主机安全-liunx

版本所有：广州竞远系统网络技术有限公司技术总监胡欣主机安全-Linux培训2013年9月广东省南方信息安全等级保护服务中心广州竞远系统网络技术有限公司[信息安全等级保护测评机构]专业诚信公正信息安全顾问专家版本所有：广州竞远系统网络技术有限公司技术总监胡欣Unix/Linux系统架构2版本所有：广州竞远系统网络技术有限公司技术总监胡欣在UNIX系统中,服务是通过inetd进程或启动脚本来启动通过inetd来启动的服务可以通过在/etc/inetd.conf文件中注释来禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用在UNIX系统里启动与关闭服务？3版本所有：广州竞远系统网络技术有限公司技术总监胡欣#inetd.confThisfiledescribestheservicesthatwillbeavailable#throughtheINETDTCP/IPsuperserver.Tore-configure#therunningINETDprocess,editthisfile,thensendthe#INETDprocessaSIGHUPsignal.##Echo,discard,daytime,andchargenareusedprimarilyfortesting.##Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'##echostreamtcpnowaitrootinternal#echodgramudpwaitrootinternal#discardstreamtcpnowaitrootinternal#discarddgramudpwaitrootinternal#daytimestreamtcpnowaitrootinternal#daytimedgramudpwaitrootinternal#chargenstreamtcpnowaitrootinternal#chargendgramudpwaitrootinternal#timestreamtcpnowaitrootinternal#timedgramudpwaitrootinternal##Thesearestandardservices.#ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-atelnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetdinetd配置文件4版本所有：广州竞远系统网络技术有限公司技术总监胡欣Unix/Linux自带的管理工具熟悉Unix/Linux操作系统自带的管理工具常用命令：catmorels等具备查看功能的命令cat显示文本文件内容-b显示文件内容的时候显示行数-n显示文件内容包括空行-s将多个空行合并成一个空行输出more或less分页显示文本文件内容-s将多个空行压缩成一个空行-p清楚屏幕后在显示版本所有：广州竞远系统网络技术有限公司技术总监胡欣Unix/Linux自带的管理工具CompanyLogo显示所有文件（包含隐藏文件）-l使用长格式显示-F以符号形式附加文件类别-R以树状结构显示目录内容ps查看系统中的进程#psaux#ps-elf版本所有：广州竞远系统网络技术有限公司技术总监胡欣文件系统目录结构/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmp版本所有：广州竞远系统网络技术有限公司技术总监胡欣常见目录用途/binbin是二进制（binaries）的缩写。许多基本的系统程序都驻留在/bin目录中。/boot存放启动Linux时使用的一些核心文档,如vmlinuz等。/dev用1s-F命令可以列出/dev目录中的内容。该目录下是一些称为设备驱动程序的特殊文件，用于访问系统资源或设备，如软盘、硬盘、CD-ROM、调制解调器、系统内存等。有了这些文件，用户可以像访问普通文件一样方便地访问系统中的物理设备。例如，当用户要从一个文件中读数据时，可以通过调用/dev/mouse文件从鼠标器读取输入信息。在/dev目录下，各种设备所对应的特殊文件以一定的规则命名。例如，/dev/fd0文件指第一个软驱，/dev/fdl指第二个软驱，/dev/hda指第一个硬盘，而/dev/hdal指的是/dev/hda的第一个分区，如此类推。/etc包含系统管理所需要的大量配置文件和子目录，例如口令文件/etc/passwd、系统初始化脚本文件/etc/rc等。该目录是系统中最重要的目录之一。/home包含所有用户的个人主目录。通常，用户的个人主目录以它的名字来命名，例如/home/yang是用户yang的个人目录。在新安装的Linux系统中，/home目录中可能没有任何用户。/lib该目录包含动态链接共享库的文件映象，这些文件为众多程序提供了共享代码。使用库文件，可以缩小可执行文件的尺寸，节省系统空间。8版本所有：广州竞远系统网络技术有限公司技术总监胡欣常见目录用途/lost+found这是一个空目录，只有当文件系统发生故障时，才用来存放找不到正确存储位置的文件。/mnt用户可以在该目录下临时挂装其它文件系统，如在使用CD-ROM时，就要把CD-ROM文件挂装在该目录下。/proc这是Linux系统提供的一个“虚拟文件系统”，其中的文件都存放在内存中，而不是存放在磁盘中。它们指向在系统中正在运行的各个进程，以便用户可以随时访问程序的运行信息。给用户提供方便的接口。/root超级用户的主目录/sbin专门用来存储系统管理员使用的可执行文件，如mount、linuxconf等等。/tmp程序执行时会产生一些临时信息，系统把这些临时信息存放在一个暂时文件中，这个临时文件就放在/tmp目录下。/usr这是一个非常重要的目录，它包括许多子目录。有些子目录用来存放系统的配置文件和重要的大型软件包程序。前面讨论到的各目录对系统的操作来说是最基本的，而在/usr中许多内容是可以任选的。如果没有/usr目录，系统中将只有cp、1s等程序，这样的系统会非常难用/var该目录用来容纳大小经常发生变化或打算进一步扩充的目录或文件。例如，文件/var/adm中包含着系统管理员感兴趣的内容，特别是系统日志，它记录了系统的所有错误或问题。9版本所有：广州竞远系统网络技术有限公司技术总监胡欣文件类型普通文件ASCII文本文件，二进制数据文件，二进制可执行文件等目录包括一组其它文件的二进制文件特殊文件/dev目录下的设备文件等链接文件硬链接和符号链接，指向另外的文件，类型windows下的快捷方式sockets用于进程间通信时使用的特殊文件，以.sock结尾10版本所有：广州竞远系统网络技术有限公司技术总监胡欣Unix文件系统的权限#ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test在unix中用模式位表示文件的类型及权限通常由一列10个字符来表示，每个字符表示一个模式设置第1位:表示文件类型。d表示目录，-表示普通文件，l表示链接文件等等，s表示socket文件，c表示字符设备，b表示块设备每个文件和目录有三组权限，一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。第2-10位：表示文件权限r表示可读，w表示可写，x表示可执行。一共9位(每组3位)，合起来称为模式位(modebits)11版本所有：广州竞远系统网络技术有限公司技术总监胡欣setuid和setgid什么是setuid和setgid程序？12UNIX中的SUID(SetUserID)/SGID(SetGroupID)设置了用户id和分组id属性，允许用户以特殊权利来运行程序,这种程序执行时具有文件所有者的权限和文件所在组的权限。如passwd程序,它就设置了SUID位-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序passwd程序执行时就具有root（文件所有者）的权限为什么要有SUID和SGID程序?SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比如每个用户都允许修改自己的密码,但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行.版本所有：广州竞远系统网络技术有限公司技术总监胡欣文件目录Read可以读取文件可以对目录中的文件列表Write可以修改文件内容可以创建或删除文件阿Execute可以执行文件可以访问目录中的文件Set-UID使用文件属主的权限执行文件N/ASet-GID使用文件所属组的权限执行文件新建文件权限是继承上级目录权限StickyN/A只有文件属主才能删除文件UNIX文件和目录权限位的含义13版本所有：广州竞远系统网络技术有限公司技术总监胡欣ls-l命令可以来显示文件名与特性。下面信息的第一栏可以表明文件类型和该文件赋予不同组用户的权限[root@smithers/etc]#ls-al|moretotal937drwxr-xr-x32rootroot3072Aug3111:07.drwxr-xr-x16rootroot1024May2708:05..-rw-------1rootroot0May2508:22.pwd.lock-rw-r--r--1rootroot20May2508:55HOSTNAME-rw-r--r--1rootroot42May2512:56MACHINE.SID-rw-r--r--1rootroot5468Mar291999Muttrcdrwxr-xr-x14rootroot1024May2707:46X11-rw-r--r--1rootroot39Jun208:24adjtime-rw-r--r--1rootroot732Apr1916:38aliases-rw-r--r--1rootroot16384May2508:36aliases.db--More--查看UNIX文件权限14版本所有：广州竞远系统网络技术有限公司技术总监胡欣1.chmod—改变文件权限设置。2.chgrp—改变文件的分组。3.chown—改变文件的拥有权。4.Chattr—设置文件属性UNIX文件驱权限修改命令使用chmod命令修改文件权限:chmod666myfilechmod1777/tmp使用umask命令设置文件默认权限umask022umask077设置sticky位15版本所有：广州竞远系统网络技术有限公司技术总监胡欣身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；检查系统管理员是否设置密码并且以密码进行验证登录；检查/etc/passwd和/etc/shadow文件是否存在空密码1.条目的格式:name:coded-passwd:UID:GID:userinfo:homedirectory:shell2.条目例子:jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh3.密文的组成Salt+口令的密文Npge08fdehjkl/etc/passwd文件剖析版本所有：广州竞远系统网络技术有限公司技术总监胡欣身份鉴别除了包含用户名和加密口令还包含以下域：1.上次口令修改日期。2.口令在两次修改间的最小天数。3.口令建立后必须修改的天数。4.口令更改前向用户发出警告的天数。5.口令终止后被禁用的天数。6.自从1970/1/1起帐号被禁用的天数。7.保留域。示例：root:*:10612:0:99999:7:::/etc/shadow文件剖析版本所