Linux系统管理与安全课件.pptVIP

Linux 系統紀錄 請參考：.tw/linux/system_log.htm 嚇阻力量是最好的防禦-系統稽核(auditing)與記錄(log) Linux上的系統記錄機制 syslogd無關系統記錄:如wtmp、utmp、lastlog、pacct等。 syslogd相關系統記錄檔: messages、syslog及管理者所設定之檔案。 應用程式運作記錄檔: 如Apache Server的access.log及error.log等。 努力奋斗 努力奋斗 努力奋斗 努力奋斗 努力奋斗 努力奋斗 努力奋斗 Linux系統管理與安全 吳賢明 國立中興大學　計算機及資訊網路中心 中華民國九十年八月三日　 課程大綱 關於電腦系統安全 電腦安全自我檢測與防護 Linux系統檔案完整性與安全 Linux 系統紀錄與安全 Linux系統安全工具 Q A 關於電腦安全 Computer Security “A computer is secure if you can depend on it and its software to behave as you expect.” -Practical UNIX and Internet Security “電腦安全的終極目標在-處理敏感資料時可以被信任的系統” -UNIX 系統保全工具 關於電腦安全 資料完整性(Integrity) 確保儲存於該系統的任何資料不被竄改或破壞。 私秘性(Privacy) 確保儲存於其中的任何資料及透過該系統傳輸的資料不被竊取。 系統可用性(Availability) 保證維持系統隨時可正常提供服務 脆弱的校園網路環境 數量眾多的電腦系統 不成比例的專職管理人員 風氣開放自由的電腦使用環境 駭客最愛的攻擊前哨站 校園網路安全的隱憂 入侵手法的專業及複雜程度程度提昇 入侵者所需專業知識卻大幅下降 入侵工具與日俱增，垂手可得 主機數與使用人口逐年激增 網際互連所使用的應用程式種類與數量快速上揚，具有安全缺失的軟體亦隨之增加 網路安全工具的發展通常落後於多樣化的入侵 網路新殺手-電腦病毒，正藉由網路快速擴張其影響層面，來無影，去無蹤 道高一尺 魔高一丈 “Defending Yourself: The Role of Intrusion Detection Systems”, IEEE SOFTWARE Sep/Oct 2000 Vulnerability-系統弱點 系統弱點是系統、程式或標準制定過程考慮欠週，所遺留可資侵入之漏洞。 系統弱點是絕大多數入侵事件的憑藉。 系統弱點即時的修補是確保系統安全及重要的工作。 系統弱點增加趨勢 /frames/?content=/forums/bugtraq/faq.html 系統弱點的生命週期 “Windows of Vulnerability: A Case Study Analysis”, IEEE SOFTWARE Sep/Oct 2000 系統弱點分佈與作業系統 /frames/?content=/forums/bugtraq/faq.html 校園主機安全防護 『The Network is Computer』-主機安全是校園網路安全的第一步 安全政策的擬定與實施 主機安全三部曲 系統安全防護 系統安全自我檢測 快速安全的入侵系統復原 善用系統及網路安全工具 系統安全措施 系統安全：系統防護的三個重要觀念 分散：可減少損失 備援：確保某些系統被破壞時，整體系統仍可運作如常 防禦縱深：讓攻擊者能夠造成實際損害之前，必須先突破重重防線。增加攻擊者的困難度。 系統安全工具的使用，在於加強系統的防禦縱深。 系統安全防護： 實體安全：主機外殼設置防範措施或機房門禁管制。 帳號安全：一般帳號與root帳號的管理。 檔案系統安全：乃是防護的核心，如權限設定、加密、系統指紋、備份等。 帳號安全 帳號安全 帳號安全的淪陷通常是系統入侵成功的第一步 帳號安全應包括一般帳號與root帳號的管理 重要做法 教育使用者正確使用及選擇密碼。 分配密碼：為使用者提供密碼，使他們沒選用脆弱密碼的機會。 密碼逾時機制：強迫使用者定期更換密碼。 使用shadow密碼。將密碼由/etc/passwd中分離出來。 預防性密碼稽查：在密碼生效之前就評估其安全性 預防性密碼檢查工具包括passwd+、npasswd等，RedHat Linux則內建CrackLib檢查使用者的密碼。 反應性密碼稽查：用密碼檢查程式找出不安全的密碼。 工具-- Crack 、Crack for NT 限制root帳號進入系統的方式 檔案安全 檔案系統安全： 檔案系統控制誰能存取資訊，以及對資訊能作何種處理。 當一切防護均失效時，加密機制