2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆 1 linux 網路系統安全管理...
TRANSCRIPT
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
1
Linux網路系統安全管理
系統安全概論 安全系統安裝 安裝後的安全設定 Webmin+SSL 簡易系統管理
安全稽核機制 Linux Security Tools 結論 --- 網路安全是沒有
deadline 的 Y2K 問題
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
2
系統安全概論
TCSEC – 電腦系統安全評估準則 身分識別 自主式存取控制 強制式存取控制 系統稽核 安全策略 安全保證
入侵原因排行 入侵種類
駭客入侵 電腦病毒入侵 內賊入侵
網路攻擊手法 Vulnerabilities
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
3
入侵原因排行 ( From NAI)
1.Hosts running unnecessary services; e.g. ftp, sendmail
2.Unpatched, outdated application software and hardware firmware
3.Information leakage through services such as: gopher, finger, telnet, SNMP, SMTP, netstat, etc.
4.Misappropriated trust relationships; e.g. rsh, rlogin, rexec
5.Misconfigured firewalls or router ACL's (Access Control Lists)
6.Weak passwords7.Misconfigured web servers8.Improperly imported file systems9.Misconfigured or unpatched NT syste
ms10.Unsecured remote access points; e.
g. remote access servers, modems pools, etc.
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
4
RedHatVulnerabilities
2000-06-09: 3R Soft MailStudio 2000 Multiple Vulnerabilities
2000-06-07: Multiple Linux Vendor restore Buffer Overflow Vulnerability
2000-06-05: BRU BRUEXECLOG Environmental Variable Vulnerability
2000-05-29: Xlockmore 4.16 Buffer Overflow Vulnerability
2000-05-24: HP Web JetAdmin Directory Traversal Vulnerability
2000-05-24: HP Web JetAdmin 6.0 Printing DoS Vulnerability
2000-05-24: MDBMS Buffer Overflow Vulnerability
2000-05-18: Lotus Domino Server ESMTP Buffer Overflow Vulnerability
2000-05-18: XFree86 Xserver Denial of Service Vulnerability
2000-05-16: Multiple Vendor Kerberos 5/Kerberos 4 Compatibility krb_rd_req() Buffer Overflow Vulnerability
Etc.
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
5
網路攻擊手法
Ping of Death Out of Bound Data Mail Bombing Email Spamming Flood Teardrop SYN Flood LAND Denial of Service DDOS
… Etc.
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
6
安全系統安裝
選擇高品質的伺服器系統安裝套件的要求 Security Availability Commercially Supported Performance and Tuning Simplicity
安裝過程注意事項 Do not Connect to the Network Installation Type - Custom Disk Partitioning and Formatting Installing LILO User Account Configuration Authentication on Configuration Package Selection and the Install Getting and Installing Patches
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
7
安裝後的安全設定
Securing Services Securing LILO
linux init=/bin/sh ? password chmod 640 /etc/lilo.conf
File Permissions Securing and Managing suid root
binaries find / -type f -perm +6000 -exec l
s -l {} \; > suidfiles.txt chmod -s programname
Other Necessary Steps /etc/passwd /etc/securetty /etc/security/
Bastille Linux Subscribe mail list
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
8
安全網路服務 SSH / SNP / PAM TCP-Wrappers Using Passive Fi
ngerprinting (TTL, Window Size, DF, TOS)
Stunnel
/usr/sbin/stunnel –p /etc/ssl/certs/server.pem –d spop3 –l /usr/sbin/ipop3d
Apache-SSL Chroot PGP/GPG Key Server
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
9
Linux PAM
PAM ( Pluggable Authentication Modules for Linux )是允許系統管理員可以設置多種認証方式,而不須要再重新編譯要進行認証的程序。藉以下的流程圖來說明 Linux-PAM 的工作流程:
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
10
Kernel Modifications (openwall)
Features: Non-executable user stack
area Restricted links in /tmp Restricted FIFOs in /tmp Restricted /proc Special handling of fd 0, 1,
and 2 Enforce RLIMIT_NPROC o
n execve(2) Destroy shared memory se
gments not in use Privileged IP aliases (Linux
2.0 only)
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
11
Webmin+SSL簡易系統管理
系統管理者要求 網路遠端管理 簡單的視窗化介面 分層授權管理
何謂 Webmin 利用瀏覽器透過網路來遠
端管理 Unix 系統的軟體 支援多國語言 BSD 版權宣告
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
12
Webmin 安裝及功能
安裝所需軟體 Perl, openssl, Net_SSLe
ay.pm, Webmin 功能
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
13
Webmin 分層授權管理
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
14
Webmin 系統管理
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
15
Webmin 硬體管理
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
16
Webmin 其他功能
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
17
Webmin 伺服器管理
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
18
安全稽核機制
/etc/syslog.conf Facility Syslog level Action
tcplogd icmpinfo logcheck Tripwire
Intrusion Detection Damage Asseccment and Re
covery Policy Compliance Software Verification Forensics
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
19
Intrusion Detection
Lines of Defence
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
20
Firewalling
Firewalls offer the outermost layer of protection for a network, providing a basic barrier and restricting points of access.
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
21
LIDS
LIDS is an intrusion detection and prevention system that resides within the Linux kernel.
LIDS' protection is aimed at preventing the root user (who would normally have access to the entire system) from tampering with important parts of the system. LIDS' most important features include increased file system protection, protection against direct port access or direct memory access, protection against raw disk access, and protection of log files. LIDS also prevents certain system actions, such as installing a packet sniffer or changing firewall rules.
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
22
Linux Security Tools
Introduction Scanners Firewalls Portscan Detectors Honeypots Authentication Access Control Encryption Virtual Private Networks Developer libraries
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
23
結論 網路安全是沒有 deadline 的 Y2K 問題
訂閱相關網路安全新聞 加裝安全程式 建構 IDS
2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆
24
參考資料
CERT® Coordination Center --- http://www.cert.org
TWCERT ---http://www.cert.org.tw
SecurityFocus --- http://www.securityfocus.com/
Security Space ---http://www.securityspace.com 深入 Linux建構與管理,楊文誌,旗標
Linux 網路伺服器架設,施勢帆、呂建毅,碁峰
使用 Linux 建立網路伺服環境,施勢帆等,第三波
帆毅網路研究室 ---http://mouse.oit.edu.tw