第14章__Linux系统安全(免费阅读).pptVIP

第14章 Linux系统安全 据预计，2009年全球互联网用户的数量将会超过10亿，可以说，互联网与人们日常生活的联系正变得越来越密切。但与此同时，计算机犯罪和计算机恐怖主义也在不断地泛滥，各种网络攻击手段以及病毒层出不穷。为了保障企业和个人的重要信息及数据的安全，网络安全正受到越来越多人的关注，而作为系统管理员，做好系统的安全防范工作非常重要。本章将介绍黑客的常用攻击手段以及在Linux系统中的防范措施，并重点介绍一些安全工具的配置及使用。 14.1 用户账号和密码安全 针对用户账号和密码的攻击是黑客入侵系统的主要手段之一。一个使用了弱密码（容易猜测或破解的密码）或设置了不适当权限的用户账号，将给系统留下重大的安全隐患，入侵者可以通过这些用户账号进入系统并进行权限扩张。所以，管理员应采取必要的技术手段强制用户使用强壮密码并定期更改，定期检查系统中的所有用户账号，删除或禁止不必要的用户、检查超级用户的唯一性等，保证系统用户账号和密码的安全。 14.1.1 删除或禁用不必要的用户 管理员应定期检查/etc/passwd文件，以查看主机上启用的用户。对于系统中已经不再使用的用户，应及时将他们清除。许多服务会在安装过程中在系统上创建专门的执行用户，比如ftp、news、postfix、apache、squid等。这类用户一般只是作为服务的执行者，而无需登录操作系统，因此往往会被管理员所忽略。为了防止这一类用户账号被黑客和恶意破坏者利用作为入侵服务器的跳板，可以采用如下方法禁止这些用户登录操作系统。 1．锁定用户 2．更改用户的Shell 14.1.2 使用强壮的用户密码 密码安全是用户安全管理的基础和核心。但是为了方便，很多用户只是设置了非常简单的密码甚至使用空密码，而入侵者往往利用一些密码破解工具轻松地破解这些薄弱的密码获得用户的访问权限，从而进行系统。用户可以使用以下命令检查系统中使用空密码的用户账号。 # cat /etc/shadow | awk -F: length($2)1 {print $1} guest // guest和kelly用户的口令为空 kelly 14.1.3 设置合适的密码策略 随着计算机处理能力的提高，利用暴力破解程序猜测用户密码所需要的时间已经大大地缩短。所以仅仅为用户设置强壮的密码是不够的，用户还应该定期更改自己的密码。但是在实际工作中，很多用户往往由于各种主观的原因延迟甚至拒绝更改密码，从而为系统留下了严重的安全隐患。为此，系统管理员可以使用Red Hat Linux 5.2中提供的强制更改密码机制，为系统中的用户设置合适的密码更改策略，强制用户更改自己的密码。使用change命令可以管理和查看用户密码的有效期，其命令格式如下： chage [options] user 14.1.4 破解shadow口令文件 保护好主机上的/etc/shadow文件也是非常重要。shadow文件中的用户密码信息虽然经过加密保存，但如果这些经过加密后信息被入侵者获得，他们就可以通过一些密码破解程序来破解密码散列。John the Ripper就是这样的一个密码破解程序，该程序的源代码可以从“/john/”下载，其最新版本为，源代码安装包文件名为john-.tar.gz，安装步骤如下所示。 （1）解压源代码安装包文件。 （2）进入解压后的src目录，执行如下命令编译John the Ripper。 14.1.5 禁用静止用户 长时间不使用的用户账号是一个潜在的安全漏洞，这些用户可能是属于某个已经离开公司的员工，又或者是某些程序被卸载后留下来的用户，因此现在没人使用该用户。如果这些用户账号被入侵或者是文件被篡改，那么可能在很长一段时间内都不会被发现。因此，为用户设置一个静止阀值是一种比较好的解决方法。在Red Hat Linux中可以使用带“-f”选项的usermod命令来完成这个功能。例如要设置用户sam如果超过10天没有登录系统，则自动禁用该用户，可执行如下命令： # usermod -f 10 sam 如果要取消该功能，则设置值为-1，如下所示。 # usermod -f -1 sam 14.1.6 保证只有一个root用户 root用户是Linux系统的超级用户，拥有系统中最高的权限。默认安装后，Linux系统只会有一个root超级用户。但是，正如第6章中所介绍的，Linux系统是以用户的UID来区分用户，而不是用户名，所以可以通过把一个普通用户的UID更改为0（root用户的UID），即可使该普通用户变为超级用户。例如，下面例子的/etc/passwd文件中，root用户和sam用户都拥有超级用户的操作权限，它们可以在系统中执行任何命令。 root:x:0:0:root:/r