Linux网关及安全应用.pptVIP

课程目标 针对Linux服务器操作系统进行常规安全加固 通过部署防火墙、代理等应用构建Linux网关系统 检测服务器的安全漏洞，实施远程访问控制 监测服务器运行性能、局域网主机的网络流量 课程结构 技能展示 会加强用户帐号安全的常见措施 会加强文件系统安全的常见措施 会加强系统引导和登录安全的常见措施 本章结构 用户帐号安全优化 帐号安全基本措施 删除不使用的帐号、禁用暂时不使用的帐号 检查程序用户的登录Shell是否异常 强制用户定期修改密码（设置密码有效期） /etc/login.defs文件、chage命令 增强普通用户的密码强度 /etc/pam.d/system-auth文件中的minlen参数 减少记录命令历史的条数 环境变量 HISTSIZE 设置在命令行界面中超时自动注销 环境变量 TMOUT 使用su切换用户身份 su命令 用途：Substitute User，切换为新的替换用户身份 格式：su [-] [用户名] 使用su切换用户身份 应用示例： 仅允许zhangsan用户使用su命令切换身份 使用sudo提升执行权限 sudo机制 用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户 格式：sudo [-u 用户名] 命令操作 使用sudo提升执行权限 配置文件：/etc/sudoers 授权哪些用户可以通过sudo方式执行哪些命令 以下2种方法都可以编辑sudoers文件 visudo vi /etc/sudoers 使用sudo提升执行权限 在sudoers文件中的基本配置格式 用户 主机名列表=命令程序列表 使用sudo提升执行权限 应用示例1： 需求描述： 允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令 授权wheel组的用户不需验证密码即可执行所有命令 为sudo机制增加日志功能 使用sudo提升执行权限 应用示例1（续）： 测试sudo配置的效果 查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 重新校验密码（-v） 使用sudo提升执行权限 为sudo配置项定义别名 关键字：User_Alias、Host_Alias、Cmnd_Alias 在sudo配置行中，可以调用已经定义的别名 使用sudo提升执行权限 应用示例2： 设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号 推荐步骤： 创建管理组帐号“managers” 将管理员帐号（如zhangsan、lisi）加入到managers组 配置sudo文件，针对managers组放开对useradd、userdel等用户管理命令的权限 使用zhangsan帐号登录后，验证是否可以添加、删除用户 小结 请思考： 如何使系统用户定期（如3个月）修改密码？ 使用su命令时，是否带“-”选项有何区别 ？ sudo配置记录的基本格式是什么？ 如何通过sudo调用被授权执行的命令？ 文件系统级安全控制 合理规划系统分区 /boot、/home、/var、/opt 等建议单独分区 文件系统（分区）的挂载选项 mount命令的 -o nosuid、-o noexec 选项 锁定文件的i节点 chattr命令、lsattr命令 安全使用应用程序和服务 关闭不需要的系统服务 使用ntsysv、chkconfig管理工具 禁止普通用户执行init.d目录中的脚本 限制“other”组的权限 禁止普通用户执行控制台程序 consolehelper控制台助手 配置目录：/etc/security/console.apps/ 安全使用应用程序和服务 去除程序文件中非必需的set位权限 set uid、set gid的用途？有何隐患？ 如何找出设置了set位权限的文件? 安全使用应用程序和服务 应用示例： 监控系统中新增了哪些使用set位权限的文件 推荐步骤： 建立系统正常状态下的suid/sgid文件列表 查找当前系统中所有的suid/sgid文件列表 比较前后结果，输出新增加的内容 编写脚本文件实现比对功能 可以结合cron设置计划任务定期进行检查 开关机安全控制 服务器的物理安全控制 调整BIOS引导设置 修改启动顺序 设置管理密码 禁用Ctrl+Alt+Del重启热键 修改/etc/inittab文件，并执行“init q”重载配置 GRUB引导菜单加密 加密引导菜单的作用 修改启动参数时需要验证密码 进入所选择的系统前需要验证密码 在grub.conf文件中设置密码的方式 password 明