2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

1

Linux網路系統安全管理

系統安全概論 安全系統安裝 安裝後的安全設定 Webmin+SSL 簡易系統管理

安全稽核機制 Linux Security Tools 結論 --- 網路安全是沒有

deadline 的 Y2K 問題

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

2

系統安全概論

TCSEC – 電腦系統安全評估準則 身分識別 自主式存取控制 強制式存取控制 系統稽核 安全策略 安全保證

入侵原因排行 入侵種類

駭客入侵 電腦病毒入侵 內賊入侵

網路攻擊手法 Vulnerabilities

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

3

入侵原因排行 （ From NAI)

1.Hosts running unnecessary services; e.g. ftp, sendmail

2.Unpatched, outdated application software and hardware firmware

3.Information leakage through services such as: gopher, finger, telnet, SNMP, SMTP, netstat, etc.

4.Misappropriated trust relationships; e.g. rsh, rlogin, rexec

5.Misconfigured firewalls or router ACL's (Access Control Lists)

6.Weak passwords7.Misconfigured web servers8.Improperly imported file systems9.Misconfigured or unpatched NT syste

ms10.Unsecured remote access points; e.

g. remote access servers, modems pools, etc.

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

4

RedHatVulnerabilities

2000-06-09: 3R Soft MailStudio 2000 Multiple Vulnerabilities

2000-06-07: Multiple Linux Vendor restore Buffer Overflow Vulnerability

2000-06-05: BRU BRUEXECLOG Environmental Variable Vulnerability

2000-05-29: Xlockmore 4.16 Buffer Overflow Vulnerability

2000-05-24: HP Web JetAdmin Directory Traversal Vulnerability

2000-05-24: HP Web JetAdmin 6.0 Printing DoS Vulnerability

2000-05-24: MDBMS Buffer Overflow Vulnerability

2000-05-18: Lotus Domino Server ESMTP Buffer Overflow Vulnerability

2000-05-18: XFree86 Xserver Denial of Service Vulnerability

2000-05-16: Multiple Vendor Kerberos 5/Kerberos 4 Compatibility krb_rd_req() Buffer Overflow Vulnerability

Etc.

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

5

網路攻擊手法

Ping of Death Out of Bound Data Mail Bombing Email Spamming Flood Teardrop SYN Flood LAND Denial of Service DDOS

… Etc.

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

6

安全系統安裝

選擇高品質的伺服器系統安裝套件的要求 Security Availability Commercially Supported Performance and Tuning Simplicity

安裝過程注意事項 Do not Connect to the Network Installation Type - Custom Disk Partitioning and Formatting Installing LILO User Account Configuration Authentication on Configuration Package Selection and the Install Getting and Installing Patches

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

7

安裝後的安全設定

Securing Services Securing LILO

linux init=/bin/sh ? password chmod 640 /etc/lilo.conf

File Permissions Securing and Managing suid root

binaries find / -type f -perm +6000 -exec l

s -l {} \; > suidfiles.txt chmod -s programname

Other Necessary Steps /etc/passwd /etc/securetty /etc/security/

Bastille Linux Subscribe mail list

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

8

安全網路服務 SSH / SNP / PAM TCP-Wrappers Using Passive Fi

ngerprinting (TTL, Window Size, DF, TOS)

Stunnel

/usr/sbin/stunnel –p /etc/ssl/certs/server.pem –d spop3 –l /usr/sbin/ipop3d

Apache-SSL Chroot PGP/GPG Key Server

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

9

Linux PAM

PAM （ Pluggable Authentication Modules for Linux ）是允許系統管理員可以設置多種認証方式，而不須要再重新編譯要進行認証的程序。藉以下的流程圖來說明 Linux-PAM 的工作流程：

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

10

Kernel Modifications (openwall)

Features: Non-executable user stack

area Restricted links in /tmp Restricted FIFOs in /tmp Restricted /proc Special handling of fd 0, 1,

and 2 Enforce RLIMIT_NPROC o

n execve(2) Destroy shared memory se

gments not in use Privileged IP aliases (Linux

2.0 only)

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

11

Webmin+SSL簡易系統管理

系統管理者要求 網路遠端管理 簡單的視窗化介面 分層授權管理

何謂 Webmin 利用瀏覽器透過網路來遠

端管理 Unix 系統的軟體 支援多國語言 BSD 版權宣告

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

12

Webmin 安裝及功能

安裝所需軟體 Perl, openssl, Net_SSLe

ay.pm, Webmin 功能

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

13

Webmin 分層授權管理

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

14

Webmin 系統管理

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

15

Webmin 硬體管理

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

16

Webmin 其他功能

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

17

Webmin 伺服器管理

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

18

安全稽核機制

/etc/syslog.conf Facility Syslog level Action

tcplogd icmpinfo logcheck Tripwire

Intrusion Detection Damage Asseccment and Re

covery Policy Compliance Software Verification Forensics

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

19

Intrusion Detection

Lines of Defence

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

20

Firewalling

Firewalls offer the outermost layer of protection for a network, providing a basic barrier and restricting points of access.

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

21

LIDS

LIDS is an intrusion detection and prevention system that resides within the Linux kernel.

LIDS' protection is aimed at preventing the root user (who would normally have access to the entire system) from tampering with important parts of the system. LIDS' most important features include increased file system protection, protection against direct port access or direct memory access, protection against raw disk access, and protection of log files. LIDS also prevents certain system actions, such as installing a packet sniffer or changing firewall rules.

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

22

Linux Security Tools

Introduction Scanners Firewalls Portscan Detectors Honeypots Authentication Access Control Encryption Virtual Private Networks Developer libraries

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

23

結論 網路安全是沒有 deadline 的 Y2K 問題

訂閱相關網路安全新聞 加裝安全程式 建構 IDS

2000/7/4 亞東技術學院 帆毅網路研究室 施勢帆

24

參考資料

CERT&reg Coordination Center --- http://www.cert.org

TWCERT ---http://www.cert.org.tw

SecurityFocus --- http://www.securityfocus.com/

Security Space ---http://www.securityspace.com 深入 Linux建構與管理，楊文誌，旗標

Linux 網路伺服器架設，施勢帆、呂建毅，碁峰

使用 Linux 建立網路伺服環境，施勢帆等，第三波

帆毅網路研究室 ---http://mouse.oit.edu.tw