第12讲 LINUX操作系统安全.pptVIP

用户可以修改口令条目中的部分信息： 命令passwd：更改口令 命令chfn：更改第五个字段中的用户信息 命令chsh：更改第七个字段，shell路径名 其余的字段由系统管理员设置 关于UID UID是用户标识；具有唯一性。 一般 Root帐号的UID是：0 系统预设帐号：1～99 常用服务帐号：100～499 普通用户帐号：500以后 UID的最大值可以在/etc/login.defs文件中查到 登录后，用户权限通过UID来确认，而非用户名 最好不要共用UID 使用root权限，可以su或者sudo 关于GID 一般GID为0的组对应于root用户组 关于GID的预留，不同Linux系统有所不同 Fedora：预留500个，添加新用户组时，从500开始 Slackware：100个 系统添加用户组默认的GID范围对应于文件/etc/login.defs中的GID_MIN和GID_MAX Linux的shadow技术 用于提高用户密码存放的安全性 口令加密后的密文存放在/etc/shadow文件中，在/etc/passwd文件中的密码域只保存一个“x” Shadow文件对一般用户是不可读的，只有超级用户（root）才可以读写。 由于普通用户无法得到加密后的口令，提高了系统的安全性 /etc/passwd文件中每行内容9个字段，也以冒号分隔 登录帐号，与/etc/passwd中的登录帐号对应 密文。若值为x，表示该用户不能登录到系统 上次口令的修改时间。自1970.1.1日以来的天数 两次修改口令间隔最少的天数。（0？） 两次修改口令间隔最多的天数 提前多少天警告用户口令将过期 在口令过期之后多少天禁用此用户 用户过期日期。为空则永久可用 保留字段 Linux系统安全——Linux中的密码安全和加密 PAM安全验证机制 Pluggable Authentication Modules，是SUN提出的一种验证机制，最初集成在Solaris系统中 目前已经移植到 Linux，SunOS，HP-UX 9.0等 目的：提供一个框架和一套编程接口，将认证工作由程序员交给管理员 允许管理员在多种认证方法之间做出选择， 能够改变本地认证方法而不需要重新编译与认证相关的应用程序 以共享库的形式提供 PAM的组成 PAM API PAM SPI PAM 库 PAM配置文件 服务程序 各种认证手段 功能包括： 加密口令（包括DES和其他加密算法） 对用户进行资源限制，防止DOS攻击 允许随意Shadow口令 限制特定用户在指定时间从指定地点登录 引入概念“client plug-in agents”，使PAM支持C/S应用中的机器 Linux PAM 主页：/pub/linux/libs/pam/ 最新版本为1.0.1 下载地址：/pub/linux/libs/pam/library/Linux-PAM-1.0.1.tar.gz linux常用的备份命令 tar，打包 含义：Tape archive，磁带归档 举例： 还原 -c，创建 -p，保留文件访问权限 -f，归档文件名 备份整个文件系统 SCSI磁带设备 -x，提取 -C / ，还原从“/”开始 更深入的使用，参见tar相关 使用手册 　Linux网络安全 1．仔细设置每个内部用户的权限 2．确保用户口令文件/etc/shadow的安全 3．加强对系统运行的监控和记录 4．合理划分子网和设置防火墙 5．定期对Linux网络进行安全检查 6．制定适当的数据备份计划确保系统万无一失 7．加强对Linux网络服务器的管理，合理使用各种工具 （1）慎用Telnet服务 （2）合理设置NFS服务和NIS服务 （3）小心配置FTP服务 （4）合理设置POP3和Sendmail等电子邮件服务 （5）加强对WWW服务器的管理，提供安全的WWW服务 （6）最好禁止提供finger 服务 LINUX操作系统安全机制 问题1：Linux的用户名与口令的身份标识和认证机制在安全性上存在的不足，主要表现为口令的易猜测和容易泄露 保护措施1：密码设置时的脆弱性警告、口令有效期、一次性口令、先进的口令加密算法、使用影子文件（shadow file）、账户加锁等安全机制。 LINUX操作系统安全机制 问题2： Linux系统中，通过自主访问控制来确保主体访问客体的安全性，但这种自主访问控制过于简单 保护措施2： Linux提供了限制性Shell、特殊属性、文件系统的加载限制，以及加密文件系统来提高系统的安全性能。 LINUX操作系统安全机制 问题3： Linux还通过对根用户进行适当的限制，在一定程度上限制了超级用户给系统带来的安全隐患 保护措施3：安全Shell、入侵检测、防火墙等安全机制 课