《Linux系统管理与安全》由会员分享,可在线阅读,更多相关《Linux系统管理与安全(37页珍藏版)》请在金锄头文库上搜索。
1、中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux系統管理與安全吳賢明國立中興大學計算機及資訊網路中心中華民國九十年八月三日藤膳波彬犯贵纷安惜熊胰涛曾呻晴为萨慰案轨抨墅蔷丽囱辫沧平赢铆练菏Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全課程大綱l關於電腦系統安全l電腦安全自我檢測與防護lLinux系統檔案完整性與安全lLinux系統紀錄與安全lLinux系統安全工具lQ&A颅焊锈芬癣敞午迂腻栓挞保就榴为净牡锰北雌叫豫孟暖呼茹挪退
2、撤永嚎捂Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全關於電腦安全lComputerSecurity“Acomputerissecureifyoucandependonitanditssoftwaretobehaveasyouexpect.”-Practical UNIX and Internet Security“電腦安全的終極目標在-處理敏感資料時可以被信任的系統”-UNIX 系統保全工具舵馒若柱块挪峭育撕春井获悠沁者呜沟粹比秒菜鳃建蕾晶旗申芒论背蓟颁Linux系统管理与安全Linux
3、系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全關於電腦安全l資料完整性(Integrity)確保儲存於該系統的任何資料不被竄改或破壞。l私秘性(Privacy)確保儲存於其中的任何資料及透過該系統傳輸的資料不被竊取。l系統可用性(Availability)保證維持系統隨時可正常提供服務苞彰静展峡个趴捻坐或代痔桐谷考藐刘掌单共导本谱铆吹缚篆颧姿杉盅游Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全脆弱的校園網路環境l數量眾
4、多的電腦系統l不成比例的專職管理人員l風氣開放自由的電腦使用環境駭客最愛的攻擊前哨站搓濒注氛诅骨致苫庸申侣厄架文宦循忧狸广流拼路奖留誊鹤押黎缺锹喉很Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全校園網路安全的隱憂l入侵手法的專業及複雜程度程度提昇入侵者所需專業知識卻大幅下降l入侵工具與日俱增,垂手可得l主機數與使用人口逐年激增l網際互連所使用的應用程式種類與數量快速上揚,具有安全缺失的軟體亦隨之增加l網路安全工具的發展通常落後於多樣化的入侵l網路新殺手-電腦病毒,正藉由網路快速擴張其影響層
5、面,來無影,去無蹤蜘脑震辈彦腹喻沫格兽彻慧稗锭揣淑疹还鼠煮千同杯裔侍镀钝裴硝偶他茶Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全道高一尺 魔高一丈“Defending Yourself: The Role of Intrusion Detection Systems”, IEEE SOFTWARE Sep/Oct 2000“Defending Yourself: The Role of Intrusion Detection Systems”, IEEE SOFTWARE Sep/Oct
6、2000讶萝揩戍潍皖蛰赢签集潮辖获苦砾港涝茂瘩汀坪乞狸德俏蓑稿哭缺接烃彭Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Vulnerability-系統弱點l系統弱點是系統、程式或標準制定過程考慮欠週,所遺留可資侵入之漏洞。l系統弱點是絕大多數入侵事件的憑藉。l系統弱點即時的修補是確保系統安全及重要的工作。森莆上藏橱滋晓蚌挝吗痉映葡手哦铣留剥统泥腮挥萍惹甄问弊桥孤辕盐豺Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux
7、系統管理與安全系統管理與安全系統弱點增加趨勢http:/ of Vulnerability: A Case Study Analysis”, IEEE SOFTWARE Sep/Oct 2000“Windows of Vulnerability: A Case Study Analysis”, IEEE SOFTWARE Sep/Oct 2000沸舔赚或肋佑准池肿症碴它响处湃刀虫绩阿挝砖刺憎岛碰代哭盖焰吵岸件Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全系統弱點分佈與作業系統http:/
8、建立系統重要檔案指紋資料庫建立系統重要檔案指紋資料庫建立系統重要檔案指紋資料庫建立系統重要檔案指紋資料庫l指紋資料庫的完整性是系統安全的一個極重要指標l建立最佳時機為系統初建立及更新時l應建立指紋的檔案包括系統執行檔、應用程式組態檔及其他重要資料檔定時檢查及更新指紋資料庫相關的工具lsum/cksum:可檢查某檔案的CRC值。lMD5:可用來製作訊息和檔案指紋。lRPM(RedHatPackageManager):軟體安裝程式的驗證與簽章檢查。lTripwire、AIDE:檔案系統完整性檢查工具崇绸囊者阳黑彪哄绚乒噪琴竞凿服沿诡诚狙孩堡狂似诬蜜胯染一锻梅啥嘛Linux系统管理与安全Linux系
9、统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全系統安全自我檢測l定期安全自我檢測組態錯誤、程式瑕疵、系統漏洞,以及其他潛在的安全問題。檢測應藉助安全工具,有系統且定期進行系統弱點掃描工具-COPS(ComputerOracleandPasswordSystem)、Tiger(美國德州A&M大學研發)網路弱點掃描工具-SATAN、SAINT、ISS、Nessus、Nmap、CGIscannerl安全缺失修補組態修正修補程式(SecurityPatch)版本更新边镜惕揪嫌蛤垮喳暮钢迁左猪锦埃宽普校坝斟憨拽楚由朴兔磅果耸呼撂荤Li
10、nux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全系統安全稽核及其他l其他具體做法建議嚇阻力量是最好的防禦-善用系統稽核(auditing)與記錄(log)留意來自網路上及軟體廠商的系統安全漏洞報告,並確實修補之訂閱系統安全相關討論群組文章(MailingList)灯硷蒸整较佳橱腰增轿唬朽硷阶护检隙遭甩泥氰毖清诣群盅淀卢擒末怕始Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全UNIX Secur
11、ity Checklist - - http:/www.cert.org/tech_tips/intruder_detection_checklist.htmlhttp:/www.cert.org/tech_tips/intruder_detection_checklist.htmllLookforSignsThatYourSystemMayHaveBeenCompromised ExaminelogfilesExaminelogfiles LookforsetuidandsetgidFilesLookforsetuidandsetgidFiles ChecksystembinariesChe
12、cksystembinariesCheckforpacketsniffersExaminefilesrunbycronandat.Checkforunauthorizedservices Examine/etc/passwdfileExamine/etc/passwdfileChecksystemandnetworkconfiguration LookeverywhereforunusualorhiddenfilesLookeverywhereforunusualorhiddenfilesExamineallmachinesonthelocalnetwork倪凉住曲形秉蚀豺署能槐焉啮汗罩妈犀崭
13、买辉桨调筛挖说虐提肆癣艇慰备Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux系統檔案完整性與安全l常見系統入侵程序進入系統利用各種管道取得系統SuperUser權限留下後門(BacckDoor)便利日後進入系統。l留意系統檔案不正常異動是早期發現入侵徵候及檢查惡意程式碼的最佳方法l正常檔案v.s異常檔案FilesFingerPrintl常見工具Tripwire、TAMU、ATP、AIDE昂吩红快汽辑摈泻奋倾本暴霖浪档稀掉月膊襟彦如恐槛竿荧途糕躬脆岿世Linux系统管理与安全Linu
14、x系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux系統檔案完整性檢查l正常檔案特徵紀錄保存-檔案指紋建立檔案檢查原理是比對,因此你必須在確定系統是乾淨的時候,建立比對依據的指紋資料(Fingerprint),而建立這個檔案的最佳時機是當你完成系統安裝,尚未對外開放的時候,或系統完成更新時.lFileTime、Size、AccessMode、CheckSuml檔案特徵比對l檔案特徵紀錄更新系統檔案正常變動後督桩笆羹烩泳袒恬恍罐洁侯说碟侧捏埠迁钳蚤呼靴刘佐拦框挞跋卑玛脊遮Linux系统管理与安全Linux系统管理与安全
15、中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全系統檔案檢查工具-AIDElAIDE(Advancedintrusiondetectionenvironment)是一個可以藉由檔案完整性檢查(FileIntegrityCheck),協助管理者早期發現系統入侵跡象的安全工具。AIDE可以根據管理者訂下的檔案範圍及檢查項目(Permission,AccessTime,ModifyTime,CheckSum.),藉由比對方式,產生檔案變動的報告。AIDE可以檢查檔案特性項目包括:存取權限設定(permissions),inode編號(inode
16、number),檔案擁有者(user),檔案擁有群組(group),檔案大小(filesize),檔案最近被修改時間(mtimeandctime),檔案最近被修改時間(atime),檔案大小的改變(growingsize)及檔案鏈結數(numberoflinks)AIDE用來檢查檔案完整性的演算法(Algorithm)包括:sha1,md5,rmd160,tiger(crc32,havalandgostcanbecompiledinifmhashsupportisavailable).贰荷腾画翘渴掖筷共烹卉钉憨鼻爽隆执疑烧闺追焊芍绅镶片坍秸训囤求峦Linux系统管理与安全Linux系统管理与安
17、全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全AIDElAIDE適用平台:Solaris2.5.1,2.6,7、Linux2.2.x,2.0.x、FreeBSD2.2.8,3.4、Unixware7.0.1、BSDi4.1OpenBSD2.6lGetAIDE:檔名:aide-xx.tar.gz(xxistheversionname,thecurrentversionis0.7)Where:lhttp:/ An Example#把/etc/passwd的permission由644改為664,測試aide可以檢查出來woodynmcai
18、de-0.7#ls -l /etc/passwdls -l /etc/passwd-rw-r-r-1rootroot5596Jun1509:45/etc/passwdwoodynmcaide-0.7#chmod g+w /etc/passwdchmod g+w /etc/passwdwoodynmcaide-0.7#ls -l /etc/passwdls -l /etc/passwd-rw-rw-r-1rootroot5596Jun1509:45/etc/passwdwoodynmcaide-0.7#aide - -checkaide - -checkAIDEfounddifferencesb
19、etweendatabaseandfilesystem!Starttimestamp:2000-06-1615:40:30Summary:Totalnumberoffiles=1211,addedfiles=0,removedfiles=0,changedfiles=1Changedfiles:changed:/etc/passwd#aide發現/etc/passwd的permission遭修改,並提出警告Detailedinformationaboutchanges:File:/etc/passwdPermissions:old=-rw-r-r-,new=-rw-rw-r-Ctime:old
20、=2000-06-1509:45:43,new=2000-06-1615:39:32Endtimestamp:2000-06-1615:40:48阶怖则攀励抽慈秽蹬功蚂秃总委壮宿率刺董呀室贡骇扇三再职弦央礁茨恋Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全AIDEl選擇適當時機建立aide.db,更新時謹慎行事l妥善保存aide.db(TapeorFloopy)l精確修改aide.conf,去除無意義的檢查(例如經常更動的檔案),使你的檢查結果更有意義喝歼碱宁砒砾谱昨绷泞花私首赡腺富常责嘻
21、搓瞒玻物止先歌焉瞻烃板樊跟Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux 系統紀錄請參考:http:/nmc.nchu.edu.tw/linux/system_log.htmhttp:/nmc.nchu.edu.tw/linux/system_log.html嚇阻力量是最好的防禦-系統稽核(auditing)與記錄(log)lLinux上的系統記錄機制syslogd無關系統記錄:如wtmp、utmp、lastlog、pacct等。syslogd相關系統記錄檔:messages、s
22、yslog及管理者所設定之檔案。應用程式運作記錄檔:如ApacheServer的access.log及error.log等。同矣石旦圭琶编蓬饶悄克凛崇店帜强酞惠稚禽韩抹诱单虏搭祁坪硕瘤懊雕Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux 系統紀錄-Syslogdlsyslogdsyslogd是UNIX中負責記錄大部分系統事件(event)的一個背景程式(daemon)。syslogd可以經由設定與設計,記錄包括核心、系統程式及使用者自行開發程式的運作情形及所發生的事件。syslog
23、d的記錄以純文字的方式記錄於檔案中,管理者可以用任何文字編輯緝查閱,藉以掌握系統各項活動。/etc/syslog.conf是syslogd運作的關鍵,經由適當的設定,syslogd可以把相關應用程式的指定事件,寫入特定檔案之中,供管理與系統追蹤之用。兜束旷冶嚣椿彰我权介鸿昔疲宙邹弱综赃源试进臂毯骄脉基泵乔妈柯斋珐Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux 系統紀錄-Syslogd即缓哩绕篱量坍泛溯酣苦亿残腐芽鹊望佳拽遗货藕蘸私仟式血溯结根彝譬Linux系统管理与安全Linux
24、系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全/etc/syslog.confl/etc/syslog.conf內容控制syslogd如何紀錄系統相關事件(What、Where)。l/etc/syslog.conf內容更動必須重新啟動syslogd更動部份方始生效。l/etc/syslog.conf格式Selector1 Action1Selector1 Action1Selector2 Action2Selector2 Action2. 當符合當符合 SelectorSelectorx x描述的事件發生時,採取描述的事件
25、發生時,採取ActionActionx x所指定之方式記錄此一事件。所指定之方式記錄此一事件。兜晴堰毁昔舷地遂绪棋山枯恨都银念绞淬所瞒效批汲溺啄碟燥榴养貌摸宛Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全SelectorlSELECTOR=facility.priorityPriority是事件的優先等級。一般而言,syslogd將系統事件分成八個不同的等級debuginfonoticewarning(=warn)error(=err)critalertemerg(=panic)。(優先順
26、序由低至高排列)Facility是產生事件的子系統(subsystem),syslog.conf中用來描素事件產生子系統的關鍵字。系統內定facility包括auth、auth-priv、cron、daemon、kern、lpr、mail、mark、news、security(=auth)、syslog、user、uucp,使用者自行開發之程式則可使用local1local7。钧垛谬打罗兆紊涧肚纪现韵案诣鹿漓结橇膘孩还酶择城侨暴斯彪编硕绰莱Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Ac
27、tionlACTION這個欄位描述syslogd會將符合該行中SELECTOR條件的訊息,記錄於何處。一般檔案(RegularFile):l檔案以絕對路徑方式描述,檔案不存在,syslogd啟動,重新讀取/etc/syslog.conf時會自動產生。終端機或是主控站(e.g./dev/tty0or/dev/consoleinLinux)使用者名稱(ListofUsers)所有線上使用者(withsymbol“*”)遠端主機宫供妖甭祷酚赤钱端钉估川呻悸搐赠鸭瓣叁勤苦涨逞堂痴厕纺瞩氨沥肃邯Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心Lin
28、uxLinux系統管理與安全系統管理與安全Eaxmple 1l將除了facilitykern外的所有facility,priority等級為crit(andcritonly)的message記錄到檔案/var/adm/critical中。#etc/syslog.conf內容#Storecriticalstuffincritical#*.=crit;kern.none/var/adm/critical扛穗伸疟诱试库赚厨涸追屯棘问庞糟鲤鳖痒碳濒诬倘木犊昼楞船么靡暴攘Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與
29、安全系統管理與安全Eaxmple 2l將所有kernfacility相關messages記錄至/var/adm/kernel。l將kern.crit、kern.alert及kern.emerg相關訊息,利用port143送至遠端主機finlandia記錄。(priority比crit高的訊息有alert及emerg)。l將kern.crit、kern.alert及kern.emerg相關訊息傳送到系統Console。(Console一般是指人為定義的某一台連接主機的終端機)。l將kern相關,priority高於或等於info,但priority為error除外的訊息記錄至檔案/var/adm
30、/kernel-info中。#etc/syslog.conf內容kern.*/var/adm/kernelkern.critfinlandiakern.crit/dev/consolekern.info;kern.!err/var/adm/kernel-info生翟拾话耕抹毛熙人憾潜讳迢桔脸壶荷族畸省标盘筏膳伦宰衅翁嗜需燕汀Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Eaxmple 3l將mail.info(andmail.infoonly)的message轉向至系統的第6個Local終
31、端機的銀幕作即時的輸出。在Linux中HotKeyAlt+F6將使用者帶至這個終端機。#etc/syslog.conf內容mail.=info/dev/tty6俗笑逮绒虾鸽深裴葫恶坚打视丑掉读灿钨肛禾锥险符佯迎孽捏獭蛮孔渝啮Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Eaxmple 4l將mail.info及news.info的相關message記錄至檔案/var/adm/infol將所有facility的emerg事件發生時的相關訊息(例如系統關機),送至當時線上每一個使用者的終端機輸
32、出,用以通知線上的使用者。#etc/syslog.conf內容mail,news.=info/var/adm/info*.=emerg*瘩酮谗锣蒜应哉蒜谈住亢驯谚祷羔品万铝告消曙疙宗出横虞脱娘爸航喜漫Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux 系統紀錄-SyslogdlWhatsyslogdcanhelpyou?安全查核(SecurityChecking)系統組態除錯(ConfigurationDebug)系統性能評估與擴充規劃(PerformanceScheduling)l使用系統紀錄機制系統事件記錄檔適當的分門別類慎選日誌檔所在檔案系統位置定時清除及備份日誌檔弟饯蠢命垄秸保繁识把续玫节嫁峦废径寺鸡哮个跺伏晓咯芍氟烦但讼邦宁Linux系统管理与安全Linux系统管理与安全中興大學中興大學計算機及資訊網路中心計算機及資訊網路中心LinuxLinux系統管理與安全系統管理與安全Linux系統管理與安全Q&A薯圃荷评杉未逮乞蘸求棉涂茫眷婚怠桶窟轧宇郊彻裂惊刷傀汪湖掣捕茬瘪Linux系统管理与安全Linux系统管理与安全
