UNIX安全技术解说.ppt

UNIX安全技术 信息安全技术培训教材之四 提纲 系统安全配置 文件系统安全性 常见服务的安全配置 系统安全配置 Linux账号安全性 使用change命令修改Linux账号、密码属性 失败的登陆企图(/var/log/messages , /var/log/btmp) 限制root登陆 Linux： /etc/security Unix： /etc/default/login 系统启动的安全性 设置BIOS密码 以防通过改变启动介质，而可以从软盘启动。 设置/etc/lilo.conf启动密码并设置为root只读 在“/etc/lilo.conf”文件中加入下面三个参数：time-out,restricted,password，并执行/sbin/lilo命令使其生效。这三个参数可以使你的系统在启动lilo时就要求密码验证。 增强配置 /etc/login.defs 设置密码策略 编辑/etc/inetd.conf或xinetd.d目录下的telnet telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 在最后加“-h”可以使当有人登陆时只显示一个login:提示，而不显示系统欢迎信息。 Su限制 禁止任何人通过su命令改变为root用户。编辑/etc/pam.d/su　，添加下面两行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/Pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户。 隐藏系统信息 编辑“/etc/rc.d/rc.local” 文件，注释下面的行。 # This will overwrite /etc/issue at every boot.So, make any changes you # want to make to /etc/issue here or you will lose them when you reboot. #echo /etc/issue #echo $R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue # #cp -f /etc/issue /etc/ #echo /etc/issue 删除/etc目录下的“”和issue文件： [root@kapil /]# rm -f /etc/issue [root@kapil /]# rm -f /etc/ Unix的安全模块-PAM PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序。 PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。以下主要是针对Linux的。 Unix的安全模块 PAM相关文件 /lib/libpam.so.* PAM共享库 /etc/pam.conf或者/etc/pam.d/ PAM配置文件 /lib/security/pam_*.so 可动态加载的PAM模块 其它系统的文件可能在/usr/lib/目录下。 PAM的配置： 第一种是通过单个配置文件/etc/pam.conf 另外一种是通过配置目录/etc/pam.d/ 第二种的优先级要高于第一种。 Unix的安全模块 使用配置文件/etc/pam.conf 该文件是由如下的行所组成的： service-name module-type control-flag module-path arguments Unix的安全模块 service-name 服务的名字，比如telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。 module-type 模块类型有四种：auth、account、session、password。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack。 control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的值：required，requisite，suffic