单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Linux操作系统实训教程,主讲人 刘晓辉,Linux操作系统实训教程主讲人 刘晓辉,1,第10章 Linux系统安全,本章要点,常见攻击类型,Linux系统安全策略,网络服务安全,脚本安全,使用Snort进行入侵检测,网络防火墙,第10章 Linux系统安全本章要点,2,10.1 常见的攻击类型,10.1.1 扫描,10.1.2 嗅探,10.1.3 木马,10.1.4 病毒,几种常见的攻击方式,包括端口扫描、嗅探、种植木马、传播病毒等等10.1 常见的攻击类型10.1.1 扫描,3,10.1.1 扫描,1.什么是扫描器,2.工作原理,3.扫描器能干什么,4.常用的端口扫描技术,(1)TCP connect()扫描,(2)TCP SYN扫描,(3)TCP FIN扫描,(4)IP段扫描,(5)TCP反向ident扫描,(6)FTP返回攻击,10.1.1 扫描1.什么是扫描器,4,10.1.2 嗅探,1.嗅探原理,2.嗅探造成的危害,窃取用户名和密码,捕获专用或机密信息,窃取高级访问权限,窥探低级的协议信息,3.常见的嗅探器,Tcpdump/Windump,Sniffit,Ettercap,Snarp,4.嗅探特征,网络通信丢包率反常,网络带宽出现反常,5.嗅探对策,及时打补丁,本机监控,监控本地局域网的数据帧,对敏感数据加密,使用安全的拓朴结构,10.1.2 嗅探1.嗅探原理4.嗅探特征,5,10.1.3 木马,提示,网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机10.1.3 木马提示 网络客户/服务模式的原理是一,6,10.1.4 病毒,1.可执行文件型病毒,2.蠕虫(worm)病毒,3.脚本病毒,4.后门程序,10.1.4 病毒1.可执行文件型病毒,7,10.2 Linux系统安全策略,10.2.1 分区安全,10.2.2 系统引导安全,10.2.3 账号安全,10.2.4 密码安全,10.2.5 系统日志,系统安全包括分区安全、系统引导安全、账号安全、密码安全等,10.2 Linux系统安全策略10.2.1 分区安全,8,10.2.1 分区安全,修改/etc/fstab,提示,各个单独分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃10.2.1 分区安全 修改/etc/fstab 提示,9,10.2.3 账号安全,使用su命令,删除用户,修改文件属性,10.2.3 账号安全 使用su命令 删除用户 修改文件,10,10.2.4 密码安全,1.强制密码设置规范,2.密码数据库的保护手段,提示,系统管理员可以采取各种策略来确保密码安全。
但首先要让用户们明白密码安全的重要性,同时制定密码策略来强制密码设置规范这包括确定可接受的密码设置要求、更换密码的时限、密码需要包含多少字符等等系统管理员还可以运行检测工具来查找密码数据库的安全漏洞10.2.4 密码安全1.强制密码设置规范提示,11,10.2.5 系统日志,1.基本日志命令的使用,2.使用Syslog设备,连接时间日志,进程统计,错误日志,10.2.5 系统日志1.基本日志命令的使用连接时间日,12,连接时间日志和错误日志,查看错误日志,连结时间日志,所有位置,连接时间日志和错误日志查看错误日志 连结时间日志,13,2.使用Syslog设备,记录邮件信息,到一个文件中,存储日志,并设置级别,2.使用Syslog设备 记录邮件信息存储日志,14,2.使用Syslog设备,将日志发送到邮箱,将消息传送至messages,提示,在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都不能清除入侵的痕迹因此,syslog设备是一个攻击者的显著目标,破坏了它将会使用户很难发现入侵以及入侵的痕迹,因此要特别注意保护其守护进程以及配置文件2.使用Syslog设备 将日志发送到邮箱 将消息传送至,15,10.3 网络服务安全,10.3.1 iptables,10.3.2 TCP Wrappers,10.3.3 xinetd,10.3.4 常见网络服务的安全问题,网络服务安全包括:iptables、TCP Wrappers、xinetd及其他常见网络服务安全。
10.3 网络服务安全10.3.1 iptables,16,10.3.1 iptables,1.iptables基础,2.简单iptable管理,10.3.1 iptables1.iptables基础,17,1.iptables基础,用man查看iptables帮助信息,GNOME进入安全级别设置,提示,基于浏览器界面的服务器管理系统Webmin也具备iptable的管理能力甚至有些Linux的发布版本的整个目的就是为了提供一个iptable的GUI前台、一定的配置功能、合理健全的默认配置、路由服务配置界面的整合以及其他常用的网络防火墙设备的功能1.iptables基础 用man查看iptables帮,18,2.简单iptable管理,(1)备份,(2)恢复,(3)安全设置,修改内核变量,修改脚本,2.简单iptable管理(1)备份,19,(1)备份,进行设置,执行“iptables-L”命令,(1)备份进行设置 执行“iptables-L”命令,20,(1)备份,存储iptables设置,(1)备份 存储iptables设置,21,(2)恢复 和(3)安全设置,恢复设置,修改network脚本,(2)恢复 和(3)安全设置 恢复设置 修改netwo,22,10.3.2 TCP Wrappers,1.Tcp Wrappers的功能,2.Tcp Wrappers的配置,查看tcp_wrappers具体,信息的文件所有位置,配置,hosts.allow,10.3.2 TCP Wrappers1.Tcp Wr,23,10.3.3 xinetd,xinetd服务配置,10.3.3 xinetdxinetd服务配置,24,10.3.4 常见网络服务的安全问题,1.WuFTPD,2.Telnet,3.Sendmail,4.su,5.named,10.3.4 常见网络服务的安全问题1.WuFTPD,25,10.4 脚本安全,10.4.1 处理用户输入,10.4.2 注意隐式输入,脚本就是运行在网页服务器上的文本程序,例如:ASP、PHP、CGI、JSP、ISAP等,脚本攻击就是利用这些文件的设置和编写时的错误或疏忽,进行攻击的,如果一个服务器存在这些漏洞,那么它就很容易被攻破。
这些文本文件一般都是要结合数据库来使用的,这些数据库有Access、MsSQL、MySQL、Oracle等10.4 脚本安全10.4.1 处理用户输入,26,10.5 使用Snort进行入侵检测,10.5.1 入侵检测系统简介,10.5.2 snort介绍,10.5.3 安装Snort,10.5.4 使用Snort,10.5.5 配置snort规则,10.5.6 编写Snort规则,10.5.7 snort规则应用举例,入侵检测和使用网络防火墙,正是安全防范的两大措施10.5 使用Snort进行入侵检测10.5.1 入侵检,27,10.5.1 入侵检测系统简介,1.基于网络的入侵检测系统,2.基于主机的入侵检测系统,3.混合式入侵检测系统,4.文件完整性检查工具,10.5.1 入侵检测系统简介1.基于网络的入侵检测系,28,10.5.2 snort介绍,1.snort是一个轻量级的入侵检测系统,2.snort的可移植性很好,3.snort的功能非常强大,10.5.2 snort介绍1.snort是一个轻量级,29,10.5.3 安装Snort,1.获得snort,Snort下载地址:http:/www.snort.org,2.安装snort,10.5.3 安装Snort1.获得snort,30,1.获得snort,下载snort,压缩包,下载libpcap,库压缩包,1.获得snort下载snort下载libpcap,31,2.安装snort,(1)解压libpcap包和snort包,(2)编译libpcap库,(3)安装snort,(4)编译snort,鼠标右键解压,执行./configure命令,2.安装snort(1)解压libpcap包和sno,32,10.5.4 使用Snort,1.作为嗅探器,2.记录数据包,3.作为入侵检测系统,查看snort用法,提示,Snort命令的各个参数可以分开写或任意结合在一块。
例如,./snort-d-v-e 和./snort-vde 的效果是完全相同的10.5.4 使用Snort1.作为嗅探器查看snor,33,2.记录数据包,使用-vde参数,记录数据包,2.记录数据包 使用-vde参数 记录数据包,34,2.记录数据包,执行“snort l/log-b”,2.记录数据包 执行“snort l/log-b”,35,3.作为入侵检测系统,snort最重要的用途还是作为网络入侵检测系统(NIDS),使用下面的命令行可以启动这种模式:,./snort-dev-l./log-h 192.168.0.95/24-c snort.conf,提示,如果用户想长期使用snort作为自己的入侵检测系统,最好不要使用-v选项因为使用这个选项,使snort向屏幕上输出一些信息,会大大降低snort的处理速度,从而在向显示器输出的过程中丢弃一些包3.作为入侵检测系统 snort最重要的用,36,10.5.5 配置snort规则,pass:放行数据包,log:把数据包记录到日志文件,alert:产生报警消息并日志数据包,10.5.5 配置snort规则 pass:放行数据包,37,10.6 动手实践,安装snort并用snort进行入侵检测,(1)下载,(2)安装,10.6 动手实践 安装snort并用snort进行入侵检,38,。
