《linux安全攻防.ppt》由会员分享,可在线阅读,更多相关《linux安全攻防.ppt(38页珍藏版)》请在三一办公上搜索。
1、网络与信息安全系统安全:Linux系统安全,内 容,Linux系统介绍Linux内核Linux文件系统Linux的网络结构Linux攻防技术一次针对Linux的入侵过程,Linux操作系统,背景最初由Linus Benedict Torvalds于1991年开发的1994年3月发布第一个正式版本内核升级模式稳定的内核,第二个数字为偶数,例如2.2.14开发的内核,第二个数字为奇数,例如2.1.14Linux系统特点兼容UNIX:API兼容,管理命令和各种工具源码开放支持各种硬件平台,支持多CPULinux平台上存在大量的应用软件,以及应用开发工具,Linux内核,多用户,多任务,分时,软实时处
2、理不是微内核系统,但具有某些微内核特征Intel版本:i386的保护模式,特权级内核态(0)和用户态(3)中断和系统调用两种特权级的切换PCB:进程控制块,常驻内存进程是最基本的调度单元进程是动态的,每一个进程都有一个进程控制块没有专门的调度进程,内核中有一个schedule函数完成调度任务进程在调度过程中有多种状态,内核中的ROOTKIT,通过LKM机制,可以在系统内核中插入木马模块一个典型的以Linux 2.2.x为基础的rootkit knark使用insmod knark.o就可以加载到内核中一旦加载了knark后门之后可以改变netstat的输出结果可以改变运行进程的UID和GID可
3、以不用SUID就能够获得root访问权限还有其他的ROOTKITS,比如adore内核ROOTKITS的对策根据每个rootkit的特征进行检测,然后设法删除预防为主,安装内核检测系统,比如LIDS,Linux文件系统,Linux支持多种文件系统,包括ext、ext2、hpfs、vfat、ntfs、通过虚拟文件系统VFS,Linux操作系统可以支持不同类型的文件系统文件系统类型管理文件系统类型的注册途径:在编译内核时确定在文件系统作为模块装入时登记,next,next=0,next,file_system,file_system_type,虚拟文件系统(VFS),是物理文件系统与服务之间的一个
4、接口层,只存在于内存中定义了关于各种特殊文件系统的公共接口抽象性Super_block、inode、文件操作函数入口把所有的文件系统映射到同一个层次结构中,通过super_block与inode中的关联关系来实现,如下图所示处理面向文件系统的通用操作把针对文件系统的操作映射到相关的物理文件系统许多复杂的cache机制,提高了文件系统的访问效率VFS inode cacheVFS directory cacheBuffer cache,root,i_mount,i_sb,s_coverds_mounted,Linux文件系统的安全性,Linux文件系统安全模型与两个属性相关文件的所有者(owne
5、rship)文件所有者的id文件所有者所在用户组的id访问权限(access rights)10个标志第1个标志:d(目录),b(块系统设备),c(字符设备),.(普通文件)第2-4个标志:所有者的读、写、执行权限第5-7个标志:所有者所在组的读、写、执行权限第8-10个标志:其他用户的读、写、执行权限用chmod修改权限:字符方式和数字方式,Linux文件的安全性,SUID程序正常情况下,一个程序在运行的时候,它的进程将属于当前用户但是,对于SUID程序,它的进程不属于启动用户,而是属于该程序的所有者用户通常,SUID/SGID程序中的bug往往是入侵的基础,mount和fstab命令用mo
6、unt装载文件系统的时候,可以使用一些选项控制文件系统的安全性,对于装载FAT系统比较有意义。umash=Nuid=Ngid=N,Linux文件系统安全性,权限管理的不灵活只能对所有者、所有者所在组和其他用户分配权限,无法做到进一步的细致化POSIX ACLs for Linux软件包内核补丁,可以做到用ACL来管理权限需要重新编译内核,下载补丁:http:/acl.bestbits.at两个命令:setfacl、getfacl真正删除文件工具wipe,Linux用户管理,用户文件/etc/passwdShadow password:/etc/shadow此文件只对root可读让用户拥有单独的
7、组,而不是加入到共享的users组中groupadd创建用户:useradd改口令:passwd管理口令的有效期chage,Linux中crypt口令加密方案,crypt()是一个口令加密函数,它基于DES算法。我们可以认为这是一个单向加密操作函数原型:char*crypt(const char*key,const char*salt);*salt是两个字符,每个字符可从a-zA-Z0-9./中选出来算法UNIX标准算法使用DES加密算法,用key对一个常量进行加密,获得一个13字节的密文编码输出,其中包括salt的两个字符from Red Hat Linux 6.2Salt的作用同样的口令产
8、生不同的密文增加了穷举空间建议使用更为安全的MD5算法,Linux中Kerberos认证协议的支持,建立KDC下载和安装Kerberos 5配置Kerberos启动服务管理Kerberoskadmin,管理Kerberos数据库使用Kerberoskinit,获得一个ticketklist,列出所有的ticketskpasswd,修改口令kdestroy,删除一个ticket使用支持Kerberos的网络应用,例如ftp,telnet,等,PAM(Pluggable Authentication Modules),一种可插入的认证机制针对一个服务,指定一些认证相关的动作,放到/etc/pam.
9、conf文件中,或者放到/etc/pam.d/下与服务同名的配置文件中每一行包含一个模块类型、一个控制级别、一个模块:service module-type control-flag module args例如passwd password required pam_cracklib.so type=user retry=3passwd password required pam_pwdb.so use_authtok,PAM结构图,logintelnetftp,用户,认证管理(auth)帐户管理(account)会话管理(session)口令管理(password),PAM配置文件,管理员,
10、PAM API,UNIX认证,Kerberos认证,S/Key认证,PAM SPI,PAM核心库,系统服务,PAM服务模块,Linux内核安全性,Linux内核机制存在的一些潜在缺陷超级用户的特权可能会被滥用系统文档不安全系统内核可以比较容易地插入模块内核中,进程不受保护,Linux对网络的支持,Linux从UNIX继承了在网络方面的优势Linux自身的发展也是与Internet息息相关的介绍内容Linux网络层次Linux协议栈Linux网络配置内核防火墙,Linux网络配置,Linux用daemon程序来提供网络服务有些服务直接由daemon程序一直运行有些服务通过inetd提供Inetd
11、它的职责是监听大范围内的网络端口,根据进来的请求动态启动相应的服务daemon节约资源在Linux上,其实大多数inetd服务并不是必需的,虽然,这些服务本身有一定的安全认证能力,但是为了安全起见,应该关闭这些服务如何配置inetd?编辑inetd.conf每行格式:通过/etc/services文件,可以查到每个service的端口和协议类型停止inetd进程,并重新启动,inetd.conf配置文件,/etc/services配置文件,只影响inetd启动的网络服务,由其他脚本(例如rcN.d)启动的服务可能不受影响,TCP wrappers,在Linux中为/usr/sbin/tcpd,
12、用法TCP wrapper使得系统可以在请求登录或者输入口令之前拒绝进来的连接TCP wrapper的两个配置文件/etc/hosts.deny 满足条件则拒绝/etc/hosts.allow 满足条件则允许配置规则:service:host(s):action 两个工具tcpdchk,检查配置文件有没有错误,是否与其他文件冲突tcpdmatch,模拟规则是否如期起作用,日志、syslogd,syslogd是一个专门用于记录日志信息的服务配置文件/etc/syslog.conf可以记录本地日志,也可以记录远程的日志信息可以指定把什么样的日志消息记录到哪个文件中,Linux的内核防火墙,协议栈在
13、IP层上调用三个函数,防火墙的功能将在这三个函数中实现:ip_rcv():接收ip_forward():转发ip_output():发送 三条规则链Input链Output链Forward链,Linux内核支持的NAT,Linux内核防火墙的发展,从ipfwadm-ipchains-netfilterNetfilter是2.4内核中实现网络安全功能的通用框架在框架中,定义了5个钩子在每个钩子上可以挂接多个模块Iptables模块挂接在LOCAL_IN、FORWARD、LOCAL_OUT上提供多种功能包过滤防火墙地址转换NAT网络状态检测,Pre-route,Forward,Route,Post
14、-Route,Local-in,Route,Local-out,针对Linux的攻防技术,Linux平台上有大量的黑客工具,而且往往以源码方式发布,所以,学会编译和使用这些工具,可以在攻击对抗中发挥作用探查信息用nmap可以查到Linux的版本信息改变Linux的协议栈行为,可以掩盖这些信息许多早期的标准TCP/IP服务,可以暴露系统的内部信息,比如finger,还有一些基于RPC的服务尽量关闭不必要的服务一些服务的欢迎界面,比如ftp、telnet服务修改这些服务的配置信息,口令破解,如何获得Linux的口令文件口令文件的格式是公开的口令文件passwd中,如果口令移到了shadow中,则没
15、有口令信息有一些工具能够获得shadow文件的副本破解程序Crack 猜口令John the Ripper 字典攻击,也可以穷举攻击XIT 字典攻击,DOS程序对策使用shadow,MD5使用强口令失败多次之后,帐号锁定结合其他的认证技术日志记录,Linux数据驱动攻击,目标:获得root权限两种类型缓冲区溢出攻击通过缓冲区溢出,植入恶意代码,获得一个shell,可以是远程的shell,也可以是本地的输入验证攻击对于输入没有合理地检查,导致执行破坏性的代码(命令或者脚本等)在Web服务中比较多见,缺乏对于输入数据的语法检查对策:加强编程中的安全意识。由用户输入的脚本代码,或者在脚本代码中要用到
16、用户输入的数据,则一定要检查输入数据不会危害整条语句,Linux的X及其他,针对X的攻击X的功能太强大,一旦获得X的服务器访问控制权,则可以为所欲为X的认证机制基于主机的认证,脆弱基于token交换的认证对策:关闭X服务其他攻防技术木马技术网络监听技术NFS不安全性检查SUID程序的安全性日志记录,一次针对Linux的入侵过程(一),1.收集信息 一般ftp服务器都使用了linux系统,所以用ftp搜索器寻找,一次针对Linux的入侵过程(二),进一步探查目标,一次针对Linux的入侵过程(三),2.漏洞扫描,一次针对Linux的入侵过程(四),3 尝试进入Wu-ftp2.6.0(1)是一个有
17、漏洞的版本,首先使用ftp攻击,wuftpdgod是一个针对redhat linux 的wu-ftp2.6.0的site exec漏洞的攻击脚本,一次针对Linux的入侵过程(五),前面的入侵企图没有成功原因是该服务器上没有开放上载权限,没有可写目录。尝试另外一个漏洞:rpc.statd缓冲区溢出。Statdx2是一个针对此漏洞攻击的脚本,但是要求提供准确的字符串地址。否则一次攻击过后如果不成功可能会使对方的rpc.statd进程终止,无法进行第二次攻击尝试。如何获得这个地址:找一台自己控制的主机,这台主机的系统版本必须和目标主机相同。将攻击脚本传到该主机上。以root身份运行,如下图所示,一
18、次针对Linux的入侵过程(六),执行脚本statdx2,一次针对Linux的入侵过程(七),再次对目标主机进行远程攻击,成功!,获得root shell,输入命令ls,一次针对Linux的入侵过程(八),4.装上后门把后门程序放在一个ftp站点上,让目标主机去下载,命令ls,命令ftp,命令mv,执行后门,加一个帐号,一次针对Linux的入侵过程(九),5 销毁证据/痕迹销毁证据和消灭痕迹是有区别的销毁证据是指不让对方找到证据进行追踪。方法很简单:删除消灭痕迹是指不让对方感觉到被入侵:做法是,有选择地删除一些记录,而且删除的动作也不能被记录。以上动作主要留下的记录在:/var/log/messages、/var/log/secure、/var/log/wtmp、/var/spool/ftpd等。可以删除之,如右图所示,
