Linux系统安全基础.pptVIP

Linux系统安全基础 Linux系统安全基础 授课内容 概述 安全策略 安全设置 TCP_WRAPPERS PAM 安全工具 授课目标 了解linux安全知识 熟悉linux的安全配置 了解linux安全工具 概述 安全策略 必须有一个安全策略，如何制定一个安全策略完全依赖于你对于安全的定义 你如何定义保密的和敏感的信息？ 系统中有保密的或敏感的信息吗？ 你想重点防范哪些人？ 远程用户有必要访问你的系统吗？ 如果这些信息被泄露给竞争者和外界有什么后果？ 口令和加密能够提供足够的保护吗？ 你想访问Internet吗？ 你允许系统在Internet上有多大的访问量？ 如果发现系统被非法入侵了，下一步该怎么做？ 安全设置(一) 尽量减少系统对外界暴露的信息 finger、ping、屏蔽登陆提示信息等 理解日志信息，了解系统运行情况 logrotate、swatch、logcheck 限制SUID程序 普通用户可以以root身份运行的程序 如：passwd、chage 安全设置(二) 禁止从软盘启动，并且给BIOS加上密码 每次启动的时候都检查一下BIOS，这样可以提高系统的安全性。 禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计算机； 给BIOS加上密码，防止有人恶意改变BIOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机。 无法破解的口令是不存在的，只要给足时间和资源 选择口令的建议： 不允许无口令帐号存在 口令至少包含6个字符，最好包含一个以上的数字或特殊字符 不要使用名字、生日、电话号码等个人信息 使用口令有效期和shadow文件 使用PAM（嵌入式认证模块） 安全设置(三) Linux系统默认最小口令长度为5，最好将默认最小口令长度改为8 修改/etc/login.defs 文件 PASS_MIN_LEN 5 PASS_MAX_DAYS 30 PASS_MIN_DAYS 10 PASS_WARE_AGE 7 慎用root帐号 /etc/securetty 取消登陆时系统显示信息 /etc/issue /etc/ /etc/rc.d/rc.local 取消系统对ping的响应 安全设置(四) 内核参数调节“/proc/sys” 和“etc/sysctl.conf” 取消系统对ping响应 net.ipv4.icmp_echo_ignore_all =1 取消系统对广播消息的应答 net.ipv4.icmp_echo_ignore_ broadcast =1 路由协议 net.ipv4. conf.allaccept_source_route=0 启动TCP SYN Cookie Protection net.ipv4.tcp_syncookies=1 取消ICMP重定向 net.ipv4.conf.all.accept_redirects=0 启动不利错误消息的保护 net.ipv4.icmp_ignore_bogus_error_responses = 1 启动IP欺诈保护 net.ipv4.conf.all.rp_filter = 1 Log欺诈包，源路由包和重定 net.ipv4.conf.all.log_martians = 1 安全设置(五) /etc/exports文件 在服务器上装NFS服务是会有安全隐患 如果通过NFS共享文件，需要配置 不要用通配符 不允许对根目录有写权限 尽可能只给只读权限 /dir/to/export (ro,root_squash) /etc/securetty文件 /etc/securetty控制root用户登录位置 文件列表中的设备位置都是允许登录的 通过屏蔽/删除一些设备可以加强安全性 没有该文件表示允许root访问任何设备，这是很危险的 没有pts * 形式记录项表示禁止root用户在网络上登陆 安全设置(六) 限制用户对系统资源使用，避免拒绝服务（DOS）攻击 1、/etc/security/limits.conf * hard core 0 * hard rss 5000 * hard nproc 20 ２、/etc/pam.d/login session required /lib/security/pam_limits.so ～/.bash_history，该文件可保存 1000个用户曾经输入过的命令 安全隐患：用户可能会在不该输入口令的地方输入了口令，而输入的口令会在“.bash_history”文件中保存下来 修改“etc/profile”文件，减少保存命令数 HISTFILESIZE＝20 HISTSIZE＝20 安全设置(七) 修改reboot、shutdown、init命令的权限在默认情况下，以上