本文選自ChinaITLab網校課程《CIW網絡安全工程師V3.0》
本小節的要點包括：
●常用網絡服務安全
■DNS
■WWW
■WEB
■FTP
●LINUX帳戶安全
■LINUX系統帳戶文件
■LINUX系統帳戶安全
●LINUX文件系統安全
■文件權限分類
■文件和目錄的訪問對象
■UMASK值
■不可改變位
■SUID/SGID文件
■文件完整性
■文件加密
■備份策略
1　常用網絡服務安全
1.1　域名（dns）服務
1.1.1　DNS基本原理
1、DNS術語、特性：
●互連網上主機信息的分布式數據庫
●域名服務器
●解析器即客戶機
●域名查詢采用UDP協議，而區域傳輸采用TCP協議
●域名解析過程分為兩種方式：遞歸模式和交互模式
2、域名解析過程
典型的域名解析過程。
3、BIND主要配置文件
BIND的主要配置文件包括：
●named配置文件:/etc/named.boot、etc/named.conf
●DNS數據文件
●反向解析順序文件/etc/resolv.conf
1.1.2　DNS服務器的常見攻擊方法
DNS服務器的常見攻擊方法包括：
●地址欺騙
●遠程漏洞入侵
●拒絕服務
1、地址欺騙
2、緩沖區溢出漏洞
解決辦法：
●安裝最新BIND
■http://www.isc.org/products/BIND/bind9.html
3、DNS服務器的拒絕服務攻擊
●針對DNS服務器軟件本身
●利用DNS服務器作為中間的"攻擊放大器"，去攻擊其它intetnet上的主機
1.1.3　Bind服務器安全配置
●基本安全配置
■隱藏版本信息
■named進程啟動選項：
-r：關閉域名服務器的遞歸查詢功能（缺省為打開）。
-u 和-g ：定義域名服務器運行時所使用的UID和GID。
-t ：指定當服務器進程處理完命令行參數后所要chroot（）的目錄。
●Bind服務器的訪問控制
■限制查詢
■限制區域傳輸
■關閉遞歸查詢
■Bind服務器安全配置
/etc/named.conf
options{
directory"/var/named";
allow-query202.96.44.0/24;
allow-transfer　 {
192.168.100.1;
202.96.44.0/24;
recursion no;
};
};
●設置chroot運行環境
■chroot 是 "change root" 的縮寫
■chroot重定義了一個程序的運行環境。重定義了一個程序的"ROOT"目錄或"/"。也就是說，對于chroot了的程序或shell來說，chroot環境之外的目錄是不存在的。
■Chroot方法步驟：
建立"監獄式"目錄
拷貝本身服務軟件和其他要求的文件
拷貝所需要系統庫文件
變換啟動腳本，使系統啟動正確環境
●及時更新安裝bind的最新版本
1.2　 WWW服務
1.2.1　常見安全威脅
對于WWW服務，常見安全威脅包括：
■HTTP拒絕服務：攻擊者通過某些手段使服務器拒絕對HTTP應答
■緩沖區溢出
1.2.2　Web服務器（apache）配置文件
控制著服務器各個方面的特性的三個配置文件：
■httpd.conf主配置文件，是對守護程序httpd如何運行的技術描述
■srm.conf是服務器的資源映射文件，告訴服務器各種文件的MIME類型，以及如何支持這些文件
■access.conf用于配置服務器的訪問權限，控制不同用戶和計算機的訪問限制
1、Apache的基本安全配置
■及時更新安裝Apache的最新版本
■設置chroot運行環境
■隱藏版本信息
2、Apache服務器訪問控制
■文件的訪問控制
■目錄的訪問控制
■主機的訪問控制
■access.conf文件包含一些指令控制允許某個用戶、某個域、IP地址或者IP段的訪問訪問Apache目錄。
■order deny,allow
■deny from all
■allow from sans.org
■使用.htaccess文件，可以把某個目錄的訪問權限賦予某個用戶
1.3　 mail服務
1.3.1　Sendmail的主要安全問題
■郵件轉發與垃圾郵件
■避免未授權的用戶濫用noexpn,novrfy
■限制可以審核郵件隊列內容的人員
■（/etc/sendmail.cf: PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq）
■關閉relay選項
■及時更新安裝最新版本的Sendmail
■文件系統安全
■拒絕服務攻擊
1、關閉relay選項
sendmail提供了許多在編譯期間選擇的功能特性
在/etc/sendmail.mc中與安全相關的特性有：
■FEATURE（*）
■promiscuous_relay
■accept_unqualified_senders
■loose_relay_check
■accept_unresolvable_domains
■blacklist_recipients
■relay_entire_domain
2、郵件轉發與垃圾郵件
設置smtp身份驗證。
3、文件系統安全
重要的文件設置不可更改位
■[root@deep]# chattr +i /etc/sendmail.cf
■[root@deep]# chattr +i /etc/sendmail.cw
■[root@deep]# chattr +i /etc/sendmail.mc
■[root@deep]# chattr +i /etc/aliases
■[root@deep]# chattr +i /etc/mail/access
4、Sendmail配置抵御DOS
■/etc/sendmail.cf üMinFreeBlocks--配置最少的自由塊數
■MaxMessageSize--最大郵件大小
■AutoRebuildAliases--自動重建別名
■QueueLA--隊列平均負荷
■RefuseLA--平均負荷拒絕臨界點
■MaxDaemonChildren--最大的守護進程的子進程數
■MaxHeadersLength --最大的報頭長度
■MaxMimeHeaderLength --最大MIME編碼報文長度
■MaxRecipientsPerMessage --每封郵件的最多接收者
1.4　FTP
了解那些FTP有安全問題：
■wu-ftpd -（wu-ftpd 2.6.0 輸入驗證漏洞、site newer 內存耗盡問題）
■proftpd
1.4.1　Ftp安全要點
■使用最新版本 -http://www.wu-ftpd.org/　2.6.2 -http://www.proftpd.org/ 1.2.9
■使用ftpuser限制ftp用戶
■使用ftpaccess控制用戶行為，流量等等
■設置chroot運行環境 o使用ssh或sftp代替ftp
2　UNIX系統帳號安全
2.1　UNIX系統帳號文件
2.1.1　Passwd文件剖析
■name:coded-passwd:UID:GID:user-info:home-directory:shell
passwd文件字段含義：
■7個域中的每一個由冒號隔開。
■name-給用戶分配的用戶名。
■Coded-passwd-經過加密的用戶口令。如果一個系統管理員需要阻止一個用戶登錄，則經常用一個星號（ : * :）代替。該域通常不手工編輯。
■UID-用戶的唯一標識號。習慣上，小于100的UID是為系統帳號保留的。
■UNIX系統帳號安全
■GID-用戶所屬的基本分組。通常它將決定用戶創建文件的分組擁有權。
■User_info-習慣上它包括用戶的全名。郵件系統和finger這樣的工具習慣使用該域中的信息。
■home-directory-該域指明用戶的起始目錄，它是用戶登錄進入后的初始工作目錄。
■shell-該域指明用戶登錄進入后執行的命令解釋器所在的路徑。注意可以為用戶在該域中賦一個/bin/false值，這將阻止用戶登錄。
2.1.2　shadow文件
其內容中各字段含義：
■上一次修改口令的日期，以從1970年1月1日開始的天數表示。
■口令在兩次修改間的最小天數。口令在建立后必須更改的天數。
■口令更改之前向用戶發出警告的天數。
■口令終止后帳號被禁用的天數。
■自從1970年1月1日起帳號被禁用的天數。
■保留域。
2.2　UNIX系統帳號安全
2.2.1　禁用的口令
■不要選擇簡單字母序列組成的口令（例如"qwerty"或"abcdef"）。
■不要選擇任何指明個人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、電話號碼、社會保障號碼、汽車牌號、汽車執照號、居住的街道名稱等）。
■不要選擇一個與要替換的口令相似的新口令。
■不要選擇一個包含用戶名或相似內容的口令。
■不要選擇一個短于6個字符或僅包含字母或數字的口令。
■不要選擇一個所有字母都是小寫或大寫字母的口令。
■不要選擇一個被作為口令范例公布的口令。
2.2.2　好的口令
■選擇一個至少有10個字符長度的口令。
■選擇一個包含非字母字符的口令，包括數字和特殊字符，如～ ! @ $ % ^　* （ ） _ - + ={ } [ ] | \ : ; ' "　, . ? / 。
■選擇一個容易記住而不必寫下來的口令。
■選擇一個不用看鍵盤而能迅速鍵入的口令，使偷看的人不能識別出鍵入的字符。
■禁止寫下口令
2.2.3　安全缺省帳號
Linux系統中安全缺省帳號。
2.2.4　UNIX系統帳號安全事項
UNIX系統帳號安全注意事項：
●禁用和刪除帳號
■禁用帳號最快的方式是在/etc/passwd或影子口令文件中用戶加密口令的開始加一個星號（*）。該用戶將不能再次登錄。
■刪除帳號
■userdel jrandom
刪除一個帳號時要完整。
殺死任何屬于該用戶的進程或打印任務。
檢查用戶的起始目錄并為任何需要保存的東西制作一個備份。
刪除用戶的起始目錄及其內容。
刪除用戶的郵件文件（/var/spool /mail）。
把用戶從郵件別名文件中刪除（/usr/lib/aliases）。
如果事先知道用戶帳號將在哪天終止，則考慮在/etc/shadow中設置口令和帳號終止域。
●Root帳號安全性
■確保root只允許從控制臺登陸
■限制知道root口令的人數
■使用強壯的密碼
■三個月或者當有人離開公司是就更改一次密碼
■使用普通用戶登陸,用su取得root權限, 而不是以root身份登錄
■設置 umask 為077 ,在需要時再改回022
■請使用全路徑執行命令
■不要允許有非root用戶可寫的目錄存在root的路徑里
■確保root沒有~/.rhosts文件
■確保root的cron job文件里沒有執行屬于其它用戶或人人可寫的文件
■修改/etc/securetty，去除終端ttyp0-ttyp9，使root只能從console或者使用ssh登陸。
■禁止root用戶遠程登錄
linux下: -/etc/pam.d/login -auth　 required pam_securetty.so
其它多數系統: -/etc/default/login -CONSOLE=/dev/console
■自動帳號封鎖-能夠聲明嘗試登錄失敗的最大次數；一旦到達這個次數就封鎖該帳號
■日期和時間限制-能夠聲明在一周或一天的什么時候可以使用一個用戶的帳號；這是為了防御深更半夜的黑客
■自動登錄退出-可以使長時間無反應的用戶會話自動終止；這是有風險的，因為可能因一個合法的原因使一個會話顯得不活躍
●密碼策略
■密碼長度的強制定義 -修改 /etc/login.defs -PASS_MIN_LEN 5
■為 PASS_MIN_LEN 8
■設置root登陸的timeout -/etc/profile: export TMOUT=7200
■用chage命令管理口令周期
chage -l username
[-m 最短周期] [-M 最長周期] [-I 口令到期到被鎖定的天數]
[-E到期日期] [-W 口令到期之前開始警告的天數] username
●受限制的登錄shell：
■編輯profile文件（vi /etc/profile），把這些行改成：
■HISTSIZE=20
●策略傳播
●進行口令檢查
●產生隨機口令
●提前進行口令檢查
●口令更換
3　UNIX文件系統安全
3.1　文件權限分類
■讀：允許讀文件和目錄內容。
■寫：允許修改、刪除文件。
■執行：允許執行二進制程序和腳本
■目錄粘著位：用戶不能刪除該目錄下沒有寫權限的文件，盡管他對目錄有寫權限。
■SUID: 程序以所有者而不是執行者的身份執行。
■SGID（文件）: 類似SUID，程序以所在組的權限運行。
3.2　文件和目錄的訪問對象
■文件所有者；
■文件所有組；
■其它人。
其中，文件權限的8進制表示。屬主,組,其它分別以一個8進制位表示,其中: -r - 4 -w - 2 -x - 1
例子: "-rwxr-x---" 8進制表示為0750　0400 0200 0100 0040 0000 0010　 ＋0000　 ------------- 0750

文件權限命令
■chmod （改變權限）
■#chmod o+r file
■（用戶（u）、分組（g）、其他（0））
■c h o w n（改變擁有權）
■#chown user1 file
■c h g r p（改變分組）
■#chgrp group1 file
3.3　umask值
當創建了一個新文件或目錄時，它基于用戶的權限屏蔽"umask"來確定缺省的權限設置。chmod命令用來聲明要打開的權限，而umask命令用來指明要禁止的權限。
它用一個簡單的三位數變元來聲明在一個文件或目錄被創建時應該被禁止的訪問權限-或被屏蔽的。
umask主要在系統范圍及個人的登錄文件.login或.profile中建立。
3.3.1　文件權限
■應該設置root用戶的umask為077，這使其它用戶不能讀寫root新創建的文件。
■在多數系統中，u m a s k的缺省值是0 2 2。
3.3.2　附加的文件權限屬性
■linux的ext2/ext3文件系統 -lsattr -chattr
■i 禁止修改
■#chattr +i　files
■#chattr -i　files
3.4　給口令文件和組文件設置不可改變位，
■[root@cnns]# chattr +i /etc/passwd
■[root@cnns]# chattr +i /etc/shadow
■[root@cnns]# chattr +i /etc/group
■[root@cnns]# chattr +i/etc/gshadow
3.5　SUID和SGID文件
■SUID表示"設置用戶ID"，SGID表示"設置組ID"。當用戶執行一個SUID文件時，用戶ID在程序運行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。同樣，當一個用戶執行SGID文件時，用戶的組被置為文件的組。
■Unix實際上有兩種類型的用戶ID。
■"real user ID"是在登錄過程中建立的用戶ID。 "effective user ID"是在登錄后的會話過程中通過SUID和SGID位來修改。
■#find /-type f \ （-perm -4000 -o -perm -2000\） -ls
■這告訴find列出所有設置了SUID（"4000"）或SGID（"2000"）位的普通文件（"f"）。應該在每個本地系統中運行它。
■[root@kcn]# chmod a-s /usr/bin/chage
3.6　文件完整性
■確保操作系統文件,尤其可執行程序/bin,/sbin,/usr/bin/usr/sbin）不被修改。
■許多rootkit都要替換系統程序（如login,netstat,ps,ls等）來隱藏自己及安裝后門
■一般通過計算文件校驗碼（如MD5碼）的方式來檢驗文件完整性
■#md5sum --check bin.sum
■RPM檢驗和簽名檢查（linux）
■# rpm --verify timed -0.10-2
3.7　文件加密
Unix常用的加密算法有crypt（最早的加密工具）、DES（目前最常用的）、IDEA（國際數據加密算法）、RC4、Blowfish（簡單高效的DES）、RSA。
PGP還可以用來加密本地文件。現在常用的Linux下的PGP工具為：pgpe（加密）、pgps（簽名）、pgpv（確認/解密）、pgpk（管理密鑰）
3.8　備份策略
3.8.1　備份策略包括
■第0天備份
■完全備份
■增量式備份
■特別備份
3.8.2　備份命令
■cp
■Tar（用于磁帶機）
■Dump（把整個文件系統拷貝到備份介質上）
■-#dump 0f0 /dev/rst0 1500 /dev/sd0a
■把一個SCSI硬盤（/dev/rsd0a）以0級備份到磁帶（/dev/rst0）。
■Restore（恢復整個文件系統或提取單個文件）
3.8.3　備份要注意的問題
■檢驗備份
■保護備份介質
■把備份磁帶寫保護
■定期把備份送到遠離站點的地方
■要留神介質的限制