Red Hat Enterprise Linux系统管理 作者 978-7-302-30449-4 ch21.pptVIP

第21章 系统安全管理 教学目标 本章主要详细介绍了Red Hat Enterprise Linux 6系统的安全配置。内容包括GRUB及LILO的安全配置、重要系统文件的安全设置、系统开启服务的安全、连接服务器时的注意事项、系统端口安全、系统日志文件安全等。通过本章的学习，读者可配置一个高可靠性和稳定性的Red Hat Enterprise Linux 6操作系统。 教学重点 掌握GRUB及LILO的安全配置 熟悉和掌握重要系统文件的安全设置 了解和熟悉系统开启服务的安全 了解和熟悉系统端口安全 掌握系统日志文件安全 教学过程 GRUB及LILO的安全配置 重要系统文件的安全设置 系统开启服务的安全 系统端口安全 系统日志文件安全 21.1 设置GRUB与LILO安全性 LILO是Linux LOader的缩写，它是LINUX的启动模块。可以通过修改/etc/lilo.conf.anaconda文件中的内容来进行配置，在/etc/lilo.conf.anaconda文件中的image前面加入两个参数reDisableded和password，这两个参数可以使用户的系统在启动LILO时就要求密码验证 用gedit文本编辑器打开/etc/grub.conf文件，加入或修改reDisableded和password参数 21.2 设置账号安全 口令是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获口令或者猜测口令等口令攻击开始的，所以首先应该对账号和口令的安全进行设置 设置默认口令和账号的长度及有效期 清除不设口令的账号 特别账号处理 21. 3 设置重要系统文件的安全性 权限与文件系统 设置自动注销账号的登录 禁止外来ping请求，防止被攻击 设置文件/etc/host.conf，防止IP欺骗 禁止任何人su作为root 禁止使用 Contral+Alt+Delete 重启机器 截短以前使用的命令列表 21.4 系统服务的安全管理 /etc/services文件制定了/usr/sbin/inetd将要监听的服务，如果有些服务如shell、telnet、login、exec、talk、ntalk、imap、pop-2、pop-3、finger和auth等用户暂时不使用，就需要把它们关闭 用命令方式检查和关闭开启的服务 直接修改脚本文件 ：要在启动时禁止某个服务，只需要把大写的“S”替换为小写的“s” 使用“服务配置”工具设置系统服务安全 21.5 远程连接服务器时的安全事项 传统的工具主要是telnet，但telnet非常不安全，基本上不推荐使用 可使用的工具如PuTTY、ScureCRT等 penssh把用户和防火墙之间的通信全部进行了加密，而tcp wrappers没有做到加密这一点，虽然现在先进的sniffer技术也可以探测到ssh的数据包，但它依然还是最安全的 尽量使用IP 首先通过/etc/hosts.deny禁止来自任何地方对所有服务的访问：ALL:ALL，然后在/etc/hosts.allow中添加要授权的机器及服务。冒号左边为服务，冒号右边为授权机器 21.6 系统端口管理 端口分类 公认端口(Well Known Ports)：从0到1023 注册端口(Registered Ports)：从1024到49151 动态和/或私有端口(Dynamic and/or Private Ports)：从49152到65535 易受攻击的端口 在/etc/services文件中，关闭其服务；另外还可使用Linux自带的防火墙关闭端口。 21.7 设置系统日志文件的安全性 关注Linux下的日志子系统，在Linux系统中，有3个主要的日志子系统 连接时间日志 进程统计 错误日志 重要的日志文件有utmp、wtmp和lastlog，都在/var/log文件夹中 21.8 防火墙应用 在Red Hat Enterprise Linux 6中，防火墙的功能得到了极大的改进，功能强大，操作便捷直观。选择“系统”|“管理”|“防火墙”命令，系统将打开“防火墙配置”窗口 ，该该窗口左侧的栏目中，有“可信的服务”、“其它端口”、“可信接口”、“伪装(Masquerading)”、“端口转发”、“iCMP过滤器”和“定制规则”选项可供系统管理员进行安全设置，在某种程度上来说，相当于一个小型的硬件防火墙的功能。 * Red Hat Enterprise Linux 6系统管理 清华大学出版社 Red Hat Enterprise Linux 6系统管理 清华大学出版社