2015版-CISP0205操作系统安全_v3.0探究.ppt

账号和口令安全——口令安全策略 口令安全策略 要求使用安全口令 口令长度、字符要求 口令修改策略 强制口令使用有效期 设置口令修改提醒 设置账户锁定登录失败锁定次数、锁定时间 * vi?/etc/login.def? PASS_MAX_DAYS 90? PASS_MIN_DAYS 7? PASS_MIN_LEN? 6? PASS_WARN_AGE 28 Linux设置——系统服务配置 禁止危险的网络服务 telnet、FTP echo、chargen、shell、finger、NFS、RPC等 关闭非必需的网络服务 talk、ntalk等 确保最新版本 使用当前最新和最安全的版本的服务软件 * 关闭邮件服务：chkconfig --level 12345 sendmail off 关闭图形登录服务：编辑/etc/inittab文件，修改为id:3:initdefault: 关闭X font服务：chkconfig xfs off Linux设置——远程登录安全 禁用telnet,使用SSH进行管理 限制能够登录本机的IP地址 禁止root用户远程登陆 限定信任主机 修改banner信息 * 远程登录安全——使用SSH/限制登录IP 禁用telnet,使用SSH进行管理 开启ssh服务：#service sshd start 限制能够登录本机的IP地址 #vi /etc/ssh/sshd_config 添加（或修改）： AllowUsers xyz@3 允许用户xyz通过地址3来登录本机 AllowUsers *@192.168.*.* 仅允许/16网段所有用户通过ssh访问。 * 远程登录安全——禁止root/限定信任主机 禁止root用户远程登陆 #cat /etc/ssh/sshd_config 确保PermitRootLogin为no 限定信任主机 #cat /etc/hosts.equiv #cat /$HOME/.rhosts 查看上述两个文件中的主机，删除其中不必要的主机，防止存在多余的信任主机 或直接关闭所有R系列远程服务 rlogin rsh rexec * 远程登录安全——修改banner信息 系统banner信息 一般会给出操作系统名称、版本号、主机名称等 修改banner信息 查看修改sshd_config #vi /etc/ssh/sshd_config 如存在，则将banner字段设置为NONE 查看修改motd： #vi /etc/motd 该处内容将作为banner信息显示给登录用户。查看该文件内容，删除其中的内容，或更新成自己想要添加的内容 * Linux设置——文件和目录安全 设置文件目录权限 设置默认umask值 检查SUID/SGID文件 * 文件和目录安全——设置文件目录权限 保护重要的文件目录，限制用户访问 设置文件的属主和属性以进行保护 极其重要的文件或目录可以设置为不可改变属性 chattr?+i?/etc/passwd 临时文件不应该有执行权限 * 常见文件权限及属性的操作命令： chmod、chown、chattr 文件和目录安全——设置默认umask值 设置新创建文件的默认权限掩码 可以根据要求设置新文件的默认访问权限，如仅允许文件属主访问，不允许其他人访问 umask设置的是权限“补码” 设置方法 使用umask命令 如 #umask 066 编辑/etc/profile文件，设置umask值 * 文件和目录安全——检查SUID/SGID文件 SUID/SGID的程序在运行时，将有效用户ID改变为该程序的所有者(组)ID。因而可能存在一定的安全隐患 找出系统中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下： 查找SUID可执行程序 #?find?/?-perm?-4000?-user?0?–ls? 查找SGID程序 #?find?/?-perm?-2000?-user?0?–ls? * Linux设置——系统日志配置（1） * 保护日志文件 审查日志中不正常情况 非常规时间登录 日志残缺 Su的使用 服务的启动情况 …… Linux设置——系统日志配置（2） 启用syslog服务 配置日志存储策略 打开/etc/logrotate.d/syslog文件，检查其对日志存储空间的大小和时间的设置 使用syslog设备 Syslog.conf设置 使用syslog日志服务器 * Linux设置——使用安全软件 启用主机防火墙 使用最新版本安全软件 * 使用安全软件——使用主机防火墙（1） * Linux下的防火墙框架iptables 包过滤 NAT 数据包处理 Iptables基本规则