《Linux操作系统实用教程》第10章Linux系统安全课件.pptVIP

10.3 Linux用户安全  10.3.2 用户口令安全 10.3.2 用户口令安全 口令是Linux系统对用户进行认证的主要手段，口令安全是Linux系统安全的基石。不幸的是，用户往往对自己的口令安全没有足够的重视。一个简单、易破解的口令就等于向对攻击者敞开系统的大门，攻击者一旦获得重要账号的口令，就能够长驱直入。 通常入侵者可以使用John等自动化的工具软件多次尝试登录系统，简单的口令很容易被破解。一个健壮性高的口令应该具备以下特点：不包含个人信息，不存在键盘顺序规律，不使用字典中的单词，最好包含非字母符号，长度不小于8位，同时还用方便记忆。一个比较使用的办法就是：先记住一句话，然后将这句话的第一个字母取出，在将标点符号加在字母的序列中，前后还可以加几个数字，同时可以在口令中混用大小写，例如：本教材名为《Linux操作系统实用教程》，可以写成口令“51Lczxtsyjc”，这便是一个健壮的口令。 * 10.3 Linux用户安全  10.3.2 用户口令安全 在Linux系统中，大多数版本的passwd程序都可以设置一定的规范来定义用户口令，例如要求用户设置的口令不得少于8个字符，还可以限定用户口令使用的时间，保证定期更改口令等。编辑系统登录文件/etc/login.defs可以实现上述目标。该文件中有如下的行： PASS_MAX_DAYS 99999 ←口令使用的最长时间 PASS_MIN_DAYS 0 ←口令使用的最短时间，0表示不限 PASS_MIN_LEN 8 ←口令的最小长度 PASS_WARN_AGE 7 ←在口令过期前多少天给出警告 * 10.4 访问控制与身份认证  10.4.1 TCP Wrappers 访问控制和身份认证是计算机系统安全的两个重要的方面。访问控制用于判定网络中允许访问主机资源的是不是合法的网络段的主机，身份认证用于判定访问主机资源的用户是否为合法的系统用户。 10.4.1 TCP Wrappers 在Red Hat Linux 9操作系统中TCP Wrappers是用于实现访问控制的一个重要的组件,可以控制基于网络地址对主机的某些网络服务的访问，这些服务包括xinetd、vsFTP、telnet等。如果系统支持TCP Wrappers实现访问控制，可以在/usr/lib/目录下找到libwrap.so.0.x.x模块。 * 10.4 访问控制与身份认证  10.4.1 TCP Wrappers 1. TCP Wrappers的功能 TCP Wrappers是一个轻量级的保护程序，它提供了一个守护进程/usr/sbin/tcpd。TCP Wrappers安装和使用的时候并不需要对现有的应用软件进行任何的改动，运行后会自动检查所请求的服务和相应的客户端进行安全验证，在整个过程中，不会与客户端和服务器交换信息及建立连接。常见的支持TCP Wrappers的网络服务程序有/usr/sbin/sshd、/usr/sbin/sendmail和/usr/sbin/xinetd等。 2. TCP Wrappers的配置 TCP Wrappers的配置包括开启服务进程都TCP Wrappers的支持和设定访问控制策略。例如，可以在vsFTP服务的配置文件/etc/vsftpd/vsftpd.conf中有如下的配置行，用于决定是否开启vsftpd对TCP Wrappers的支持： tcp_wrappers=YES ←取值YES表示支持TCP Wrappers；NO表示不支持 * 10.4 访问控制与身份认证  10.4.1 TCP Wrappers TCP Wrappers会在正常的服务程序之外加一个应答请求、建立连接之前检查远程主机名称和用户等信息，查看是否符合预先的设定。在Linux系统的/etc/目录中有hosts.allow和hosts.deny文件，用于保存TCP Wrappers基于主机地址的访问控制策略。其中，hosts.allow用于保存允许访问的策略；hosts.deny用于保存拒绝访问的策略。 hosts.allow和hosts.deny文件拥有相同的语法，一行代表对一个服务的访问控制策略，每一行的前两个字段是必须有的，动作字段是可以可选的，具体语法如下： 服务程序列表：客户机地