Linux系统的安全加固资料.docxVIP

Linux系统的安全性 Linux系统是一个多用户操作系统.任何一个受使用系统资源的用户.都必须首先向系统管理员 申请一个账号，然后以这个账号的身份进入系统。用户账号一方面可以帮助系统管理员对使用系统的 用户进行跟踪，并控制他们对系统资源的访问，另一方面也可以帮助用户组织文件.并为用户提供安 全性保护；实现用户账号管理主要有用户账号添加、删除与修改.以及用户口令的管理和川户组的管 理等工作。 linux的权限模型 通过设定权限可以从以下三种访问方式限制访问权限： 只允许用户自己访问；允许一个预先指定的用户纟R屮的用户访问；允许系统屮的任何用 户访问。同时，用户能够控制一个给定的文件或目录的访问程度。一?个文件活目录可能 有读、写及执行权限。当创建一个文件吋，系统会口动地赋予文件所有者读和写的权限， 这样可以允许所冇者能够显示文件内容和修改文件。文件所冇者可以将这些权限改变为 任何他想指定的权限。一个文件也许只有读权限，禁止任何修改。文件也可能只有执行 权限，允许它想一个程序一样执行。 9个权限位用来确定可以由谁对文件执行什么样的操作。相反的，每个文件都 被设置了文件的所有者、文件的属组和其他用户访问的权限集合，每个集合有3位：读 収位、写入位和执行位。 文件访问权限“-rwxr-xr-x”是由三个三位组纽成，“rwx”为第一?个三位组代表文件所有 者的权限，“r-x”为第二个三位组代表文件属组的权限，“r-x”为第三个三位组代表所有 其他用户的权限。其中r表示允许读（查看文件中的数据），w表示允许写（修改文件以 及删除），x表示允许“执行”（运行程序），将所有这些信息放在一起，我们可以发现每 个人都能够读该文件的内容和执行该文件，但是只允许文件所有者（root用户）可以以 任何方式修改该文件。因此，虽然一般用户可以复制该文件，但是只允许文件所有者更 新或删除它。 添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目 录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。 如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd、 /etc/shadow/etc/group等系统文件屮的该用户记录删除，必要时还删除用户的主目录。 修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、 登录Shell等。 川户管理的一项重耍内容是用户口令的管理。用户账号刚创建时没有口令，被系统 锁定，无法使用，必须为其指定口令后才可以使用，即使是指定空口令。 指定和修改用户口令的shell命令是passwdo超级用户root可以为自己和其他用户 指定口令，普通用户只能用它修改白己的口令。如果默认用户名，则修改当前用户的口 令。 普通用户修改白己的口令时，passwd命令会先询问原口令，验证后再要求川户输入 两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而超级用户为用户 指定口令时，就不需要知道原口令。 熟练掌握用户和用户组操作 Linux系统用户账号的管理工作主要涉及到用八账号的添加、修改和删除。添加用 户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主冃录和登 录Shell等资源。我们可以按添加命令useradd添加用户。添加代码如下：useraddakbar 或者useraddakbaralbarl :我们添加川户以后如果需要删除用户或者川户的冇些记录我 们用删除指令删除用户的目录。如果一个用户的账号不再使用,可以从系统中删除。删 除用户账号就是要将/etc/passwd等系统文件屮的该用户记录删除，必要时还删除用户的 主目录。 理解 xinetd、TCP Wrappers 和 SSH SSH是远程连接linux系统的一种服务协议，简单的说就是Sscure Shell protocol的缩 写。SSH是一个用來替代TELNETs FTP以及R命令的工具包，主要是想解决口令在网上明文 传输的问题。为了系统安全和用户口身的权益，推广SSH是必要的。所有的SSH相关的设 置文件都在/etc/ssh这个文件夹中，其中sshd_config则是主配置文件。 Tcp wrappers工作原理：在月li务器向外提供的t卬服务商包装--层安全检测机制。外來 连接请求首先通过这个安全检测，获得安全认证后才可被系统服务接受。现在我们来了解一 下tcp_wrappers的访问控制判断顺序，首先查看/etc/hosts.allow,如果匹配到一个条冃，将 不在读取下面的。如果在/etc/hosts.allow没有匹配到条目,则读取/etc/hosts.deny,如果匹 配，则拒绝，如果不匹配，则默认允许所有。 xinetd即extended inter