信息安全专题培训(Unix系统安全)课件

《信息安全专题培训(Unix系统安全)课件》由会员分享，可在线阅读，更多相关《信息安全专题培训(Unix系统安全)课件（54页珍藏版）》请在装配图网上搜索。

1、Strictly Private&ConfidentialNSFocus Information Technology Co.Ltd.Unix系统安全系统安全徐毅徐毅 XTraining dept.,Customer Support CenterAugust 2005Strictly Private&ConfidentialNSFocus Information Technology1Strictly Private&ConfidentialStrictly Private&ConfidentialLinux/Unix构成构成Linux/Unix构成2Strictly Private&Conf

2、identialStrictly Private&ConfidentialLinux内核组成部分内核组成部分Linux内核组成部分3Strictly Private&ConfidentialStrictly Private&ConfidentialLinux进程调度进程调度Task_runningdo_fork()收到SIG_KILL或SIG_CONT后Task_uninterruptible申请资源未果Task_interruptible所申请资源有效或者收到信号时Holding CPU申请资源未果所申请资源有效时Task_stopped跟踪系统调用Task_zombiedo_exit()时

3、间片到Schedule()Linux进程调度Task_runningdo_fork()4Strictly Private&ConfidentialStrictly Private&ConfidentialLinux的系统调用的系统调用编程接口，与编程接口，与POSIX兼容，兼容，C语言函数集合语言函数集合实现形式与实现形式与DOS的的INT 21H相似相似Linux使用使用int 80h函数名函数名“sys_xxx”比如系统调用比如系统调用fork的相应函数的相应函数sys_fork()系统调用号和系统调用表系统调用号和系统调用表系统调用都转换为系统调用都转换为Int 80h软中断软中断所有的

4、系统调用只有一个入口所有的系统调用只有一个入口system_call出口：出口：ret_from_sys_callLinux的系统调用编程接口，与POSIX兼容，C语言函数集5Strictly Private&ConfidentialStrictly Private&ConfidentialLinux内存管理内存管理在在i386机器上，每个进程有独立的机器上，每个进程有独立的4G虚存空间虚存空间内核的代码段和数据段被映射到内核的代码段和数据段被映射到3G以上的空间中以上的空间中用户态下的代码实际可申请的虚存空间为用户态下的代码实际可申请的虚存空间为0-3GB每每个个进进程程用用两两套套段段描描

5、述述符符来来访访问问内内存存，分分别别用用来来访访问问内内核核态态和和用用户户态态下下的的内内存存空间空间在在用用户户态态下下，代代码码不不可可能能访访问问3G以以上上的的地地址址空空间间，如如果果要要访访问问内内核核空空间间，必必须通过系统调用或者中断须通过系统调用或者中断Linux内存管理在i386机器上，每个进程有独立的4G虚存6Strictly Private&ConfidentialStrictly Private&ConfidentialLinux的模块机制的模块机制可动态装载的内核模块可动态装载的内核模块(lkm)一组命令：一组命令：insmod、rmmod、lsmod、modp

6、robe关于模块机制关于模块机制可以让核心保持比较小的尺寸可以让核心保持比较小的尺寸动态装载，避免重新启动动态装载，避免重新启动模块机制常常用于设备驱动模块机制常常用于设备驱动内核模块一旦加载之后，与原有的核心代码同等内核模块一旦加载之后，与原有的核心代码同等Linux的模块机制可动态装载的内核模块(lkm)7Strictly Private&ConfidentialStrictly Private&Confidentialinsmod装载模块装载模块Mod1-0 x1000Mod2-0 x2000 模块列表Mod1-0 x1000Mod2-0 x2000Mod2-0 x2000 模块列表找到

7、核心输出符号虚拟内存修改其未解析的核心例程和资源的引用地址 010010001.物理内存空间申请足够的空间来容纳新的核心模块每个模块必须包括初始化例程和注销例程系统核心系统核心将模块的初始化与注销例程地址传递给核心insmod装载模块Mod1-0 x1000模块列表Mo8Strictly Private&ConfidentialStrictly Private&ConfidentialLinux内核中的内核中的Rootkit通过通过LKM，可以在系统内核中插入木马模块，可以在系统内核中插入木马模块一个典型的以一个典型的以Linux 2.2.x为基础的为基础的rootkit knark使用使用i

8、nsmod knark.o就可以加载到内核中就可以加载到内核中还有其他的还有其他的ROOTKITS，比如，比如adore内核内核ROOTKITS的对策的对策根据每个根据每个rootkit的特征进行检测，然后设法删除的特征进行检测，然后设法删除预防为主，安装内核检测系统，比如预防为主，安装内核检测系统，比如LIDSLinux内核中的Rootkit通过LKM，可以在系统内核中9Strictly Private&ConfidentialStrictly Private&ConfidentialLinux安全问题安全问题缓冲区溢出缓冲区溢出-与各机构公布的风险列表密切相关与各机构公布的风险列表密切相关

9、内核的安全性内核的安全性附加软件的安全性附加软件的安全性Bind系统系统Mail系统系统FTP服务和服务和WWW服务服务X-Window系统系统NFS和和NIS系统系统Linux安全问题缓冲区溢出-与各机构公布的风险列表密切10Strictly Private&ConfidentialStrictly Private&Confidential账号管理账号管理账号管理11Strictly Private&ConfidentialStrictly Private&Confidential帐户管理帐户管理用户类型用户类型Root（uid=0，仅次于，仅次于RING0）普通用户普通用户(未设置密码和宿

10、主目录者除外未设置密码和宿主目录者除外)系统用户（用于标识进程身份和权限）系统用户（用于标识进程身份和权限）攻击者的目标：夺取攻击者的目标：夺取uid 或或 euid=0 帐户管理用户类型12Strictly Private&ConfidentialStrictly Private&ConfidentialUnix口令文件存储路径口令文件存储路径Linux /etc/shadow(/etc/passwd)SystemV Release 4.2/etc/security SystemV Release 4.0/etc/shadow SunOS 5.0/etc/shadow SCOUnix/tcb

11、/auth/files/OSF/1/etc/passwd HP-UX/.secure/etc/passwd BSD4.x/etc/master.passwd AIX3/etc/security/passwd IRIX5/etc/shadow Unix口令文件存储路径Linux /etc/shadow13Strictly Private&ConfidentialStrictly Private&Confidential为什么要用为什么要用shadow文件文件UNIX最最早早用用/etc/passwd存存储储密密码码散散列列，普普通通用用户户可可读读，可可以以使使用用John、Crack之类的工具

12、暴力破解，无安全性可言之类的工具暴力破解，无安全性可言Shadow单独存储密码单独存储密码hash，passwd文件只被用于进程读取当前的属主权限文件只被用于进程读取当前的属主权限为什么要用shadow文件UNIX最早用/etc/passw14Strictly Private&ConfidentialStrictly Private&Confidential帐号密码文件帐号密码文件xylon:x:501:501:Jacky:/home/zhuxg:/bin/bash用户名用户名密码密码位置位置UIDGID用户用户全名全名用户主目用户主目录录用户用户shell/etc/passwd和/etc/s

13、hadow(master.passwd)文件帐号密码文件xylon:x:501:501:Jacky:/h15Strictly Private&ConfidentialStrictly Private&Confidential解读解读/etc/shadow文件文件root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272用户名加密口令上一次修改的时间（从1970年1月1日起的天数）口令在两次修改间的最小天数离用户必须修改口令还剩下的天数 离系统提醒用户必须修改口令还剩下的天数 用户仍可修改口令还剩余的天数，否

14、则到期之后该账号将被禁止 从1970年1月1日起账号被禁用的天数保留字段 解读/etc/shadow文件root:$1$fgvCnqo16Strictly Private&ConfidentialStrictly Private&Confidential口令的加密算法口令的加密算法UNIX采用采用3种加密算法种加密算法头两字节为头两字节为$1表示表示MD5加密算法加密算法$2表示使用表示使用Blowfish加密算法加密算法其余为标准的其余为标准的DES加密算法加密算法口令的加密算法UNIX采用3种加密算法17Strictly Private&ConfidentialStrictly Priva

15、te&Confidential添加帐户添加帐户添加用户添加用户useradd/adduserrootwww/root#useradd-helpuseradd:invalid option-usage:useradd -u uid-o-g group-G group,.-d home-s shell-c comment-m-k template -f inactive-e expire -p passwd-n-r name useradd -D-g group-b base-s shell -f inactive-e expire rootwww/root#useradd u 1000 d/ho

16、me/test s/bin/sh test添加帐户添加用户18Strictly Private&ConfidentialStrictly Private&Confidential删除帐户删除帐户userdel/deluserUserdel -r namerootwww/root#userdel r testrootwww/root#ls l/home删除帐户userdel/deluser19Strictly Private&ConfidentialStrictly Private&Confidential管理帐号管理帐号查看当前用户名查看当前用户名rootwww/root#whoami更改用户

17、属性更改用户属性 usermodrootwww/root#usermod-helpusage:usermod -u uid-o-g group-G group,.-d home-m-s shell-c comment-l new_name -f inactive-e expire -p passwd-L|-U name管理帐号查看当前用户名20Strictly Private&ConfidentialStrictly Private&Confidential文件管理文件管理文件管理21Strictly Private&ConfidentialStrictly Private&Confident

18、ialLinux/Unix文件系统类型文件系统类型Ext2/ext3、UFS、JFSVFS抽抽象象层层文文件件系系统统，挂挂载载具具体体的的文文件件系系统统，lkm rootkit过过滤滤VFS相相关关的的系系统统调用调用文件类型文件类型常规文件：常规文件：ASCII文本，二进制数据，可执行文本，二进制数据，可执行binaryUNIX上的上的ABI：a.out,ELF文件格式文件格式目录：目录：包含一组文件的二进制可执行文件包含一组文件的二进制可执行文件特殊文件：特殊文件：/dev,/proc链接文件链接文件Sockets:进程间通讯使用的特殊文件进程间通讯使用的特殊文件Linux/Unix文

19、件系统类型Ext2/ext3、UFS、22Strictly Private&ConfidentialStrictly Private&Confidential文件类型文件类型由文件长模式显示的第一个字符决定由文件长模式显示的第一个字符决定“-”：普通文件：普通文件“d”：目录：目录“l”：符号链接：符号链接“s”：套接字：套接字显示文件属性：显示文件属性：lsattr文件类型由文件长模式显示的第一个字符决定23Strictly Private&ConfidentialStrictly Private&ConfidentialLinux文件权限文件权限-r w-r-r-文件类型(文件、目录、特殊

20、文件)拥有者访问权分组访问权其它用户访问权ls l 文件名文件名Linux文件权限-r w-r-r-文件24Strictly Private&ConfidentialStrictly Private&ConfidentialMask和和umask值值Mask和和umask相对应相对应对于文件对于文件 umask值值|文件权限文件权限=666对于目录对于目录 umask值值|目录权限目录权限=777Daemon守护进程通常需要对守护进程通常需要对”/”的完全访问权限的完全访问权限Mask和umask值Mask和umask相对应25Strictly Private&ConfidentialStri

21、ctly Private&Confidential文件管理文件管理添加添加/删除删除/移动文件和目录移动文件和目录touch、echo、vi、rm、mv更改文件权限更改文件权限chmod、chattr更改文件属主更改文件属主chown、chgrp文件管理添加/删除/移动文件和目录26Strictly Private&ConfidentialStrictly Private&Confidential设置设置SUID/SGID和和Sticky-bit设置设置SUID/SGID程序程序利用利用chmod 典型文件如典型文件如/bin/passwdSGID通常设置在某个目录上通常设置在某个目录上Chm

22、od 1755 和和dos的的TSR程序一样常驻内存程序一样常驻内存设置粘置位设置粘置位典型目录如典型目录如/tmp粘置位可防止误删、误修改或破坏用户文件粘置位可防止误删、误修改或破坏用户文件设置SUID/SGID和Sticky-bit设置SUID/S27Strictly Private&ConfidentialStrictly Private&Confidential进程的权限进程的权限如如果果mysqld文文件件的的属属主主是是root，那那么么mysql服服务务被被远远程程溢溢出出后后攻攻击击者者将将得得到到root shell，假设，假设apache存在远程溢出，攻击者只能得到存在远程

23、溢出，攻击者只能得到nobody shellRedhat9.0以以前前版版本本的的ping程程序序有有suid位位，假假设设该该命命令令的的可可执执行行文文件件存存在在缓缓冲冲区溢出，那么本地攻击者可以获得区溢出，那么本地攻击者可以获得root shell进程的权限如果mysqld文件的属主是root，那么mysq28Strictly Private&ConfidentialStrictly Private&Confidential进程运行时的权限变化进程运行时的权限变化Suid文文件件改改变变了了文文件件运运行行时时的的进进程程属属主主，通通常常是是更更高高的的root权权限限，进进程程结结

24、束束时时返返回回原原来来相相对对较较低低的的权权限限，这这样样普普通通用用户户可可以以享享受受到到便便利利又又不不至至于于权权限限越越界界。这这里里引引入入了了另另一一个个值值euid,有有效效用用户户ID，表表征征进进程程运运行行时时的的实实际际权权限限，如如果果euid=0那那么么你你就就拥拥有有root权权限限，实实际际上上你你使使用用/bin/passwd更更改改自自己己密密码码的的瞬瞬间拥有间拥有root权限，但你却不能用它来做其它事权限，但你却不能用它来做其它事该特性被黑客利用该特性被黑客利用进程运行时的权限变化Suid文件改变了文件运行时的进程属主，29Strictly Priv

25、ate&ConfidentialStrictly Private&ConfidentialUnix系统安全配置与优化系统安全配置与优化Unix系统安全配置与优化30Strictly Private&ConfidentialStrictly Private&Confidential安装系统补丁安装系统补丁SolarisShowrev p 显示系统补丁显示系统补丁Patchadd 安装系统补丁安装系统补丁LinuxRHN updateRpm-UvhSrc recompile安装系统补丁Solaris31Strictly Private&ConfidentialStrictly Private&Co

26、nfidentialSolaris基本安全配置基本安全配置设置一个尽可能复杂的设置一个尽可能复杂的root口令口令设置默认路由设置默认路由/etc/defaultrouter设置设置dns/etc/resolv.conf设置设置/etc/nsswitch.conf Host:files dns会话劫持的可能性（会话劫持的可能性（session hijack）Solaris基本安全配置设置一个尽可能复杂的root口令32Strictly Private&ConfidentialStrictly Private&Confidential系统启动服务清理系统启动服务清理清理清理/etc/rc2.d值

27、得注意的值得注意的nfs.*S71RPC清理清理/etc/rc3.dSNMP使用的选择使用的选择SNMP配置配置清理清理/etc/init.d/inetsvc禁止禁止in.namedInetd s t启动启动(记录会话连接的记录会话连接的IP、端口、端口)禁止禁止multicast系统启动服务清理清理/etc/rc2.d33Strictly Private&ConfidentialStrictly Private&Confidential系统启动服务清理系统启动服务清理清理清理/etc/inetd.conf 服务服务所有的所有的TCP/UDP服务服务所有的调试服务所有的调试服务所以的所以的R服

28、务服务几乎所有的几乎所有的RPC服务服务使用必要的工具替换使用必要的工具替换telnet,ftp必要的时候可以完全禁止必要的时候可以完全禁止inetd或用或用xinetd替换替换系统启动服务清理清理/etc/inetd.conf 服务34Strictly Private&ConfidentialStrictly Private&Confidentialndd 使用使用帮助帮助ndd /dev/arp?(icmp,tcp,udp,ip)查询查询ndd /dev/arp arp_cleanup_interval 设置设置ndd -set/dev/arp arp_cleanup_interval 6

29、0000ndd 使用帮助35Strictly Private&ConfidentialStrictly Private&Confidential启动网络参数设定启动网络参数设定设置设置/etc/init.d/inetinit ndd-set/dev/tcp tcp_conn_req_max_q0 10240ndd-set/dev/ip ip_ignore_redirect 1ndd-set/dev/ip ip_send_redirects 0ndd-set/dev/ip ip_ire_flush_interval 60000ndd-set/dev/arp arp_cleanup_interva

30、l 60ndd-set/dev/ip ip_forward_directed_broadcasts 0ndd-set/dev/ip ip_forward_src_routed 0ndd-set/dev/ip ip_forwarding 0(或或/etc/notrouter)ndd-set/dev/ip ip_strict_dst_multihoming 1启动网络参数设定设置/etc/init.d/inetinit36Strictly Private&ConfidentialStrictly Private&ConfidentialARP攻击防止攻击防止减少过期时间减少过期时间#ndd set

31、/dev/arp arp_cleanup_interval 60000#ndd -set/dev/ip ip_ire_flush_interval 60000静态静态ARParp f filename禁止禁止ARPifconfig interface arp ARP攻击防止减少过期时间37Strictly Private&ConfidentialStrictly Private&ConfidentialIP优化优化关闭关闭ip转发转发ndd set/dev/ip ip_forwarding 0 转发包广播转发包广播由于在转发状态下默认是允许的，为了防止被用来实施由于在转发状态下默认是允许的，为

32、了防止被用来实施 smurf攻击，关闭这一特性。攻击，关闭这一特性。(参见参见cert-98.01)#ndd set/dev/ip ip-forward_directed_broadcasts 0源路由转发，所以我们必须手动关闭它源路由转发，所以我们必须手动关闭它ndd set/dev/ip ip_forward_src_routed 0IP优化关闭ip转发38Strictly Private&ConfidentialStrictly Private&ConfidentialICMP优化优化关闭对关闭对echo广播的响应广播的响应ndd set/dev/ip ip_respond_to_ech

33、o_boadcast 0响应时间戳广播响应时间戳广播#ndd set/dev/ip ip_respond_to_timestamp_broadcast 0 地址掩码广播地址掩码广播#ndd set/dev/ip ip_respind_to_address_mask_broadcast 0ICMP优化关闭对echo广播的响应39Strictly Private&ConfidentialStrictly Private&ConfidentialICMP优化优化 接受重定向错误接受重定向错误#ndd set/dev/ip ip_ignore_redirect 1 响应时间戳广播响应时间戳广播发送重定

34、向错误报文发送重定向错误报文ndd set/dev/ip ip_send_redirects 0 时间戳响应时间戳响应#ndd set/dev/ip ip_respond_to_timestamp 0注意：注意：Rdata（同步时钟）可能无法正常（同步时钟）可能无法正常ICMP优化 接受重定向错误40Strictly Private&ConfidentialStrictly Private&ConfidentialTCP优化优化Synfloodndd set/dev/tcp tcp_conn_req_max_q0 4096默认值是默认值是1024连接耗尽攻击连接耗尽攻击ndd set/dev/

35、tcp tcp_conn_req_max_q 1024默认值是默认值是128增加私有端口增加私有端口ndd/dev/tcp tcp_extra_priv_ports 2049 4045要要注注意意的的是是，不不要要随随便便定定义义私私有有端端口口，因因为为有有些些非非根根权权限限的的进进程程会会使使用用这这些些端端口口。特特别别是是改改变最小非私有端口这个参数，经常会引起问题变最小非私有端口这个参数，经常会引起问题TCP优化Synflood41Strictly Private&ConfidentialStrictly Private&Confidential文件系统配置文件系统配置删除删除NF

36、S的相关配置的相关配置/etc/auto_*/etc/dfs/dfstabMount文件系统的设置文件系统的设置/etc/vfstab/usr mount ro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usr ufs 1 no roOther mount nosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/var ufs 1 no nosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/local ufs 2 yes nosuid可能的话可能的话 mount/nosuid文件系统配置删除NFS的相关配置4

37、2Strictly Private&ConfidentialStrictly Private&Confidential文件系统配置文件系统配置寻找系统所有的寻找系统所有的suid程序程序Find /-type f (-perm -4000)|xargs ls a调整文件系统的权限调整文件系统的权限/usr/sbin/var/log/etc文件系统配置寻找系统所有的suid程序43Strictly Private&ConfidentialStrictly Private&Confidential日志系统配置日志系统配置/etc/syslog.conf增加的日志记录增加的日志记录auth.info

38、/var/log/authlog输出到输出到loghost输出到打印机输出到打印机增加对增加对su和和crontab的日志记录的日志记录/etc/default/cron/etc/default/su日志系统配置/etc/syslog.conf44Strictly Private&ConfidentialStrictly Private&Confidential日志系统配置日志系统配置syslog.conf的格式如下的格式如下设备设备.行为级别行为级别；设备；设备.行为级别行为级别 记录行为记录行为注意各栏之间用注意各栏之间用Tab来分隔，用空格是无效的。来分隔，用空格是无效的。如如*.err

39、;daemon.notice;mail.crit /var/adm/messages日志系统配置syslog.conf的格式如下45Strictly Private&ConfidentialStrictly Private&Confidential日志系统配置日志系统配置-设备设备auth 认证系统认证系统,由由login、su和和getty产生产生cron 系统定时系统执行定时任务时发出的信息系统定时系统执行定时任务时发出的信息daemon 守护程序的守护程序的syslog,如由如由in.ftpd产生的产生的logkern 内核的内核的syslog信息信息lpr 打印机的打印机的syslog

40、信息信息mail 由由syslog自己产生，为日志盖上时间戳自己产生，为日志盖上时间戳mark 定时发送消息的时标程序定时发送消息的时标程序news 新闻系统的新闻系统的syslog信息信息*:代表以上各种设备代表以上各种设备日志系统配置-设备auth 认证系统,由login、su和46Strictly Private&ConfidentialStrictly Private&Confidential日志系统配置日志系统配置-行为级别行为级别行为级别描述（危险程度递增）行为级别描述（危险程度递增）debug 程序的调试信息程序的调试信息info 报告性消息报告性消息notice 需要以后注意的

41、通知需要以后注意的通知warning 警告信息警告信息err 其它系统错误其它系统错误crit 危险的系统状态，如硬件或软件无效危险的系统状态，如硬件或软件无效alert 应该立即被纠正的情况应该立即被纠正的情况emerg 最严重的消息，如立即关闭系统最严重的消息，如立即关闭系统none 指定的服务程序未给所选择的指定的服务程序未给所选择的日志系统配置-行为级别行为级别描述（危险程度递增）47Strictly Private&ConfidentialStrictly Private&Confidential日志系统配置日志系统配置-特殊特殊配置配置loghostloghost日志输出到打印机日

42、志输出到打印机把打印机连接到终端端口把打印机连接到终端端口/dev/ttya上，在上，在/etc/syslog.conf中加入配置语句中加入配置语句auth.notice/dev/ttya日志系统配置-特殊配置loghost48Strictly Private&ConfidentialStrictly Private&Confidential帐户清理与设置帐户清理与设置userdel/passmgmt (uucp,listen,lp,smtp,adm)/etc/default/login的设置的设置禁止非禁止非console root登陆登陆登陆超时登陆超时登陆掩码设置登陆掩码设置/etc/d

43、efualt/passwd密码长度，过期等密码长度，过期等帐户清理与设置userdel/passmgmt (uucp49Strictly Private&ConfidentialStrictly Private&Confidential使用使用ASETThe Automated Security Enhancement Tool自动安全增强工具自动安全增强工具系统文件访问权的证实系统文件访问权的证实系统文件的检查系统文件的检查用户用户/组的检查组的检查系统配置文件检查系统配置文件检查环境变量检查环境变量检查Eeprom检查检查防火墙的设置防火墙的设置使用ASETThe Automated Se

44、curity E50Strictly Private&ConfidentialStrictly Private&ConfidentialLinux高级安全技巧高级安全技巧普通的安全加固普通的安全加固治标不治本治标不治本被动防御被动防御无法阻止高级入侵者无法阻止高级入侵者高级安全防御高级安全防御攻击免疫攻击免疫易用性降低易用性降低对实施者要求较高对实施者要求较高Linux高级安全技巧普通的安全加固51Strictly Private&ConfidentialStrictly Private&Confidential攻击免疫新概念攻击免疫新概念即使存在漏洞，缓冲区溢出无效即使存在漏洞，缓冲区溢出无

45、效即使存在即使存在SQL注入，无法利用注入，无法利用即使缓冲区溢出成功，无法得到即使缓冲区溢出成功，无法得到shell即使得到即使得到root权限，仍然无法更改系统设置权限，仍然无法更改系统设置攻击免疫新概念即使存在漏洞，缓冲区溢出无效52Strictly Private&ConfidentialStrictly Private&ConfidentialLinux极限安全架构极限安全架构Apache/ProFTP/MySQL chroot环境运行环境运行修改或隐藏所有修改或隐藏所有daemon的的banner，OS fingerprint伪装伪装动态脚本使用动态脚本使用Apache的的mod-security模块模块Iptables限制反向限制反向TCP连接，过滤连接，过滤UDP、ICMPAnti-缓冲区溢出内核补丁缓冲区溢出内核补丁内核内核MAC（Mandatory Access Control）Linux极限安全架构Apache/ProFTP/MySQL53Strictly Private&ConfidentialStrictly Private&ConfidentialQ&A感谢聆听！感谢聆听！Thank you for attending！Q&A感谢聆听！