📄 00000018.htm

📁 一份很好的linux入门资料
💻 HTM
📖 第 1 页 / 共 5 页
字号:
进入系统，攻击者通常立刻修改系统日志。为此，你应该用一台专用的机器专门处理日&nbsp;<BR>志信息，其他的机器将日志自动转发到它上面，这样日志信息一旦产生就立刻被扫走，&nbsp;<BR>可以确保攻击者的行为被正确地记录下来。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;对系统不断地patch是系统管理员的重要工作，对于GNU系统更是如此。GNU系统的特色&nbsp;<BR>就是每个人都有可能发现你的系统的漏洞，同时一旦发现漏洞修补也比较容易。实际上&nbsp;<BR>，不仅对于Linux，任何UNIX类型系统的安全性都要依赖于不断的patch。问题是许多用&nbsp;<BR>户被厂商宣称的虚假的安全性所迷惑。要记住，安全就存在于你的努力之中。&nbsp;<BR>&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;10.2&nbsp;访问控制&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;现在我们来考虑关于用户身份控制的基本问题。在Linux中存在三种与安全性相关的的&nbsp;<BR>访问控制问题，首先是UNIX通过口令的对用户的身份控制问题；其次是利用一些身份认&nbsp;<BR>证工具对用户连接地址的控制；另外的控制就是对用户的记账信息。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;10.2.1&nbsp;保护你的口令&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;UNIX的用户口令是对系统的第一道屏障。最原始的攻击手段就是对口令进行猜测，然&nbsp;<BR>后获取一个账号。因此，一个口令脆弱的账号将是入侵者攻击的第一跳。最常见的脆弱&nbsp;<BR>口令是口令和用户名相同或者仅仅差一个数字，对于职业的密码猜测者，这种密码就是&nbsp;<BR>开放着的大门。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;在Linux中，系统管理员可以任意修改用户的口令，当系统管理员给用户设置了一个脆&nbsp;<BR>弱的口令的时候，Linux会出现一个警告，但是并不会拒绝这个口令：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;bash#&nbsp;passwd&nbsp;test&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Changing&nbsp;password&nbsp;for&nbsp;user&nbsp;test&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;New&nbsp;UNIX&nbsp;password:&nbsp;test&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;BAD&nbsp;PASSWORD:&nbsp;it&nbsp;is&nbsp;too&nbsp;short&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Retype&nbsp;new&nbsp;UNIX&nbsp;password:&nbsp;test&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;passwd:&nbsp;all&nbsp;authentication&nbsp;tokens&nbsp;updated&nbsp;successfully&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;加斜体的是我们输入的内容。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;相反，当用户使用passwd程序更改自己的口令的时候，Linux将强制用户使用一个在它&nbsp;<BR>看来不那么脆弱的口令：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$&nbsp;passwd&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Changing&nbsp;password&nbsp;for&nbsp;wanghy&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;(current)&nbsp;UNIX&nbsp;password:wanghy&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;New&nbsp;UNIX&nbsp;password:wanghy&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;BAD&nbsp;PASSWORD:&nbsp;it&nbsp;is&nbsp;based&nbsp;on&nbsp;your&nbsp;username&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;New&nbsp;UNIX&nbsp;password:&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;一般来说，Linux的passwd程序要求用户使用至少7个字符的密码，而且不能基于某个&nbsp;<BR>字典单词，也不能由用户名稍做变形得到。尽管这可能会使你的用户感到困扰，但是它&nbsp;<BR>确实是对愚蠢用户的一种防范措施。不过，你必须注意，这些功能并总是可用的，它依&nbsp;<BR>赖于Linux中使用的一些安全性工具，例如在redhat中使用的是PAM。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;PAM是一个用来对安全性进行强化的工具，它包含一些特殊的连接库，一旦系统程序启&nbsp;<BR>用这些运行库就能够使用它提供的安全性保护功能。对系统程序保护的方法定义在/etc&nbsp;<BR>/pam.d中，例如/etc/pam.d/passwd文件定义了passwd程序启用PAM的方式，如&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$&nbsp;cat&nbsp;passwd&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;#%PAM-1.0&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/lib/security/pam_pwdb.so&nbsp;shadow&nbsp;nullok&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;account&nbsp;&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/lib/security/pam_pwdb.so&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;password&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/lib/security/pam_cracklib.so&nbsp;retry=3&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;password&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/lib/security/pam_pwdb.so&nbsp;use_authtok&nbsp;nullok&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;通常你无须修改这些文件。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;使用复杂的口令字的一个噩梦是用户为了避免忘记密码而把它们写下来。这样就失去&nbsp;<BR>了复杂口令的意义。建议你用一句毫无意义的话来构成密码，比如itUpitn(I&nbsp;think&nbsp;Un&nbsp;<BR>ix&nbsp;Password&nbsp;is&nbsp;the&nbsp;Nightmare)&nbsp;，Oop2Naya之类的单词组合要想破译只能依靠运气，&nbsp;<BR>如果这样的密码被破译那么你就怪自己运气不好吧。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;特别需要保护的是超级用户口令。由于Linux的许多管理任务都必须有超级用户权限来&nbsp;<BR>完成，许多单位让多人共享root账号。这不是一个合理的选择。另外的地方让系统管理&nbsp;<BR>员完成所有的工作，后果是管理员被一些简单而无聊的操作弄得晕头转向。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;我们建议使用sudo程序，这个程序可以把执行某些超级用户命令的特权赋予指定的用&nbsp;<BR>户，你可以在某些Linux的发行盘上找到它，也可以自己去下载源代码并且编译。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;sudo程序的格式是：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;sudo&nbsp;[-u&nbsp;用户名]&nbsp;[命令]&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;执行sudo的时候，会要求你输入你自己的密码而不是超级用户的密码。-u选项是可选&nbsp;<BR>的。如果使用-u选项，可以让你以别的身份登录上来执行sudo命令。这个功能把执行超&nbsp;<BR>级用户命令的权利交给了普通用户，为了控制这个命令，用/etc/sudoers文件来定义哪&nbsp;<BR>些用户可以执行哪些操作。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;一个典型的/etc/sudoers文件的形式是这样的：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;root&nbsp;ALL=(ALL)&nbsp;ALL&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;wanghy&nbsp;ALL=(wanghy)&nbsp;/usr/sbin/tcpdump,/sbin/halt&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;cook&nbsp;manager.mydomain.com=(cook,zhangfl)&nbsp;/sbin/halt&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;现在定义了三个sudo的选择。从任何地方登录的root用户都可以执行系统上的任何命&nbsp;<BR>令；wanghy用户可以在任何主机上以wanghy的身份执行tcpdump和halt命令；cook用户可&nbsp;<BR>以在manager主机上以cook或者zhangfl的身份执行halt命令。注意在括号中那个选项是&nbsp;<BR>不必要的，这个选项只是一种保护机制，例如，在第三行中的定义表示只有manager上的&nbsp;<BR>cook和zhangfl才能用sudo&nbsp;–u&nbsp;cook的方式执行sudo。另外，在sudoers文件中允许使用&nbsp;<BR>别名简化配置，详细的内容请参考sudo的文档。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;设置sudo比较容易出错，因此在大部分sudo的发行中提供一个visudo命令，它可以启&nbsp;<BR>动一个vi的编辑屏幕并且在你存盘退出的时候自动对sudoers文件的格式进行检查。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;设置了sudo之后，就可以使用这个功能了：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$&nbsp;sudo&nbsp;/usr/local/bin/nmap&nbsp;<BR>&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;We&nbsp;trust&nbsp;you&nbsp;have&nbsp;received&nbsp;the&nbsp;usual&nbsp;lecture&nbsp;from&nbsp;the&nbsp;local&nbsp;System&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Administrator.&nbsp;It&nbsp;usually&nbsp;boils&nbsp;down&nbsp;to&nbsp;these&nbsp;two&nbsp;things:&nbsp;<BR>&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;&nbsp;#1)&nbsp;Respect&nbsp;the&nbsp;privacy&nbsp;of&nbsp;others.&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;&nbsp;#2)&nbsp;Think&nbsp;before&nbsp;you&nbsp;type.&nbsp;<BR>&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Password:&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这里需要输入你的账号的口令，例如我们是以cook身份登录，那么输入cook的密码，&nbsp;<BR>就可以执行后面的命令了。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;由于某些原因，sudo缺省下被设置为只要一次sudo成功，那么以后一段时间内（大约&nbsp;<BR>5分钟）同一用户执行sudo不再需要输入口令。因为这个原因，绝对不要把特殊的危险命&nbsp;<BR>令用sudo分配给普通用户。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;另外一个Linux的特有问题是关于单用户模式，如同你知道的那样，任何能够接触你的&nbsp;<BR>机器的人都可以通过使用单用户模式启动系统而获得超级用户权限。解决的方法是在li&nbsp;<BR>lo中使用password选项：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;password=&quot;testpass&quot;&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这样，系统在引导的时候就会要求操作者输入口令。只有给出口令的用户才能是系统&nbsp;<BR>启动。如果你仅仅是想用口令控制单用户模式的进入，你可以使用restricted选项，它&nbsp;<BR>使得lilo仅在有人在lilo:下面使用smp&nbsp;1之类的命令行时才要求口令，否则自动引导机&nbsp;<BR>器：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;password=&quot;testpass&quot;&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;restricted&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这样，任何人试图在lilo:下面进入单用户模式都必须输入你在lilo.conf里面设置的&nbsp;<BR>口令，而正常的启动则不受影响。由于口令是明文存放在/etc/lilo.conf中，你应该把&nbsp;<BR>这个文件的属性设置成0600。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;10.2.2&nbsp;setuid&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;除了口令以外，下一个安全性方面的传统问题是setuid程序。如同我们知道的，setu&nbsp;<BR>id和setgid是对正常的UNIX系统安全性开的后门，一个有缺陷的setuid程序很容易成为&nbsp;<BR>入侵者的攻击目标。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;你应该定期在你的系统里面查找setuid到root的程序，下面的脚本可以完成这个工作&nbsp;<BR>：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;find&nbsp;/&nbsp;-perm&nbsp;-4000&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;一般来说，系统本身提供的setuid程序，例如su，passwd等等不会有什么问题，但是&nbsp;<BR>你一般来说不要写一个setuid程序，如果一定要写，记住不要写一个setuid的shell程序&nbsp;<BR>。而且，即使你用C来书写这种程序，如果可能，仅给用户以执行权限，不让任何人读到&nbsp;<BR>你的代码。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;后一点是容易忽略的地方。如果你的setuid程序是只读的，是否这个文件是安全的？&nbsp;<BR>绝对不是！考虑这样的一行代码：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;system(“ls&nbsp;–l”);&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;看上去不会有什么问题，对吗？让我们来考虑一下一个愤怒的用户可能作什么，首先&nbsp;<BR>把路径置成当前目录，然后在自己的目录里面做一个可执行程序，然后把这个程序命名&nbsp;<BR>为ls，因为system调用只是简单地把命令传递给shell，所以现在这个程序执行的是用户&nbsp;<BR>写出的东西。上帝保佑，但愿他没有写任何有害的东西。&nbsp;<BR>
⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -