Red Hat Linux 9系统管理(第二版) 作者 978-7-302-14776-3 CH25.PPTVIP

第25章 Linux系统安全配置 教学目标 本章主要详细介绍了Linux系统的安全配置，内容包括GRUB及LILO的安全配置，重要系统文件的安全设置，系统开启服务的安全，连接服务器时的注意事项，系统端口安全，系统日志文件安全等 教学重点 掌握GRUB及LILO的安全配置 熟悉和掌握重要系统文件的安全设置 了解和熟悉系统开启服务的安全 了解和熟悉系统端口安全 掌握系统日志文件安全 教学过程 GRUB及LILO的安全配置 重要系统文件的安全设置 系统开启服务的安全 系统端口安全 系统日志文件安全 Linux系统安全简介 Linux系统的安全技术涉及很多方面，例如BIOS设定、开关机、系统账号及口令、重要文件设定和防火墙设置等 25.1 GRUB与LILO安全设置 LILO是Linux LOader的缩写，它是LINUX的启动模块。可以通过修改/etc/lilo.conf.anaconda文件中的内容来进行配置，在/etc/lilo.conf.anaconda文件中的image前面加入两个参数reDisableded和password，这两个参数可以使用户的系统在启动LILO时就要求密码验证 用gedit文本编辑器打开/etc/grub.conf文件，加入或修改reDisableded和password参数 25.2 账号安全设置 口令是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获口令或者猜测口令等口令攻击开始的，所以首先应该对账号和口令的安全进行设置 设置默认口令和账号的长度及有效期 清除不设口令的账号 特别账号处理 25. 3 重要系统文件的安全设置 权限与文件系统 设置自动注销账号的登录 禁止外来ping请求，防止被攻击 设置文件/etc/host.conf，防止IP欺骗 禁止任何人su作为root 禁止使用 Contral+Alt+Delete 重启机器 截短以前使用的命令列表 25.4 系统开启服务的安全 /etc/services文件制定了/usr/sbin/inetd将要监听的服务，如果有些服务如shell、telnet、login、exec、talk、ntalk、imap、pop-2、pop-3、finger和auth等用户暂时不使用，就需要把它们关闭 用命令方式检查和关闭开启的服务 直接修改脚本文件 ：要在启动时禁止某个服务，只需要把大写的“S”替换为小写的“s” 25.5 连接服务器时的安全事项 传统的工具主要是telnet，但telnet非常不安全，基本上不推荐使用 可使用的工具如PuTTY、ScureCRT等 penssh把用户和防火墙之间的通信全部进行了加密，而tcp wrappers没有做到加密这一点，虽然现在先进的sniffer技术也可以探测到ssh的数据包，但它依然还是最安全的 尽量使用IP 首先通过/etc/hosts.deny禁止来自任何地方对所有服务的访问：ALL:ALL，然后在/etc/hosts.allow中添加要授权的机器及服务。冒号左边为服务，冒号右边为授权机器 25.6 系统端口安全 端口分类 公认端口(Well Known Ports)：从0到1023 注册端口(Registered Ports)：从1024到49151 动态和/或私有端口(Dynamic and/or Private Ports)：从49152到65535 易受攻击的端口 25.7 日志文件的安全 在Linux系统中，有3个主要的日志子系统 连接时间日志 进程统计 错误日志 重要的日志文件有utmp、wtmp和lastlog，都在/var/log文件夹中 进程统计 日志文件的安全 * Red Hat Linux 9系统管理(第二版) 清华大学出版社 Red Hat Linux 9系统管理(第二版) 清华大学出版社 教学目标 教学重点 教学过程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： * * * Red Hat Linux 9系统管理(第二版) 清华大学出版社