RHCSS系统安全架构师

本博客文章已全部转移至http://sites.google.com/site/linuxxuexi/
欢迎大家访问交流！

基本原则: a. 及时更新所有的服务，以防止最新的威胁
                   b. 尽可能使用安全的协议
                   c. 尽可能让每台机只提供一种服务
                   d. 严格监控所有机器以及时发现恶意行为
   &nbs..

###LinuxCBT feat. OpenPGP Edition - Notes###
History of PGP:
 1. Created by Phillip Zimmerman in 1991
 2. Created as: Pretty Good Privacy (PGP)
 3. PGP was acquired by NAI (McAfee) in the late 1990s
 4. Eventually released and reincarnated as the current: PGP Corporation
History of Gnu Privacy Guard (GPG):
 1. Derives from Pretty Good Privacy
 2. GPG is also based the OpenPGP proposed standard: RFC 2440 -> 4880

Features:
 1. Implements Public Key In..

###LinuxCBT Packet Capture | Analysis Edition###
Topics of coverage:
 1. Topology
 2. Features of Ethereal
 3. Explore Interface
 4. TCPDump - default format and capture filter syntax (BPFs) used in Ethereal
 5. Snort NIDS - produce TCPDump-compliant binary file
 6. Sun Snoop - comes with Solaris
 7. Capture ARP, Layer-2(MAC), ICMP and ICMPv6 with Ethereal and analyze
 8. Capture UDP for IPv4 & IPv6 and analyze
 9. Capture TCP for IPv4 & I..

###LinuxCBT PAM Edition - Notes###
Topology:
Features:
1. PAM is a central, modular authentication framework
 a. Obviates the need for separate authentication schemes. i.e. per application auth
 b. Supports numerous dynamically loaded modules and methods. i.e. SiteMinder, Apache, SSH, etc.
 c. Exports methods of the various libraries under its auspices to calling applications
2. PAM abstracts underlying authentication methods
 a. MD5 - Encryption
 b. Blowfish - Enc..

###LinuxCBT feat. OpenPGP Edition - Notes###
History of PGP:
 1. Created by Phillip Zimmerman in 1991
 2. Created as: Pretty Good Privacy (PGP)
 3. PGP was acquired by NAI (McAfee) in the late 1990s
 4. Eventually released and reincarnated as the current: PGP Corporation
History of Gnu Privacy Guard (GPG):
 1. Derives from Pretty Good Privacy
 2. GPG is also based the OpenPGP proposed standard: RFC 2440 -> 4880

Features:
 1. Implements Public Key In..

3 Common Access Control Models:
1. Discretionary Access Control (DAC)
 - prone to malware/malicious
 - setuid/setgid(cdrecord) files are vulnerable
 - Access to objects(files) are based solely user identity(uid/gid)
 - Access is course, NOT fine/granular
 - default policy is liberal
 - Admin/Non-Admin - 2 user privileges
2. Mandatory Access Control (MAC) - SELinux
 - More systems administration/expertise is required
 - objects the system are abstracte..

LinuxCBT NIDS Edition - Snort:
1. Snort is considered to be an NIDS/NIPS solution NOT IDS/IPS solution
2. Confirm MD5SUM - using md5sum
3. Verify the PGP/GPG signature - gpg --verify snort*.sig snort*.gz
4. pcre* - performs parsing of traffic using Perl-compatible Regular Expressions
5. libpcap - facilitates packet capturing @ a low-level in OSI-model
OSI Model contains 7-Layers:
7 - Application
6 - Presentation
5 - Session
4 - Transport(sport:3100 - dport:80)
3 - IP routing(source_ip:192.16..

Network Hosts:
linuxcbtwork1 -> Primary DNS server -> 192.168.1.72
linuxcbtserv1 -> 192.168.1.10
linuxcbtserv2 -> 192.168.1.20
linuxcbtserv3 -> 192.168.1.30
cache1 -> CNAME -> linuxcbtserv2
Squid client/server logic:
client([url]www.google.com[/url]) -> Squid -> server/peer cache
Steps to Squid installation
1. Setup DNS - cache1.linuxcbt.internal
2. Install Squid
3. Start Squid and attempt to use - modify ACLs
4. Access to the Internet is granted
Notes: Squid def..

1。到[url]http://www.nessus.org/[/url]注册一个帐号，下载最新的安装文件.并到你注册的邮箱查收注册码保存。
Nessus-3.0.5-es4.i386.rpm
NessusClient-1[1].0.2-es4.i386.rpm
 
2。安装Nessus-3.0.5-es4.i386
[root@test8 sbin] rpm -ivh Nessus-3.0.5-es4.i386.rpm
Preparing...                ########################################### [100%]
 1:Nessus           &n..

LINUX提供了强大的防火墙iptables ,但是由于iptables语法比较繁琐，所以不利于部署和维护，shorewall是第三方免费的防火墙生成器，相当于对iptables又进行了一次集合和优化。介绍一下简单的部署：
下载：[url]http://www.shorewall.net/[/url]
需要下载两个程序：
shorewall-perl-4.2.2.1.tgz　　　＃shorewall的安装环境
shorewall-common-4.2.2.1.tgz　＃shorewall的主程序
首先解压缩shorewall-perl-4.2.2.1.tgz
tar -zxvf  shorewall-perl-4.2.2.1.tgz
cd shorewall-perl-4.2.2.1
./configure
make
make install
..

 AIDE即Advanced Intrusion Detection Environment，直译为高级入侵检测环境，AIDE，是一个文件完整性检测工具，AIDE 能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE生成的数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE 还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列。
　　一旦一..

　　< 病毒查杀系统的构建（ Clam AntiVirus ） > （最近更新日：2006/08/15）








前　　言
　　UNIX下的杀毒软件有好多是商业版本的。但和Windows系统下一样，杀毒软件的质量决定于病毒库的量已及更新的速度。在这里，我们使用自由软件 Clam AntiVirus 来建立Linux下的病毒查杀系统。并且为了消除后来的隐患，建议务必在服务器公开以前构建病毒查杀系统。









安装 Clam AntiVirus
　　由于Clam Antivirus不存在于CentOS中yum的官方库中，所以用yum安装Clam Antivirus需要定义非官方的库。请先确..

　　< 入侵监测系统的构建（ chkrootkit ） > （最近更新日：2006/08/24）








前　　言
　　所谓 rootkit ，是一类入侵者经常使用的工具。这类工具通常非常的隐秘、令用户不易察觉，通过这类工具，入侵者建立了一条能够常时入侵系统，或者说对系统进行实时控制的途径。所以，我们用自由软件 chkrootkit 来建立入侵监测系统，来保证对系统是否被安装了 rootkit 进行监测。

　　chkrootkit 在监测 rootkit 是否被安装的过程中，需要使用到一些操作系统本身的命令。但不排除一种情况，那就是入侵者有针对性的已经..

　数据完整性监测系统的构建（ Tripwire )
 








前　　言
　　当服务器遭到黑客攻击时，在多数情况下，黑客可能对系统文件等等一些重要的文件进行修改。对此，我们用Tripwire建立数据完整性监测系统。虽然 它不能抵御黑客攻击以及黑客对一些重要文件的修改，但是可以监测文件是否被修改过以及哪些文件被修改过，从而在被攻击后有的放矢的策划出解决办法。

　　Tripwire的原理是Tripwire被安装、配置后，将当前的系统数据状态建立成数据库，随着文件的添加、删除和修改等等变化，通过系统数据现状与不断更新的数..

10.ip mroute -- 多播路由缓存管理

10.1.缩写

　　mroute、mr

10.2.对象

　　这个命令的操作对象是多播路由缓存条目，这个缓存是由一个用户空间的多播
路由监控进程(例如pimd或者mrouted)建立的。

　　目前，由于受和多播路由引擎接口的限制，还不能通过ip命令修改多播路由对
象，因此我们只能查看。

10.3.命令

　　show或者list

10.4.ip mroute show -- 列出多播路由缓存条目


缩写：show、list、sh、ls、l


参数

to PREFIX(default) 选择到目的多播地址是PREFIX
iif NAME 接收多播数据包的网络接口
from P..

ip命令手册(三)


8.ip route -- 路由策略数据库管理命令


8.1.缩写

　　rule、ru

8.2.对象

　　路由策略数据库的规则用于控制选择路由的算法。

　　Internet上采用的路由算法一般是基于数据包目的地址的。理论上，也可以由
TOS域决定，不过这没有实际应用。要了解经典路由算法的详细情况请参考
RFC-1812。

　　而在某些情况下，我们不只是需要通过数据包的目的地址决定路由，可能还需
要通过其他一些域：源地址、IP协议、传输层端口甚至数据包的负载。这就叫做：
策略路由(policy routing)。

　　注意：策略路由(p..

这一部分是关于使用ip命令管理系统路由的内容。

------------------------------------------------------------------------
--------
By nixe0n



7.路由表管理


7.1.缩写

　　route、ro、r


7.2.对象

　　路由条目保存在内核的路由表中，它们包含寻找到其它网络节点的路径信息。
路由表条目都包括一对网络地址/掩码长度以及可选的TOS值等信息。如果数据包目
的地址位于属于路由条目的的范围，以及路由的TOS等于0或者等于数据包的TOS，
它就匹配路由条目。如果一个数据包匹配多个路由条目，系统内核将按照以下规则
..

ip命令手册(一)

摘要
　　ip是iproute2软件包里面的一个强大的网络配置工具，它能够替代一些传统的
网络管理工具。例如：ifconfig、route等。这个手册将分章节介绍ip命令及其选
项。　　
    本文的原文在
    [url]http://defiant.coinet.com/iproute2/ip-cref/[/url](2002-10-15 18:40:46)
------------------------------------------------------------------------
By nixe0n



作者：Alexey N.Kuznetsov

编译：nixe0n

1.关于这篇文档

2.ip命令的语法

3.ip的错误信..

 1 iptables不错脚本（参考 )
Quote:
[root@server ~]# cat /opt/iptables/iptables.rule
#!/bin/bash
#
# The interface that connect Internet
EXTIF="ppp0"
# the inside interface. if you don't have this one
# and you must let this be black ex> INIF=""
INIF="eth0"
INNET="192.168.1.0/24" # This is for NAT's network
kver=`uname -r | cut -c 1-3`
if [ "$kver" != "2.4" ] && [ "$kver" != "2.5" ] && [ "$kver" != "2.6" ]; then
echo "Your Linux Kernel Version may not be su..