中标麒麟Linux操作系统安全概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
预防:
代码审计 最小权限运行程序 限 制程序数量 限制客户端访问服务
网络的安全性:
中间人攻击
窃听 数据注入 Session劫持
认证和加密数据以保护数据的完整性及机密性
对称加密:DES,AES,BLOWFISH,ETC. Hash:crc-32,md5,sha-1,etc. 非对称加密:RSA,EIGamal
PAM and SELinux
验证用户是否可访问服务
针对独立的服务 控制访问时间、使用限制、位置限制等
1、mv ps psbak 2 、 cat >ps #!/bin/sh psbak $1|grep -v sniff|grep -v grep|grep -v psbak|gawk
'{gsub(/sh \/bin\//, "",$0);print}‘ [ctrl+d]
3、chmod 755 ps
扩大战果 使用john破解软件 使用Sniff类监听器捕获敏感数据 安装Dos软件攻击其他主机 利用此服务器的信任关系进行内网攻
TCP Wrappers适用于链接libwrap.so的服务:
Daemon list:client list:ALLOW|DENY Daemon list:client list:severity [fac].pri
• Log connections
Daemon list:client list:spawn|twist command
• 工程问题
– 时间进度安排 – 分布实施及实施决策筛选 – 应急备案
防护机制
一定要有一套防护策略:
入侵检测 验证和评估入侵 入侵后恢复 报告入侵 策略执行的文档
防护方法
安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护
LINUX自身的防护机制
防火墙防护:
• 在子程序中执行命令或服务被命令替换
Daemon list:client list:banners directory
• 设置banner
Xinetd:控制在其监管下的服务
only_from = host_pattern no_access = host_pattern access_time=<time range> bind =<ip address> cps = <connetction/sec> <waitperiod> per_source=<connections> Flags:INTERCEPT SENSOR
验证和授权:
安全的服务需要验证客户端的身份及 授权进入:
弱认证
凭证捕获攻击-利用sniffer来获取clear-text用户名和密码, cookies或访问票单 导致出现错误认证及缺陷 利用 弱验证很容易哄骗系统
输入验证攻击:
利用服务输入验证的bug进行攻击:
如输入框不进行安全校验及执行处理 缓冲区溢出攻击:输入大size的数据,服务将此数据放入缓冲区 时造成溢出 ,进而使程序崩溃。更好的方式是覆盖执行堆栈,进 而使程序运行任意代码 。 格式字符串攻击:如注入攻击
Netfilter-低水平防护,只看包头信息 Proxy-高水平防护,可验证发送者、用户验证、协议、内容等等。 本地包过滤
TCP Wrappers Xinetd PAM Security Enhanced Linux 服务自身的安全配置 程序加强(如使用java、.net环境等)
TCP Wrappers and xinetd
中标麒麟Linux服务器操作系统培训系列
中标麒麟Linux操作系统安全概述
技术创新,变革未来
目标:
了解系统安全风险 了解攻击方式和方法 了解如何防范
入侵风险:
系统宕机: 窃取数据: 数据修改及破坏: 安装敌对软件: 负面宣传和金融影响:
系统安全:
系统危险包括:
针对系统系统可用性的攻击 未授权的访问 授权用户不合适的使用
安全网络认证系统
kerberos
交换机的安全
MAC Flooding MAC Duplication ARP Redirec情报
会尽可能多的获取,如环境信息等 如采用主动扫描及间接获取
分析获取的信息,确定哪些信息具备安全 缺陷(漏洞)
发现缺陷后,获取缺陷的访问权限 设置陷阱,获取root权限或者控制通信等 删除记录,安装后门
利用服务bug使其崩溃 崩溃其支撑的服务 崩溃其计算机(如崩溃网络带宽、主机内存等) DDoS(DISTRIBUTED DoS)
预防
软件及时更新 监控 服务状态 监控网络状态
信息泄漏:
服务信息泄漏:
Banner信息(软件及版本信息) 配置信息及参数信息 如telnet在登录前会有/etc/信息露出 授权的主机或者用户信息的泄漏,如showmount会泄漏 NFS信息及FTP的STAT命令会泄漏配置信息 可用 的其他资源
击
释放蠕虫和病毒
Why(技术层面)
踩点
扫描
攻击
清除日 志
隐藏&后门
扩大战 果
屏蔽敏感信息
最小安装、关闭非要服务
保持最新的安全更新 访问控制和审计
安全管理工作
• 高危端口及服务定义 • 服务器安全检查规范 • 服务器安全配置规范
安全管理工作
• 技术问题
– 实际应用的复杂性 – 易用性与安全性整合 – 回退方案工具准备 – 对业务应用熟悉
踩点 扫描
攻击
清除日 志
隐藏&后门
扩大战 果
勘查阶段 发掘阶段 映射阶段 拓展阶段
踩点 扫描
攻击
清除日 志
隐藏&后门
扩大战 果
通过telnet 80端口等形 式查询信息,定位目标
通过nmap.SSS等扫描 器扫描漏洞。
通过某个服务的漏洞, 溢出取得权限。
利用所取得的权限清除 日志,种植木马。
隐藏&后门 一个简单的rootkit :PS
危害产生的原因
利用错误的软件配置 利用协议的缺陷 利用信任关系
入 侵 行 为 分类
远程获得权限攻击 按 攻 击 本地超越权限攻击 方 法 分 类 拒绝服务攻击
远程获得最高权限
远程获得普通访问权 本地权限非正常提升 DOS DDOS 程序设计缺陷
服务可用性:
Denial of Service(DoS)攻击:
代码审计 最小权限运行程序 限 制程序数量 限制客户端访问服务
网络的安全性:
中间人攻击
窃听 数据注入 Session劫持
认证和加密数据以保护数据的完整性及机密性
对称加密:DES,AES,BLOWFISH,ETC. Hash:crc-32,md5,sha-1,etc. 非对称加密:RSA,EIGamal
PAM and SELinux
验证用户是否可访问服务
针对独立的服务 控制访问时间、使用限制、位置限制等
1、mv ps psbak 2 、 cat >ps #!/bin/sh psbak $1|grep -v sniff|grep -v grep|grep -v psbak|gawk
'{gsub(/sh \/bin\//, "",$0);print}‘ [ctrl+d]
3、chmod 755 ps
扩大战果 使用john破解软件 使用Sniff类监听器捕获敏感数据 安装Dos软件攻击其他主机 利用此服务器的信任关系进行内网攻
TCP Wrappers适用于链接libwrap.so的服务:
Daemon list:client list:ALLOW|DENY Daemon list:client list:severity [fac].pri
• Log connections
Daemon list:client list:spawn|twist command
• 工程问题
– 时间进度安排 – 分布实施及实施决策筛选 – 应急备案
防护机制
一定要有一套防护策略:
入侵检测 验证和评估入侵 入侵后恢复 报告入侵 策略执行的文档
防护方法
安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护
LINUX自身的防护机制
防火墙防护:
• 在子程序中执行命令或服务被命令替换
Daemon list:client list:banners directory
• 设置banner
Xinetd:控制在其监管下的服务
only_from = host_pattern no_access = host_pattern access_time=<time range> bind =<ip address> cps = <connetction/sec> <waitperiod> per_source=<connections> Flags:INTERCEPT SENSOR
验证和授权:
安全的服务需要验证客户端的身份及 授权进入:
弱认证
凭证捕获攻击-利用sniffer来获取clear-text用户名和密码, cookies或访问票单 导致出现错误认证及缺陷 利用 弱验证很容易哄骗系统
输入验证攻击:
利用服务输入验证的bug进行攻击:
如输入框不进行安全校验及执行处理 缓冲区溢出攻击:输入大size的数据,服务将此数据放入缓冲区 时造成溢出 ,进而使程序崩溃。更好的方式是覆盖执行堆栈,进 而使程序运行任意代码 。 格式字符串攻击:如注入攻击
Netfilter-低水平防护,只看包头信息 Proxy-高水平防护,可验证发送者、用户验证、协议、内容等等。 本地包过滤
TCP Wrappers Xinetd PAM Security Enhanced Linux 服务自身的安全配置 程序加强(如使用java、.net环境等)
TCP Wrappers and xinetd
中标麒麟Linux服务器操作系统培训系列
中标麒麟Linux操作系统安全概述
技术创新,变革未来
目标:
了解系统安全风险 了解攻击方式和方法 了解如何防范
入侵风险:
系统宕机: 窃取数据: 数据修改及破坏: 安装敌对软件: 负面宣传和金融影响:
系统安全:
系统危险包括:
针对系统系统可用性的攻击 未授权的访问 授权用户不合适的使用
安全网络认证系统
kerberos
交换机的安全
MAC Flooding MAC Duplication ARP Redirec情报
会尽可能多的获取,如环境信息等 如采用主动扫描及间接获取
分析获取的信息,确定哪些信息具备安全 缺陷(漏洞)
发现缺陷后,获取缺陷的访问权限 设置陷阱,获取root权限或者控制通信等 删除记录,安装后门
利用服务bug使其崩溃 崩溃其支撑的服务 崩溃其计算机(如崩溃网络带宽、主机内存等) DDoS(DISTRIBUTED DoS)
预防
软件及时更新 监控 服务状态 监控网络状态
信息泄漏:
服务信息泄漏:
Banner信息(软件及版本信息) 配置信息及参数信息 如telnet在登录前会有/etc/信息露出 授权的主机或者用户信息的泄漏,如showmount会泄漏 NFS信息及FTP的STAT命令会泄漏配置信息 可用 的其他资源
击
释放蠕虫和病毒
Why(技术层面)
踩点
扫描
攻击
清除日 志
隐藏&后门
扩大战 果
屏蔽敏感信息
最小安装、关闭非要服务
保持最新的安全更新 访问控制和审计
安全管理工作
• 高危端口及服务定义 • 服务器安全检查规范 • 服务器安全配置规范
安全管理工作
• 技术问题
– 实际应用的复杂性 – 易用性与安全性整合 – 回退方案工具准备 – 对业务应用熟悉
踩点 扫描
攻击
清除日 志
隐藏&后门
扩大战 果
勘查阶段 发掘阶段 映射阶段 拓展阶段
踩点 扫描
攻击
清除日 志
隐藏&后门
扩大战 果
通过telnet 80端口等形 式查询信息,定位目标
通过nmap.SSS等扫描 器扫描漏洞。
通过某个服务的漏洞, 溢出取得权限。
利用所取得的权限清除 日志,种植木马。
隐藏&后门 一个简单的rootkit :PS
危害产生的原因
利用错误的软件配置 利用协议的缺陷 利用信任关系
入 侵 行 为 分类
远程获得权限攻击 按 攻 击 本地超越权限攻击 方 法 分 类 拒绝服务攻击
远程获得最高权限
远程获得普通访问权 本地权限非正常提升 DOS DDOS 程序设计缺陷
服务可用性:
Denial of Service(DoS)攻击: