网络信息安全管理员培训之五：Linux安全配置.pptVIP

全军信息安全研究中心 网络信息安全管理员培训 培训五：Linux安全配置 对Linux系统的威胁与对策 Linux的安全设置 Linux系统安全工具介绍 对Linux系统的威胁与对策 针对Linux操作系统的威胁有很多种类，下面主要从如下四个方面讨论，给出相关对策： 服务拒绝攻击（DoS） 本地用户获取非授权的文件的读写权限 远程用户获得特权文件的读写权限 远程用户获得根权限 针对服务拒绝攻击的对策 个人主机加强保护 加强对服务器的管理 安装验证软件和过滤功能 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的timeout时间 及时更新系统补丁 针对本地用户获取非授权的文件的读写权限的对策 主要攻击方法有：黑客诱骗合法用户告知其机密信息或执行任务，有时黑客会假装网络管理人员向用户发送邮件，要求用户给他系统升级的密码 防范的主要方法：对于Linux服务器，最好的办法是将所有shell帐号放置于一个单独的机器上，也就是说，只在一台或多台分配有shell访问的服务器上接受注册。这可以使日志管理、访问控制管理等安全问题管理更容易些 针对远程用户获得特权文件的读写权限的对策 密码攻击是主要的攻击方法，为此需要增强系统管理员root和普通用户的口令安全性，选择一个强的用户口令： 6个字符长度以上 至少包含一个大写字母、一个小写字母、一个数字、一个普通字符复杂口令 口令与系统用户名、计算机名、硬件名称等均无关 口令不是英文单词或英文缩写词 口令定期更换 针对远程用户获得根权限的对策 这类主要攻击形式是TCP/IP劫持和通信窃听 ，防范的方法包括： （1）安全的拓扑结构。通信窃听只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，窃听能够收集的信息就越少。 （2）会话加密。这种方法的优点是明显的：即使攻击者窃听到了数据，这些数据对他也是没有用的。 Linux的安全设置 关闭不必要的服务 限制远程存取 隐藏重要资料 修补安全漏洞 采用安全工具 经常性的安全检查等 必备的安全配置命令 关闭不需要的服务 Linux使用/etc/inetd服务器程序和/etc/inetd.conf参数文件控制Linux系统服务的运行 取消不必要服务的第一步就是检查/etc/inetd.conf文件，在不要的服务前加上“＃”号 在Redhat Linux操作系统中，还提供了一种GUI界面配置Linux服务的操作方法，如下页所示 关闭不需要的服务(续) 关闭不需要的服务(续) Linux的口令安全 安全的口令设置应遵循以下两点： 应当遵循字母、数字、大小写（因为Linux对大小写是有区分）混合使用的规则。 使用象“#”、“%”、“$”等特殊字符增加密码的复杂性。例如采用countbak一词，在它后面添加“#$”（countbak#$），这样你就拥有了一个相当有效的密码。 设定用户帐号的安全等级 在用户帐号之中，黑客最喜欢具有root权限的帐号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何帐号赋予root权限之前，都必须仔细考虑。如果一定要从远程登录为root权限，最好是先以普通帐号登录，然后利用su命令升级为超级用户。 增强安全防护工具 在Unix系统中，有一系列r字头的公用程序，即供远程登录的服务程序，必须关闭这些服务。若确实有远程维护等需要，可采用安全的远程登录，如SSH 。 SSH是安全套接层的简称，它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密，并且用其密钥充当身份验证的工具。 Linux系统下也有类似Windows系统的远程管理工具——“远程桌面管理系统”。建议使用远程管理软件是“Webmin”，目前的版本是1.020-1，可以到http://www.W下载，“Webmin” 是使用http或者https的浏览器通过访问以http://IP:10000或者https://IP:10000来管理系统的工具 。 启用防火墙 启用防火墙等其他安全工具可有效地阻挡外界的探测和入侵。RedHat Linux9.0自带有防火墙“iptable”，可以在安装时设置和启用，iptable可使用命令行配置或利用GUI界面配置，如下图GUI配置方法： 日志审计配置 按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。 RedHat Linux中提供了“logwatch