《腾讯内部培训资料_Linux操作系统安全配置》由会员分享,可在线阅读,更多相关《腾讯内部培训资料_Linux操作系统安全配置(46页珍藏版)》请在金锄头文库上搜索。
1、Linux操作系统安全配置 安全中心信息安全 CoolcyangCoolcyang 2005.32005.3 内容提要 Who Why What How 总结 Who 本培训针对的人群 维护主机的管理员 想加强自身team/部门主机安全的管理者 网络安全技术有兴趣的同事 Why 管 理 技 术 Why(技术层面) 安安 全全 的的 脆脆 弱弱 点点 Why(技术层面) Why(技术层面) 常见的黑客手段 Why(技术层面) Why(技术层面) 问题一 10分钟用您的智慧挑战黑客 您听说或知晓的黑客攻击手段? 黑客拿到服务器权限会有哪些危害? 针对这些攻击您是否有好的解决方案? 按攻击方法分类按
2、攻击方法分类 远程获得权限攻击远程获得权限攻击 本地超越权限攻击本地超越权限攻击 拒绝服务攻击拒绝服务攻击 远程获得最高权限远程获得最高权限 远程获得普通访问权远程获得普通访问权 DOSDOS DDOSDDOS 程序设计缺陷程序设计缺陷 本地权限非正常提升本地权限非正常提升 入 侵 行 为 分 类 Why(技术层面) 攻击手法和入侵者技术趋势 高 低 19801985199019952000 密码猜测 可自动复制的代码 密码破解 利用已知的漏洞 破坏审计系统 后门 回话劫持 擦除痕迹 嗅探 包欺骗 GUI远程控制 自动探测扫描 拒绝服务 www 攻击(注入,垮站脚本) 工具 攻击者 入侵者 技
3、术 攻击手法 半开放隐蔽扫描 控制台入侵 检测网络管理 DDOS 攻击 Why(技术层面) 踩点 攻击 扫描 清除日志 隐藏print ctrl+d 3、chmod 755 ps Why(技术层面) 扩大战果 使用john破解软件 使用Sniff类监听器捕获敏感数据 安装Dos软件攻击其他主机 利用此服务器的信任关系进行内网攻击 释放蠕虫和病毒 Why(技术层面) 最小安装、关闭非要服务 访问控制和审计 保持最新的安全更新 屏蔽敏感信息 Why(技术层面) 踩点 隐藏&后门 攻击 扫描 扩大战果 清除日志 Why(管理层面) 风险不是独立存在的 攻击有蔓延性 单一的安全手段不能保护系统的安全
4、木桶理论 木桶理论木桶理论 What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 安全补丁更新 Kernel更新 升级避免Kernel内核漏洞 Slackware自带包更新 http:/slackware.it/en/pb/ Slackware更新补丁的命令 What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 敏感信息保护 屏蔽banner信息&版本信息 删除默认帐户 删除默认目录 What(技术层面) 安全补丁更新 敏感
5、信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 最小化安全原则 关闭不必要的服务&包 包最小化 安全母盘 安装系统时使用专家模式自行定制 Pkgtools进行包管理 不安装X相关的软件 不安装GAME软件 不安装不使用的开发工具 服务最小化 安装时采取白名单仅安装需要套件 通过netstat anp检查开放端口进行验证 端口扫描,并根据公司高危端口相关规定检测 通过绑定内网屏蔽外部风险 通过IPTABLES进行包过滤设置 What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 Wh
6、at(技术层面) 访问控制 chmod Setuid&Setgid umask chattr What(技术层面) 访问控制 Chmod 禁止其他人对root可能运行的脚本有写权限。 Setuid&Setgid 去除所有不必要的S位程序。 Umask 最小化权限回收 Chattr Chattr设置隐蔽的访问控制规则 What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 防DOS配置 专业网络设备 网络上ACL 主机TCP/IP栈调整 What(技术层面) 开启LINUX自带syn-flood抵御机制进行防护。
7、 echo 1 /proc/sys/net/ipv4/tcp_syncookies 使用tcp_bic算法 echo 1 /proc/sys/net/ipv4/tcp_bic 设置开始建立一个tcp会话时,重试发送synack连接请求包的 次数 echo 3 /proc/sys/net/ipv4/tcp_synack_retries 增大默认队列连接数 sysctl w net.ipv4.tcp_max_syn_backlog=1280 状态机参数 echo 365536 /proc/sys/net/ipv4/ip_conntrack_max sysctl -w filter.ip_connt
8、rack_tcp_timeout_syn_recv=13 sysctl -w filter.ip_conntrack_tcp_timeout_fin_wait=60 sysctl -w filter.ip_conntrack_tcp_timeout_time_wait=60 What(技术层面) 开启SYN-COOKIE sydctl w net.ipv4.tcp_syn_cookies=1 设置开始建立一个tcp会话时,重试发送syn连接请求包的次数 echo 3 /proc/sys/net/ipv4/tcp_syn_retries 放置IP路由欺骗转发 echo 1 /proc/sys/n
9、et/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/conf/default/rp_filter 等待对方FIN包的超时时间 echo 30 /proc/sys/net/ipv4/tcp_fin_timeout 内存中保持IP片断的时间 echo 15 /proc/sys/net/ipv4/ipfrag_time 遭遇DOS时不允许ping被DOS主机 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 能够更快地回收TIME-WAIT套接字。Slackware默认是0。建议 为1开启 echo 1
10、 /proc/sys/net/ipv4/tcp_tw_recycle What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 完整性检验 Tripware Aide 自己的简单checksum 日志维护和保护 What(技术层面) 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 What(技术层面) 日志维护和保护 Linux系统的日志文件 /var/log/wtmp /var/log/debug* /var/log/dmesg* /var/log/message
11、s* /var/log/secure* /var/log/syslog* 对日志文件的保护 Chattr +ai 日志文件(wtmp不可) Syslog 日志文件传送 What(技术层面) 日常安全维护日常安全维护 日常检查项目工具 异常登陆last 完整性检验aide 异常进程、端口、帐户 netstat 、lsof、 /etc/shadow 日志审计wtmp /var/log/* 流量审计 、tcpdump What(管理层面) 腾讯安全扫描的高危端口及服务定义腾讯安全扫描的高危端口及服务定义 slackware slackware 服务器安全检查规范服务器安全检查规范 slackware slackware 服务器安全配置规范服务器安全配置规范 S S How 技术问题技术问题 实际应用的复杂性实际应用的复杂性 易用性与安全性整合易用性与安全性整合 回退方案工具准备回退方案工具准备 对业务应用熟悉对业务应用熟悉 工程问题工程问题 时间进度安排时间进度安排 分布实施及实施决策筛选分布实施及实施决策筛选 应急备案应急备案 总结-后期展望 管理层 应用层 系统层 网络层 硬件层 总结 攻击和防守永 远是此消彼长 的一个动态过 程;因此安全 也需要大家共 同参与,不断 完善加强 谢谢! 知识回顾知识回顾 Knowledge Knowledge ReviewReview
