第08章及 服务器安全基础.pptx

第8章服务器安全基础主讲人： 梁如军2015-05-05本章内容要点基本的系统安全物理安全和登录安全禁用root登录和sudo口令安全和口令策略SSL与OpenSSLTCP Wrappers梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）本章学习目标 掌握基本的系统安全配置掌握物理安全和登录安全配置掌握sudo的配置和sudo命令的使用理解PAM机制及其执行过程学会使用PAM模块增强口令安全理解SSL协议体系结构掌握自签名证书和私钥的创建过程掌握TCP Wrappers的配置梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）Linux 服务器安全的一般性原则梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）最少的正在运行的应用程序安装和运行最少的软件，以尽量减少漏洞。保持软件更新。开放所需的最少端口关闭不必要的服务在单独的系统上运行不同的网络服务。最大限度地减少风险，避免一个服务的问题影响到其他服务。最小特权: 为用户帐户和软件执行任务赋予所必需的最低权限。Linux 服务器安全的一般性原则（续）维护用户帐户 创建一个良好的密码策略，并强制执行。最少的必要账户，删除已不使用的用户帐户。配置系统备份制定灾难恢复计划并检测备份的有效性启用 远程/集中式 系统日志（定期复查日志！）发送日志到一个专用的日志服务器这可以防止入侵者轻易地修改本地日志梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）Linux 服务器安全的一般性原则（续2）加密传输数据加密认证信息（如密码）显得尤为重要使用密钥认证的远程登录服务（ssh）使用SSL/TLS协议加密应用协议（https, ftps, etc）配置网络访问控制TCP Wrappers and xinetdNetfilter/iptables etc.配置安全工具以提高系统的鲁棒性梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）系统安全梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）基本系统安全梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）安全的磁盘布局使用挂装选项提高文件系统的安全性查找并取消文件/目录的非必要的特殊权限避免安装不必要的软件包配置软件包更新的Email通知关闭不必要的服务磁盘布局梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）/目录中必须包括 /etc、/lib、/bin、/sbin，即不能在此四个目录上使用独立的分区或逻辑卷除了 / 、/boot 和 SWAP 之外您应该根据自己的需要尽量分离数据到不同的分区或逻辑卷建议创建独立的 /usr、/var、/tmp、/var/tmp 文件系统根据日志管理需要，您可能应该创建独立的 /var/log、/var/log/audit 文件系统若所有普通用户数据存储在本机，您还应该创建独立的 /home 文件系统若系统对外提供大量服务（如Web虚拟主机等），应该创建独立的 /srv 文件系统提高文件系统的安全性常用如下三个挂装参数提高文件系统的安全性noexec：不允许在本分区上执行二进制程序，即防止执行二进制程序但允许脚本执行nodev：不解释本分区上的字符或块设备，即防止用户使用设备文件nosuid：不允许在本分区上执行 SUID/SGID 的访问例如/dev/sda5 /srv/www ext3defaults,nosuid,nodev,noexec 1 2/dev/sda6 /var/ftp ext3defaults,nosuid,nodev,noexec 1 2/dev/sda7 /tmp ext3defaults,nosuid,nodev,noexec 1 2梁如军（linuxbooks@126.com）Creative Commons License（BY-NC-SA）去除非必要的特殊权限查找系统中权限为SUID/SGID 的文件# find / -xdev \( -perm -4000 -o -perm -2000 \) -ls查找指定目录/dir下的所有用户可写的设置了粘着位（sticky-bit）的目录?# find /dir -xdev -type d \( -p