[工学]Linux系统的安全.ppt

课程议题 Linux系统的安全 学习目标 通过本节内容希望您能够: 了解网络安全的基本概念 了解Linux系统的基本安全机制 理解包过滤防火墙的工作原理 熟悉防火墙的配置方法 16.1 网络安全基础知识 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 16.1.1 网络安全解释 运行系统安全，即保证信息处理和传输系统的安全。 网络上系统信息的安全。 网络上信息传播的安全，即信息传播后的安全。 网络上信息内容的安全，即讨论的狭义的“信息安全”。 16.1.1 网络安全解释 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 16.1.2 网络安全的特征 保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 可控性是指对信息的传播及内容具有控制能力。 16.1.3 对网络安全的威胁 非授权访问（Unauthorized Access）指一个非授权用户的入侵。 信息泄露（Disclosure of Information）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 拒绝服务（Denial of Service）指使系统难以或不能继续执行任务的所有问题。 16.1.4 Linux的基本安全机制 （1）Linux系统的用户帐号 （2）Linux系统的日志文件 日志是了解Linux系统运行情况的唯一方法。系统管理员要合理利用Linux系统的日志文件，监控好系统的运行。常用的日志文件有以下三个： 1）/var/log/lastlog文件：该文件记录最后进入Linux系统的用户信息，有登录时间、是否登录成功等信息。合法用户再次登录系统后可以使用lastlog命令查看lastlog文件，对比用户上次登录系统时间等情况，确定是否与实际用机情况一致，从而发现该用户帐号是否被盗用过。 2）/var/log/secure文件：该文件为系统管理员提供系统开通开始所有用户的登录时间和登录地点，以便管理员更好进行设置。 3）/var/log/wtmp文件：该文件也是记录用户的登录信息，包括当前和历史上登录到系统的用户的登录时间、登录地点和注销时间等信息。可以使用last命令查看。 （3）Linux系统的文件系统权限 在Linux系统中，每一个文件或目录都有3组属性，分别定义文件或目录的所有者、同组内其他用户和剩余所有用户的使用权限。这些权限包括可读、可写、可执行、允许SUID等。Linux文件系统的安全主要是通过设置文件或目录的这3组权限来实现的。其中，SUID的程序是以超级用户权限运行的程序，可以做任何超级用户可以做的事，这样有更多的机会出现安全隐患。 16.1.5 Linux可能受到的攻击和防范 （1）Linux系统可能遇到的安全情况 1）黑客攻击和破解 2）电子欺骗 3）拒绝服务攻击 4）病毒 5）扫描程序攻击 （2）设计安全策略 1）保护物理环境安全 物理环境安全除了指计算机硬件的安全外一般还包括三方面的内容：保护基本输入输出系统、在引导-加载器级别保障Linux安全和使用系统显示锁。 2）确保用户口令的安全性 3）检查文件系统的安全性 4）设置好内部用户的权限(权限最小原则) 5）加强对系统运行的监控和记录 6）数据备份 ①保护基本输入输出系统：所有的计算机都有机器级别的代码，用来决定计算机怎样引导以及操作系统怎样与硬件进行信息通信。我们通常所用的PC机中称之为基本输入输出系统（BIOS）。 ②在引导-加载器级别保障Linux安全：大多数Linux引导加载器允许设置引导口令。可用LILO设置口令并进行限定性设置。 ③使用系统显示锁：运行了桌面程序的任何版本的Linux系统都有显示锁。带有显示锁的机器搁置一段时间后，就显示屏幕保护程序，锁住桌面显示，且只有输入正确口令才能返回桌面。 16.1.6 Linux系统安全级别及设置 如果要打开系统安全级别配置工具有两种方法： 一是从桌面依次选择“主菜单”-〉“系统设置”-〉“安全级别”； 二是在系统终端提示符下输入“