UNIX 操作系统安全检查列表(1)

　　本文选自ChinaITLab网校课程《CIW网络安全工程师V3.0》

　　本小节的要点包括：

　　●常用网络服务安全

　　■DNS

　　■WWW

　　■WEB

　　■FTP

　　●LINUX帐户安全

　　■LINUX系统帐户文件

　　■LINUX系统帐户安全

　　●LINUX文件系统安全

　　■文件权限分类

　　■文件和目录的访问对象

　　■UMASK值

　　■不可改变位

　　■SUID/SGID文件

　　■文件完整性

　　■文件加密

　　■备份策略

　　1　常用网络服务安全

　　1.1　域名（dns）服务

　　1.1.1　DNS基本原理

　　1、DNS术语、特性：

　　●互连网上主机信息的分布式数据库

　　●域名服务器

　　●解析器即客户机

　　●域名查询采用UDP协议，而区域传输采用TCP协议

　　●域名解析过程分为两种方式：递归模式和交互模式

　　2、域名解析过程

　　典型的域名解析过程。

　　3、BIND主要配置文件

　　BIND的主要配置文件包括：

　　●named配置文件:/etc/named.boot、etc/named.conf

　　●DNS数据文件

　　●反向解析顺序文件/etc/resolv.conf

　　1.1.2　DNS服务器的常见攻击方法

　　DNS服务器的常见攻击方法包括：

　　●地址欺骗

　　●远程漏洞入侵

　　●拒绝服务

　　1、地址欺骗

　　2、缓冲区溢出漏洞

　　解决办法：

　　●安装最新BIND

　　■http://www.isc.org/products/BIND/bind9.html

　　3、DNS服务器的拒绝服务攻击

　　●针对DNS服务器软件本身

　　●利用DNS服务器作为中间的"攻击放大器"，去攻击其它intetnet上的主机

　　1.1.3　Bind服务器安全配置

　　●基本安全配置

　　■隐藏版本信息

　　■named进程启动选项：

　　-r：关闭域名服务器的递归查询功能（缺省为打开）。

　　-u 和-g ：定义域名服务器运行时所使用的UID和GID。

　　-t ：指定当服务器进程处理完命令行参数后所要chroot（）的目录。

　　●Bind服务器的访问控制

　　■限制查询

　　■限制区域传输

　　■关闭递归查询

　　■Bind服务器安全配置

　　/etc/named.conf

　　options{

　　directory"/var/named";

　　allow-query202.96.44.0/24;

　　allow-transfer　 {

　　192.168.100.1;

　　202.96.44.0/24;

　　recursion no;

　　};

　　};

　　●设置chroot运行环境

　　■chroot 是 "change root" 的缩写

　　■chroot重定义了一个程序的运行环境。重定义了一个程序的"ROOT"目录或"/"。也就是说，对于chroot了的程序或shell来说，chroot环境之外的目录是不存在的。

　　■Chroot方法步骤：

　　建立"监狱式"目录

　　拷贝本身服务软件和其他要求的文件

　　拷贝所需要系统库文件

　　变换启动脚本，使系统启动正确环境

　　●及时更新安装bind的最新版本