本文選自ChinaITLab網(wǎng)校課程《CIW網(wǎng)絡(luò)安全工程師V3.0》
本小節(jié)的要點(diǎn)包括：
●常用網(wǎng)絡(luò)服務(wù)安全
■DNS
■WWW
■WEB
■FTP
●LINUX帳戶安全
■LINUX系統(tǒng)帳戶文件
■LINUX系統(tǒng)帳戶安全
●LINUX文件系統(tǒng)安全
■文件權(quán)限分類
■文件和目錄的訪問對象
■UMASK值
■不可改變位
■SUID/SGID文件
■文件完整性
■文件加密
■備份策略
1　常用網(wǎng)絡(luò)服務(wù)安全
1.1　域名（dns）服務(wù)
1.1.1　DNS基本原理
1、DNS術(shù)語、特性：
●互連網(wǎng)上主機(jī)信息的分布式數(shù)據(jù)庫
●域名服務(wù)器
●解析器即客戶機(jī)
●域名查詢采用UDP協(xié)議，而區(qū)域傳輸采用TCP協(xié)議
●域名解析過程分為兩種方式：遞歸模式和交互模式
2、域名解析過程
典型的域名解析過程。
3、BIND主要配置文件
BIND的主要配置文件包括：
●named配置文件:/etc/named.boot、etc/named.conf
●DNS數(shù)據(jù)文件
●反向解析順序文件/etc/resolv.conf
1.1.2　DNS服務(wù)器的常見攻擊方法
DNS服務(wù)器的常見攻擊方法包括：
●地址欺騙
●遠(yuǎn)程漏洞入侵
●拒絕服務(wù)
1、地址欺騙
2、緩沖區(qū)溢出漏洞
解決辦法：
●安裝最新BIND
■http://www.isc.org/products/BIND/bind9.html
3、DNS服務(wù)器的拒絕服務(wù)攻擊
●針對DNS服務(wù)器軟件本身
●利用DNS服務(wù)器作為中間的"攻擊放大器"，去攻擊其它intetnet上的主機(jī)
1.1.3　Bind服務(wù)器安全配置
●基本安全配置
■隱藏版本信息
■named進(jìn)程啟動(dòng)選項(xiàng)：
-r：關(guān)閉域名服務(wù)器的遞歸查詢功能（缺省為打開）。
-u 和-g ：定義域名服務(wù)器運(yùn)行時(shí)所使用的UID和GID。
-t ：指定當(dāng)服務(wù)器進(jìn)程處理完命令行參數(shù)后所要chroot（）的目錄。
●Bind服務(wù)器的訪問控制
■限制查詢
■限制區(qū)域傳輸
■關(guān)閉遞歸查詢
■Bind服務(wù)器安全配置
/etc/named.conf
options{
directory"/var/named";
allow-query202.96.44.0/24;
allow-transfer　 {
192.168.100.1;
202.96.44.0/24;
recursion no;
};
};
●設(shè)置chroot運(yùn)行環(huán)境
■chroot 是 "change root" 的縮寫
■chroot重定義了一個(gè)程序的運(yùn)行環(huán)境。重定義了一個(gè)程序的"ROOT"目錄或"/"。也就是說，對于chroot了的程序或shell來說，chroot環(huán)境之外的目錄是不存在的。
■Chroot方法步驟：
建立"監(jiān)獄式"目錄
拷貝本身服務(wù)軟件和其他要求的文件
拷貝所需要系統(tǒng)庫文件
變換啟動(dòng)腳本，使系統(tǒng)啟動(dòng)正確環(huán)境
●及時(shí)更新安裝bind的最新版本
1.2　 WWW服務(wù)
1.2.1　常見安全威脅
對于WWW服務(wù)，常見安全威脅包括：
■HTTP拒絕服務(wù)：攻擊者通過某些手段使服務(wù)器拒絕對HTTP應(yīng)答
■緩沖區(qū)溢出
1.2.2　Web服務(wù)器（apache）配置文件
控制著服務(wù)器各個(gè)方面的特性的三個(gè)配置文件：
■httpd.conf主配置文件，是對守護(hù)程序httpd如何運(yùn)行的技術(shù)描述
■srm.conf是服務(wù)器的資源映射文件，告訴服務(wù)器各種文件的MIME類型，以及如何支持這些文件
■access.conf用于配置服務(wù)器的訪問權(quán)限，控制不同用戶和計(jì)算機(jī)的訪問限制
1、Apache的基本安全配置
■及時(shí)更新安裝Apache的最新版本
■設(shè)置chroot運(yùn)行環(huán)境
■隱藏版本信息
2、Apache服務(wù)器訪問控制
■文件的訪問控制
■目錄的訪問控制
■主機(jī)的訪問控制
■access.conf文件包含一些指令控制允許某個(gè)用戶、某個(gè)域、IP地址或者IP段的訪問訪問Apache目錄。
■order deny,allow
■deny from all
■allow from sans.org
■使用.htaccess文件，可以把某個(gè)目錄的訪問權(quán)限賦予某個(gè)用戶
1.3　 mail服務(wù)
1.3.1　Sendmail的主要安全問題
■郵件轉(zhuǎn)發(fā)與垃圾郵件
■避免未授權(quán)的用戶濫用noexpn,novrfy
■限制可以審核郵件隊(duì)列內(nèi)容的人員
■（/etc/sendmail.cf: PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq）
■關(guān)閉relay選項(xiàng)
■及時(shí)更新安裝最新版本的Sendmail
■文件系統(tǒng)安全
■拒絕服務(wù)攻擊
1、關(guān)閉relay選項(xiàng)
sendmail提供了許多在編譯期間選擇的功能特性
在/etc/sendmail.mc中與安全相關(guān)的特性有：
■FEATURE（*）
■promiscuous_relay
■accept_unqualified_senders
■loose_relay_check
■accept_unresolvable_domains
■blacklist_recipients
■relay_entire_domain
2、郵件轉(zhuǎn)發(fā)與垃圾郵件
設(shè)置smtp身份驗(yàn)證。
3、文件系統(tǒng)安全
重要的文件設(shè)置不可更改位
■[root@deep]# chattr +i /etc/sendmail.cf
■[root@deep]# chattr +i /etc/sendmail.cw
■[root@deep]# chattr +i /etc/sendmail.mc
■[root@deep]# chattr +i /etc/aliases
■[root@deep]# chattr +i /etc/mail/access
4、Sendmail配置抵御DOS
■/etc/sendmail.cf üMinFreeBlocks--配置最少的自由塊數(shù)
■MaxMessageSize--最大郵件大小
■AutoRebuildAliases--自動(dòng)重建別名
■QueueLA--隊(duì)列平均負(fù)荷
■RefuseLA--平均負(fù)荷拒絕臨界點(diǎn)
■MaxDaemonChildren--最大的守護(hù)進(jìn)程的子進(jìn)程數(shù)
■MaxHeadersLength --最大的報(bào)頭長度
■MaxMimeHeaderLength --最大MIME編碼報(bào)文長度
■MaxRecipientsPerMessage --每封郵件的最多接收者
1.4　FTP
了解那些FTP有安全問題：
■wu-ftpd -（wu-ftpd 2.6.0 輸入驗(yàn)證漏洞、site newer 內(nèi)存耗盡問題）
■proftpd
1.4.1　Ftp安全要點(diǎn)
■使用最新版本 -http://www.wu-ftpd.org/　2.6.2 -http://www.proftpd.org/ 1.2.9
■使用ftpuser限制ftp用戶
■使用ftpaccess控制用戶行為，流量等等
■設(shè)置chroot運(yùn)行環(huán)境 o使用ssh或sftp代替ftp
2　UNIX系統(tǒng)帳號安全
2.1　UNIX系統(tǒng)帳號文件
2.1.1　Passwd文件剖析
■name:coded-passwd:UID:GID:user-info:home-directory:shell
passwd文件字段含義：
■7個(gè)域中的每一個(gè)由冒號隔開。
■name-給用戶分配的用戶名。
■Coded-passwd-經(jīng)過加密的用戶口令。如果一個(gè)系統(tǒng)管理員需要阻止一個(gè)用戶登錄，則經(jīng)常用一個(gè)星號（ : * :）代替。該域通常不手工編輯。
■UID-用戶的唯一標(biāo)識號。習(xí)慣上，小于100的UID是為系統(tǒng)帳號保留的。
■UNIX系統(tǒng)帳號安全
■GID-用戶所屬的基本分組。通常它將決定用戶創(chuàng)建文件的分組擁有權(quán)。
■User_info-習(xí)慣上它包括用戶的全名。郵件系統(tǒng)和finger這樣的工具習(xí)慣使用該域中的信息。
■home-directory-該域指明用戶的起始目錄，它是用戶登錄進(jìn)入后的初始工作目錄。
■shell-該域指明用戶登錄進(jìn)入后執(zhí)行的命令解釋器所在的路徑。注意可以為用戶在該域中賦一個(gè)/bin/false值，這將阻止用戶登錄。
2.1.2　shadow文件
其內(nèi)容中各字段含義：
■上一次修改口令的日期，以從1970年1月1日開始的天數(shù)表示。
■口令在兩次修改間的最小天數(shù)?？诹钤诮⒑蟊仨毟牡奶鞌?shù)。
■口令更改之前向用戶發(fā)出警告的天數(shù)。
■口令終止后帳號被禁用的天數(shù)。
■自從1970年1月1日起帳號被禁用的天數(shù)。
■保留域。
2.2　UNIX系統(tǒng)帳號安全
2.2.1　禁用的口令
■不要選擇簡單字母序列組成的口令（例如"qwerty"或"abcdef"）。
■不要選擇任何指明個(gè)人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、電話號碼、社會(huì)保障號碼、汽車牌號、汽車執(zhí)照號、居住的街道名稱等）。
■不要選擇一個(gè)與要替換的口令相似的新口令。
■不要選擇一個(gè)包含用戶名或相似內(nèi)容的口令。
■不要選擇一個(gè)短于6個(gè)字符或僅包含字母或數(shù)字的口令。
■不要選擇一個(gè)所有字母都是小寫或大寫字母的口令。
■不要選擇一個(gè)被作為口令范例公布的口令。
2.2.2　好的口令
■選擇一個(gè)至少有10個(gè)字符長度的口令。
■選擇一個(gè)包含非字母字符的口令，包括數(shù)字和特殊字符，如～ ! @ $ % ^　* （ ） _ - + ={ } [ ] | \ : ; ' "　, . ? / 。
■選擇一個(gè)容易記住而不必寫下來的口令。
■選擇一個(gè)不用看鍵盤而能迅速鍵入的口令，使偷看的人不能識別出鍵入的字符。
■禁止寫下口令
2.2.3　安全缺省帳號
Linux系統(tǒng)中安全缺省帳號。
2.2.4　UNIX系統(tǒng)帳號安全事項(xiàng)
UNIX系統(tǒng)帳號安全注意事項(xiàng)：
●禁用和刪除帳號
■禁用帳號最快的方式是在/etc/passwd或影子口令文件中用戶加密口令的開始加一個(gè)星號（*）。該用戶將不能再次登錄。
■刪除帳號
■userdel jrandom
刪除一個(gè)帳號時(shí)要完整。
殺死任何屬于該用戶的進(jìn)程或打印任務(wù)。
檢查用戶的起始目錄并為任何需要保存的東西制作一個(gè)備份。
刪除用戶的起始目錄及其內(nèi)容。
刪除用戶的郵件文件（/var/spool /mail）。
把用戶從郵件別名文件中刪除（/usr/lib/aliases）。
如果事先知道用戶帳號將在哪天終止，則考慮在/etc/shadow中設(shè)置口令和帳號終止域。
●Root帳號安全性
■確保root只允許從控制臺登陸
■限制知道root口令的人數(shù)
■使用強(qiáng)壯的密碼
■三個(gè)月或者當(dāng)有人離開公司是就更改一次密碼
■使用普通用戶登陸,用su取得root權(quán)限, 而不是以root身份登錄
■設(shè)置 umask 為077 ,在需要時(shí)再改回022
■請使用全路徑執(zhí)行命令
■不要允許有非root用戶可寫的目錄存在root的路徑里
■確保root沒有~/.rhosts文件
■確保root的cron job文件里沒有執(zhí)行屬于其它用戶或人人可寫的文件
■修改/etc/securetty，去除終端ttyp0-ttyp9，使root只能從console或者使用ssh登陸。
■禁止root用戶遠(yuǎn)程登錄
linux下: -/etc/pam.d/login -auth　 required pam_securetty.so
其它多數(shù)系統(tǒng): -/etc/default/login -CONSOLE=/dev/console
■自動(dòng)帳號封鎖-能夠聲明嘗試登錄失敗的最大次數(shù)；一旦到達(dá)這個(gè)次數(shù)就封鎖該帳號
■日期和時(shí)間限制-能夠聲明在一周或一天的什么時(shí)候可以使用一個(gè)用戶的帳號；這是為了防御深更半夜的黑客
■自動(dòng)登錄退出-可以使長時(shí)間無反應(yīng)的用戶會(huì)話自動(dòng)終止；這是有風(fēng)險(xiǎn)的，因?yàn)榭赡芤蛞粋€(gè)合法的原因使一個(gè)會(huì)話顯得不活躍
●密碼策略
■密碼長度的強(qiáng)制定義 -修改 /etc/login.defs -PASS_MIN_LEN 5
■為 PASS_MIN_LEN 8
■設(shè)置root登陸的timeout -/etc/profile: export TMOUT=7200
■用chage命令管理口令周期
chage -l username
[-m 最短周期] [-M 最長周期] [-I 口令到期到被鎖定的天數(shù)]
[-E到期日期] [-W 口令到期之前開始警告的天數(shù)] username
●受限制的登錄shell：
■編輯profile文件（vi /etc/profile），把這些行改成：
■HISTSIZE=20
●策略傳播
●進(jìn)行口令檢查
●產(chǎn)生隨機(jī)口令
●提前進(jìn)行口令檢查
●口令更換
3　UNIX文件系統(tǒng)安全
3.1　文件權(quán)限分類
■讀：允許讀文件和目錄內(nèi)容。
■寫：允許修改、刪除文件。
■執(zhí)行：允許執(zhí)行二進(jìn)制程序和腳本
■目錄粘著位：用戶不能刪除該目錄下沒有寫權(quán)限的文件，盡管他對目錄有寫權(quán)限。
■SUID: 程序以所有者而不是執(zhí)行者的身份執(zhí)行。
■SGID（文件）: 類似SUID，程序以所在組的權(quán)限運(yùn)行。
3.2　文件和目錄的訪問對象
■文件所有者；
■文件所有組；
■其它人。
其中，文件權(quán)限的8進(jìn)制表示。屬主,組,其它分別以一個(gè)8進(jìn)制位表示,其中: -r - 4 -w - 2 -x - 1
例子: "-rwxr-x---" 8進(jìn)制表示為0750　0400 0200 0100 0040 0000 0010　 ＋0000　 ------------- 0750

文件權(quán)限命令
■chmod （改變權(quán)限）
■#chmod o+r file
■（用戶（u）、分組（g）、其他（0））
■c h o w n（改變擁有權(quán)）
■#chown user1 file
■c h g r p（改變分組）
■#chgrp group1 file
3.3　umask值
當(dāng)創(chuàng)建了一個(gè)新文件或目錄時(shí)，它基于用戶的權(quán)限屏蔽"umask"來確定缺省的權(quán)限設(shè)置。chmod命令用來聲明要打開的權(quán)限，而umask命令用來指明要禁止的權(quán)限。
它用一個(gè)簡單的三位數(shù)變元來聲明在一個(gè)文件或目錄被創(chuàng)建時(shí)應(yīng)該被禁止的訪問權(quán)限-或被屏蔽的。
umask主要在系統(tǒng)范圍及個(gè)人的登錄文件.login或.profile中建立。
3.3.1　文件權(quán)限
■應(yīng)該設(shè)置root用戶的umask為077，這使其它用戶不能讀寫root新創(chuàng)建的文件。
■在多數(shù)系統(tǒng)中，u m a s k的缺省值是0 2 2。
3.3.2　附加的文件權(quán)限屬性
■linux的ext2/ext3文件系統(tǒng) -lsattr -chattr
■i 禁止修改
■#chattr +i　files
■#chattr -i　files
3.4　給口令文件和組文件設(shè)置不可改變位，
■[root@cnns]# chattr +i /etc/passwd
■[root@cnns]# chattr +i /etc/shadow
■[root@cnns]# chattr +i /etc/group
■[root@cnns]# chattr +i/etc/gshadow
3.5　SUID和SGID文件
■SUID表示"設(shè)置用戶ID"，SGID表示"設(shè)置組ID"。當(dāng)用戶執(zhí)行一個(gè)SUID文件時(shí)，用戶ID在程序運(yùn)行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。同樣，當(dāng)一個(gè)用戶執(zhí)行SGID文件時(shí)，用戶的組被置為文件的組。
■Unix實(shí)際上有兩種類型的用戶ID。
■"real user ID"是在登錄過程中建立的用戶ID。 "effective user ID"是在登錄后的會(huì)話過程中通過SUID和SGID位來修改。
■#find /-type f \ （-perm -4000 -o -perm -2000\） -ls
■這告訴find列出所有設(shè)置了SUID（"4000"）或SGID（"2000"）位的普通文件（"f"）。應(yīng)該在每個(gè)本地系統(tǒng)中運(yùn)行它。
■[root@kcn]# chmod a-s /usr/bin/chage
3.6　文件完整性
■確保操作系統(tǒng)文件,尤其可執(zhí)行程序/bin,/sbin,/usr/bin/usr/sbin）不被修改。
■許多rootkit都要替換系統(tǒng)程序（如login,netstat,ps,ls等）來隱藏自己及安裝后門
■一般通過計(jì)算文件校驗(yàn)碼（如MD5碼）的方式來檢驗(yàn)文件完整性
■#md5sum --check bin.sum
■RPM檢驗(yàn)和簽名檢查（linux）
■# rpm --verify timed -0.10-2
3.7　文件加密
Unix常用的加密算法有crypt（最早的加密工具）、DES（目前最常用的）、IDEA（國際數(shù)據(jù)加密算法）、RC4、Blowfish（簡單高效的DES）、RSA。
PGP還可以用來加密本地文件?，F(xiàn)在常用的Linux下的PGP工具為：pgpe（加密）、pgps（簽名）、pgpv（確認(rèn)/解密）、pgpk（管理密鑰）
3.8　備份策略
3.8.1　備份策略包括
■第0天備份
■完全備份
■增量式備份
■特別備份
3.8.2　備份命令
■cp
■Tar（用于磁帶機(jī)）
■Dump（把整個(gè)文件系統(tǒng)拷貝到備份介質(zhì)上）
■-#dump 0f0 /dev/rst0 1500 /dev/sd0a
■把一個(gè)SCSI硬盤（/dev/rsd0a）以0級備份到磁帶（/dev/rst0）。
■Restore（恢復(fù)整個(gè)文件系統(tǒng)或提取單個(gè)文件）
3.8.3　備份要注意的問題
■檢驗(yàn)備份
■保護(hù)備份介質(zhì)
■把備份磁帶寫保護(hù)
■定期把備份送到遠(yuǎn)離站點(diǎn)的地方
■要留神介質(zhì)的限制