通过本次讲座将了解内容.pptVIP

通过本次讲座将了解内容： 1 Linux是什么？ 1 Linux 系统结构 2 面临的安全风险 2. 系统的安全威胁 安全威胁 BOF 配置不当 管理不当 权力滥用 无管理意识 无管理制度 3 Linux安全模型 4.安全管理和配置 总的原则 基本安全配置 网络安全应用 密码和鉴别相关应用 系统监控和完整性应用 资源限制工具 4.1 总的原则 . 安全策略 * 怎么定义保密的和敏感的信息？ * 想重点防范哪些人？ * 远程用户有必要访问系统吗？ * 系统中有保密的或敏感的信息吗？ * 如果这些信息被泄露给你的竞争者和外面的人有什么后果？ * 口令和加密能够提供足够的保护吗？ * 能访问Internet吗？ * 允许系统在Internet上有多大的访问量？ * 如果发现系统被黑客入侵了，下一步该怎么做？ 4.1 总的原则 Linux的安全性取决于系统管理员如何对系统进行裁减和配置 尽量隐藏系统信息，让外界尽量少的知道您的系统的信息（提供了哪些服务、拥有多少用户及用户名、使用的软件版本、谁在管理系统、何时管理系统等） 4.2 基本安全 机房物理安全 门禁系统 规章制度 BIOS安全 设置boot口令 禁止软盘启动 4.2 基本安全 用户口令安全 没有不可破的口令（穷举法） 统计意义的口令集（规则变换和字典攻击） 口令需要有长度和难度（6－8个字符，大小写、数字混合） 口令需要更换（定期、不定期修改口令） Root用户安全 设置登录超时 管理好该帐户 4.2 基本安全 检查/etc/exports文件 网络文件系统的配置文件，确认可访问的主机、用户及其读写执行等权限 禁止Control_Alt_Delete关机 修改/etc/inittab注释掉： #ca::ctrldaltdel:/sbin/shutdown -t3 -r now 4.2 基本安全 单用户的安全(增加登录口令） 修改/etc/inittab Id:3:initdefault:——》 id:3:initdefault: ~~:S:wait:/sbin/sulogin /sbin/init -q 增强lilo安全 1，timeout=xxx 2，restricted 3，password=xxxx 4，chattr +i /etc/lilo.conf 4.2 基本安全 检查/etc/xinetd.conf文件和/etc/services文件 将不需要的服务关掉（如finger、tftp等） 在登陆系统时，不显示系统发行信息 修改/etc/inetd.conf文件 telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h 将文件属性该为不可修改 chattr +i 4.2 基本安全 使用tcp_wrappers（在/etc/inetd.conf中配置各种服务通过tcpd启动） 配置tcp_wrappers允许和禁止文件/etc/hosts.allow、/etc/hosts.deny，指明允许访问本机的主机和禁止访问本机的主机 4.2 基本安全 禁止对ping请求响应 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 加入/etc/rc.d/rc.local中，以后会自动生效 4.2 基本安全 配置/etc/host.conf文件 配置域名解析顺序order bind,hosts 打开对ip欺骗的检查nospoof on 配置/etc/securetty文件 编写允许root登录的终端（tty），防止用root远程登录 4.2 基本安全 对特殊帐户的处理 删除所有对系统无用的发行商的帐户（如adm、lp、uucp、gopher等）及其相应的组 重要文件改为不可修改/etc/passwd、/etc/shadow、/etc/group、/etc/gshaodw Mount文件系统增加更多的控制 修改/etc/fstab文件（比如nosuid，nodev，noexec等参数） 4.2 基本安全 查找SUID/SGID文件 find / -type f \{ -perm –04000 –o –perm –02000 \} –exec ls –l {} \; 查找无主文件 find / -nouser –o -nogroup 查找.rhosts文件 find /home –name .rhosts 4.3 网络安全应用 包过滤防火墙 Iptables Masquerading Forwarding 应用代理 Squid VPN FreeS/WAN 4.4 密码和鉴别相关应用 PAM GnuPG OpenSSL