系统安全配置

系统安全配置杨波yangbo@ccert.edu.cn提纲•精简系统服务•访问控制•日志•恶意代码扫描•数据安全•备份•关注安全新闻和技术发展精简系统服务•为什么要精简系统服务？—操作系统厂商为了让产品提供较好的out-of-the-box体验，缺省启动了很多服务，这些服务不是所有实际场合都需要—这些服务程序的缺陷或配置不当增加了系统被攻入的可能。•精简原则——最小化原则一个服务除非是必要的，否则应该禁用它。系统中安装和运行的服务越少，受攻击面就越小。精简系统服务•精简步骤：-识别已启动的服务-关闭不必要的服务（如果不能关闭，则可以升级和封堵）关闭：services.msc,控制面板，注册表升级：补丁，更新封堵：防火墙，IPSecSecurityPolicy精简Windows系统服务WindowsXPPro.中可关闭的非基本性服务:-ComputerBrowser：计算机列表浏览-Messenger：netsend信使服务-RemoteRegistry：远程注册表-Server：文件、打印机共享-TerminalServices：远程桌面、远程协助-WindowsTime：日期、时间同步-WirelessZeroConfiguration:无线网卡参数配置精简Windows系统服务•C:\WINDOWSnetstat-ano•ActiveConnections•ProtoLocalAddressForeignAddressStatePID•TCP0.0.0.0:1350.0.0.0:0LISTENING884---•TCP0.0.0.0:4450.0.0.0:0LISTENING4---•TCP0.0.0.0:10250.0.0.0:0LISTENING976•TCP0.0.0.0:50000.0.0.0:0LISTENING1160•TCP166.111.203.10:1390.0.0.0:0LISTENING4---•UDP0.0.0.0:135*:*884•UDP0.0.0.0:445*:*4---•UDP0.0.0.0:500*:*704---•UDP0.0.0.0:1026*:*1112•UDP0.0.0.0:1027*:*976•UDP127.0.0.1:123*:*976---•UDP127.0.0.1:1900*:*1160---•UDP166.111.203.10:123*:*976---•UDP166.111.203.10:137*:*4---•UDP166.111.203.10:138*:*4---•UDP166.111.203.10:1900*:*1160精简Unix/Linux系统服务•Solaris中的inetd超级守护进程/etc/inetd.conf,每个服务一行•Linux中的xinetd超级守护进程/etc/xinetd.d目录，每个服务一个文件•restartinetd/xinetd#kill-sHUPpid_of_inetd_or_xinetd•Solaris/Linux运行级别和启动脚本/etc/init.d目录访问控制•口令访问控制口令策略:口令生命期、最短长度、错误尝试次数、口令复杂度1)windows:ControlPanel-AdminTools-LocalSecurityPolicy-AccountPolicies2)Solaris/Linuxa)/etc/shadowb)/etc/default/login(Solaris)c)/etc/default.defs(Linux)访问控制•文件系统访问控制1)WindowsNTFS:文件夹选项Æ去掉“usesimplefilesharing”2)Unix/Linux:owner,group,otherrwxumask027设置缺省的新文件权限•网络访问控制Windows防火墙,tcpwrapper,日志•Unix日志:/etc/syslog.conf/var/adm/(solaris)/var/log/(Linux)•WindowsEventViewer•应用程序日志：eg.网络登录系统日志:帮助确定笔记本被盗时间eg.邮件服务器的登录日志:用户可以检查自己邮箱是否被他人登录eg.Web服务器日志:协助确定攻击的发生。•日志的完整性日志文件的访问控制，数字签名，审计。恶意代码扫描•安装防毒软件•安装防火墙•及时更新病毒库和攻击特征数据安全•信息安全的三个要素:机密性：Confidentiality完整性：Integrity可获得性：Availability保证C-I-A，需要做哪些配置呢？数据安全•保证网络通信的机密性校园网中的常见网络应用:TelnetÆSSHv2:Linux/Unix登录，BBSHTTPÆHTTPS:表单数据的提交POP3ÆPOP3overSSLSMTPÆSMTPoverSSLFTPÆSFTP,SCP当今，主流的客户端软件(IE/Firefox,OE/Foxmail)都支持安全通信的情况下，校园网中还有多少口令是以明文在传递的？数据安全•网络通信的机密性（续）校园网的“统一口令”系统易出现的薄弱环节：1)多个应用：有的采用安全方式接收用户认证信息有的采用非安全方式接收用户认证信息只要后者被窃听，则前者的安全措施就前功尽弃了，损失比不统一口令还大。2)同一个应用，同时提供安全的和非安全的服务端口：口令安全性取决于最弱的方式数据安全•网络通信的机密性（续）3)被攻破的应用服务器数据安全网络登录系统选课系统借还书系统邮件系统统一认证服务器(Radius,LDAP)?pop3/smtp/http已被攻破的或者假冒的应用服务器?non-SSLhttp数据安全•存储中数据的机密性（以Windows系统为例)误区：只需把分区格式化为NTFS格式就可以保密数据实际：只需把该硬盘挂到其他电脑上，无需原来用户的口令，即可轻松查看NTFS卷中的内容如何保证数据的机密性：1）手工对文件加/解密：GnuPG,OpenSSL,WinRAR缺点：对用户不透明；如果文件需要经常修改，则经常手工加/解密很麻烦2)对用户透明的加/解密：EFS（加密文件系统）对NTFS卷上的文件和文件夹，可以启用EFS基于X.509公钥证书实现透明的加/解密。数据安全数据安全数据安全数据安全•保证数据的完整性1）散列值2）数字签名--开源软件:多使用散列值或OpenPGP签名来保证完整性c:\gpg--print-mdmdsfile_to_be_hashedc:\gpg--verifyfile.sig数据安全--Windows下的非开源软件：多使用微软的Authenticode技术对待发布的PE格式文件（*.exe,*.msi,*.dll等)进行数字签名。用户在执行程序前，可以在GUI中轻松地验证签名，确保程序来自于可信源且未被篡改。--常见的被签名对象：安装程序(*.exe,*.msi)动态链接库(*.dll)补丁程序(*.exe):OS补丁，nav每日病毒库数据安全备份•备份策略关注安全新闻和技术发展•安全是一个过程，而不是一个结果。•关注安全新闻：--软硬件厂商的安全页面•关注安全技术发展--避免使用不再受支持/更新的产品:多少连网机器还在使用RH9,FC2/3,Win98se?--避免使用安全性已经受怀疑的技术：多少程序员仍然在用MD5作散列函数?多少无线AP仍然停留在WEP加密？系统安全配置—小结•关闭、升级或封堵不必要的系统服务•访问控制•保证网络通信和存储中的数据安全•关注安全新闻和技术发展谢谢！请各位老师和专家指教。