linux系统管理命令（六）,free命令free命令的功能是查看当前系统内存的使用情况，它显示系统中剩余及已用的物理内存和交换内存，以及共享内存和被核心使用的缓冲区该命令的一般格式为：

free-b|-k|-m命令中各选项的含义如下-b以字节为单位显示-k以K字节为单位显示-m以兆字节为单位显示,Linux系统管理命令（七）,uptime命令uptime命令显示系统已经运行了多长时间它依次显示下列信息现在时间系统已经运行了多长时间目前有多少登录用户系统在过去的1分钟、5分钟和15分钟内的平均负载,Linux与用户有关的命令

（一）,passwd命令Linux系统中的每一个用户除了有其用户名外，还有其对应的用户口令。

因此需使用passwd命令为每一位新增加的用户设置口令用户以后还可以随时用passwd命令改变自己的口令只有超级用户可以使用“passwd用户名”修改其他用户的口令，普通用户只能用不带参数的passwd命令修改自己的口令,Linux与用户有关的命令

（二）,su命令它可以让一个普通用户拥有超级用户或其他用户的权限，也可以让超级用户以普通用户的身份做一些事情普通用户使用这个命令时必须有超级用户或其他用户的口令输入exit离开当前用户的身份,Linux与用户有关的命令（三）,su命令该命令的一般形式为：

su选项?

使用者帐号C执行一个命令后就结束-加了这个减号的目的是使环境变量和欲转换的用户相同m保留环境变量不变,Linux常用命令,Ifconfig网络配置命令Linux无论是自动安装还是手工安装，Linux都会向用户询问有关网络的问题并配置相关的软件用于配置网卡的基本命令为ifconfig,进程管理相关命令

（一）,ps命令查看系统运行的进程#psauxwa表示显示系统中所有用户的进程u表示输出进程用户所属信息x表示也显示没有控制台的进程若显示行太长而被截断则可以使用f参数,进程管理相关命令

（二）,netstat命令用来查看系统监听的服务#netstat-lnl表示显示当前系统监听的端口信息n表示端口按照端口号来显示，而不转换为service文件中定义的端口名若希望了解各个端口都是由哪些进程监听则可以使用p参数,进程管理相关命令（三）,Top命令用来查看当前系统使用情况,Linux文件系统安全性,Linux文件系统基础Linux文件系统安全性,Linux文件系统基础,Linux的树型结构,Linux下一些主要目录的功用

（一）,/bin二进制可执行命令/dev设备特殊文件/etc系统管理和配置文件/etc/rc.d启动的配置文件和脚本/home用户主目录的基点，比如用户user的主目录就是/home/user，可以用user表示/lib标准程序设计库，又叫动态链接共享库，作用类似windows里的.dll文件/sbin系统管理命令，这里存放的是系统管理员使用的管理程序,Linux下一些主要目录的功用

（二）,/tmp公用的临时文件存储点/root系统管理员的主目录/mnt系统提供这个目录是让用户临时挂载其他的文件系统。

/lost+found这个目录平时是空的，系统非正常关机而留下“无家可归”的文件（windows下叫.chk）就在这里/proc虚拟的目录，是系统内存的映射。

可直接访问这个目录来获取系统信息。

/var某些大文件的溢出区，比方说各种服务的日志文件,Linux下一些主要目录的功用（三）,/usr最庞大的目录，要用到的应用程序和文件几乎都在这个目录。

其中包含：

/usr/X11R6存放Xwindow的目录/usr/bin众多的应用程序/usr/sbin超级用户的一些管理程序/usr/doclinux文档/usr/includelinux下开发和编译应用程序所需要的头文件/usr/lib常用的动态链接库和软件包的配置文件,Linux下一些主要目录的功用（四）,/usr/man帮助文档/usr/src源代码，linux内核的源代码就放在/usr/src/linux里/usr/local/bin本地增加的命令/usr/local/lib本地增加的库,Linux文件系统,文件系统指文件存在的物理空间，Linux系统中每个分区都是一个文件系统，都有自己的目录层次结构。

linux会将这些分属不同分区的、单独的文件系统按一定的方式形成一个系统的总的目录层次结构。

Linux系统分区,硬盘的分区主要分为基本分区（PrimaryPartion）扩充分区（ExtensionPartion）基本分区和扩充分区的数目之和不能大于四个。

基本分区,扩充分区,安装时的分区,可以将Linux安装在一个或多个类型为Linuxnative的硬盘分区.还需要一个交换（swap）分区,这个分区的类型是Linuxswap.就是说安装Linux至少需要两个硬盘分区。

一个或多个Linuxnative类型的分区一个Linuxswap类型的分区,分区命名规则,Linux通过字母和数字的组合来标识硬盘分区,归纳如下前两个字母-分区名的前两个字母表明分区所在设备的类型.您将通常看到hd（指IDE硬盘）,或sd（指SCSI硬盘）下一个字母-这个字母表明分区在哪个设备.例如,/dev/hda（第一个IDE硬盘）或/dev/sdb（第二个SCSI硬盘）数字-代表分区.前四个分区（主分区或扩展分区）用数字1到4表示.逻辑分区从5开始.例如,/dev/hda3第一个IDE硬盘上的第三个主分区或扩展分区;

/dev/sdb6是第二个SCSI硬盘上的第二个逻辑分区,推荐的最简单的分区配置,一个交换分区-交换分区用来支持虚拟内存，交换分区的尺寸通常是内存的大小的两倍一个根分区-根分区是/（root）所在地，保存内核和有关文件。

这个分区不需要很大。

需要注意的是要选择Linux本身作为这个根分区的分区类型。

一个/usr分区-/usr是RedHatLinux系统的许多软件的所在的地方，根据交换安装的包的数量确定一个/home分区-这是用户的home目录所在地；

它的大小取决于系统有多少用户,以及这些用户将存放多少数据,挂载文件系统

（一）,linux系统中每个分区都是一个文件系统，都有自己的目录层次结构。

这里所说的“按一定方式”就是指的挂载挂载点必须是一个目录一个分区挂载在一个已存在的目录上，这个目录可以不为空，但挂载后这个目录下以前的内容将不可用,挂载文件系统

（二）,挂载时使用mount命令格式：

mount-参数设备名称挂载点,Linux文件系统安全性

（一）,禁止使用控制台程序禁止控制台的访问防止sendmail被没有授权的用户滥用使系统对ping没有反应不要显示系统提示信息路由协议使TCPSYNCookie保护生效防火墙,Linux文件系统安全性

（二）,资源限制更好地控制mount上的文件系统把rpm程序转移到一个安全的地方，并改变默认的访问许可登录shell创建所有重要的日志文件的硬拷贝改变“/etc/rc.d/init.d/”目录下的脚本文件的访问许可,Linux文件系统安全性（三）,异常和隐含文件查找所有SUID/SGID位有效的文件查找任何人都有写权限的文件和目录查找没有主人的文件查找“.rhosts”文件使Control-Alt-Delete关机键无效,Linux账号安全性,系统安全记录文件启动和登录安全性,系统安全记录文件,操作系统内部的记录文件是检测是否有网络入侵的重要线索可以运行#more/var/log/secure|greprefused来检查系统所受到的攻击,启动和登录安全性,BIOS安全设置BIOS密码且修改引导次序禁止从软盘启动系统,用户口令,口令口令至少要有6个字符，最好包含一个以上的数字或特殊字符口令不能太简单，所谓的简单就是很容易猜出来，也就是用自己的名字，电话号码、生日、职业或者其它个人信息作为口令口令必须是有有效期的，在一段时间之后就要更换口令口令在这种情况下必须作废或者重新设定：

如果发现有人试图猜测你的口令，而且已经试过很多次了,账号

（一）,特殊的账号禁止操作系统中不必要的预置账号删除一些不必要的组在系统中加入必要的用户“不许改变”位可以用来保护文件使其不被意外地删除或重写，也可以防止有些人创建这个文件的符号连接,帐号

（二）,root帐号“root”帐号是Unix系统中享有特权的帐号“root”帐号是不受任何限制和制约的不要随便用root帐号登录,帐号（三）,加密加密时要用到密匙，密匙是一个特殊的数字，把密匙和需要加密的信息经过加密算法加密之后，只有知道密匙的人才能把信息读出来,口令文件,chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow,禁止Ctrl+Alt+Delete重新启动机器命令,修改/etc/inittab文件将“ca:

ctrlaltdel:

/sbin/shutdown-t3-rnow”一行注释掉重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令#chmod-R700/etc/rc.d/init.d/*,限制su命令,防止任何人都可以用su命令成为root在“/etc/pam.d/su”文件中加入authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel这两行的意思是只有“wheel”组的成员才能用su命令成为root。

注意，“wheel”组是系统中用于这个目的的特殊帐号。

不能用别的组名举例：

让admin用户成为“wheel”组的成员，这样就可以用“su”命令成为“root”rootdeep#usermod-G10admin“G”是表示用户所在的其它组。

“10”是“wheel”组的ID值，“admin”是我们加到“wheel”组的用户。

用同样的命令可以让其他的用户可以用su命令成为root,删减登录信息,默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等编辑/etc/rc.d/rc.local将输出系统信息的注释掉,Linux的安全配置文件

（一）,“/etc/exports”文件“/etc/inetd.conf”文件“/etc/aliases”文件“/etc/host.conf”文件“/etc/services”文件“/etc/securetty”文件“/etc/lilo.conf”文件GRUB多重启动管理器,Linux的安全配置文件,“/etc/rc.d/rc.local”文件“/etc/sysctl.conf”文件syslog系统日志工具/etc/sysconfig/network-scripts/目录/etc/sysconfig/network,NFS和NIS安全,什么是NFS什么是NISNFS和NIS的安全问题,什么是NFS,基于RPC（remoteprocedurecall）协议的网络文件系统是由SunMicrosystems公司最早于1980年实现的，用于在异种UNIX操作系统共享文件NFS的客户端/服务器实现结构使得远程磁盘对于本地客户端是透明可见的。

它通过几个守护进程和配置文件来实现文件共享,NFS如何工作,由于NFS运行于面向无连接（不需要对传输数据包进行任何确认）的UDP协议上，NFS则试图强迫对它发送的每一个命令进行确认如果收到确认，则继续发送数据。

如果在特定时间内未收到确认，数据将被重传,NFS的配置文件,NFS的配置文件/etc/exports，它定义了哪些共享和对谁是可用的/etc/fstab，它包含了在客户端上被安装的文件系统列表,什么是NIS,NetworkInformationService（网络信息服务），通常还称为YellowPages（黄页），是一种集中管理系统通用访问文件的分布式数据库系统。

master服务器存放这些文件，而客户端则通过网络访问其中的信息,NIS的实现,NIS的实现是通过几个守护进程ypserv是服务器守护进程ypbind是客户端进程以构造NIS请求maps可以在更新后手工（使用yppush）传送到slave服务器，或者通过ypxfrd进程自动（slave服务器检查服务器上的时间戳以进行正确的更新）传送。

NFS和NIS的安全问题,NFS的安全问题NIS服务的安全问题保护NFS保护NIS,NFS的安全问题,NFS使用AUTH_UNIX的认证方法，即非显式信任NFS客户端在服务器的UID（用户ID）和GID（组ID）对于文件系统共享输出（export）时被明确地指定了允许root用户访问的权限，任何在NFS客户端获取了root权限的攻击者都可能会轻易控制NFS服务器。

攻击者通过编写设置UID和GID值的程序，使其有权访问NFS服务器端任何用户的文件NFS守护进程服务器还不时被发现存在缓冲区溢出漏洞,NIS服务的安全问题,DoS攻击（在多台客户端上使用finger服务）缓冲区溢出攻击（libnasl）NISmaps查询弱认证和其各个守护进程也存在各自的安全问题,保护NFS,安装了最新的NFS补丁检查/etc/exports文件确保所有被共享的文件名不超过256字符确保/etc/exports和/etc/netgroups的访问权限为644，属主为root，组用户为root或sys在被输出文件系统机器上运行fsirand激活NFS的端口监视,保护NIS,确定安装了最新的NFS补丁确保NISmaps是否与本地口令文件是相互独立的检查用户口令强度检查空口令确保口令域中*的正确使用,典型应用层服务,FTP（Wu-Ftpd）TelnetSMTP（Sendmail）WWW（Apache）,FTP（Wu-Ftpd）,FTP服务器的配置文件/etc/ftpusers/etc/ftpconversions/etc/ftpgroups/etc/ftphosts/etc/ftpaccess,Telnet,Telnet面临的主要安全问题使用者认证数据传送保密防范针对telnet的攻击,Telnet本身的缺陷,没有口令保护，远程用户的登陆传送的帐号和密码都是明文，使用普通的sniffer都可以被截获没有强力认证过程。

只是验证连接者的帐户和密没有完整性检查。

传送的数据没有办法知道是否完整的，而不是被篡改过的数据。

传送的数据都没有加密,数据传送保密,使数据在Telnet会话中安全传送的方法使用DES、TripleDES、IDEA的随机密钥加密会话使用Diffie-Hellman进行密钥交换使用公钥私钥加密签名,SMTP（Sendmail）,Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序,设置Sendmail使用smrsh,决定smrsh可以允许sendmail运行的命令列表在“/etc/smrsh”目录中创建允许sendmail运行的程序的符号连接配置sendmail使之使用受限shell,避免Sendmail被未授权的用户滥用,编辑/etc/sendmail.cf文件，修改这个配置文件，使邮件服务器能够挡住欺骗邮件,限制可以审核邮件队列内容的人员,为了限制可以审核邮件队列内容的人员，只要在“/etc/sendmail.cf”文件中指定“restrictmailq”选项即可这种情况下，sendmail只允许与这个队列所在目录的组属主相同的用户可以查看它的内容,WWW（Apache）,Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。

Apache服务器源自美国国家超级技术计算应用中心（NCSA）的Web服务器项目中。

目前已在互联网中占据了领导地位,Apache服务器的主要安全缺陷,使用HTTP协议进行的拒绝服务攻击（denialofservice）缓冲区溢出攻击被攻击者获得root权限的安全缺陷恶意的攻击者进行“拒绝服务”（DoS）攻击,正确维护和配置Apache服务器,ApacheWeb服务器主要有三个配置文件，位于/usr/local/apache/conf目录httpd.conf-主配置文件srm.conf-填加资源文件access.conf-设置文件的访问权限,Apache服务器的日志文件,使用日志格式指令来控制日志文件的信息。

使用LogFormat“%a%l”指令，可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件出于安全的考虑，在日志中至少应该知道那些验证失败的WEB用户-在http.conf文件中加入LogFormat%401u指令可以实现这个目的,Apache服务器的目录安全认证,在ApacheServer中是允许使用.htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。

这样可做为专门管理网页存放的目录或做为会员区等,？

Apache服务器访问控制,access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。

应该把denyfromall设为初始化指令，再使用allowfrom指令打开访问权限,Linux安全性的评估,Linux安全之路没有真正安全的操作系统安全问题是一个难度大且长久的工作开放源码团体已经不断地努力发现各种安全漏洞，并且已经取得很大的成绩,