第1章系统安全常规优化.pptVIP

* 简单回顾set位权限的作用（可采用提问的方式），说明不正确设置的危害性，因此非必要时不要设置set位权限 展示查找系统中使用了set位权限的两种方法，其中核心的部分为find命令中-perm选项的使用： -perm +6000 表示不检查基本权限（000），只要附加权限中匹配任何一位（6包含了4、2）即满足条件 结合“ls -lh”命令是为了同时显示出结果文件的详细属性 两种方法的区别在于：前者使用了Shell的命令替换操作（ $() 符号或者反撇号 ``），只有在find命令执行完毕后才能看到结果；而后一种方法则每找到一条结果就立即显示出来了 介绍完毕以后分别演示两种方法的操作效果 * 讲解定期监控系统中suid/sgid文件的思路 —— “授课素材”目录 中提供了此处使用的Shell脚本及测试文件，供教员参考，演示时可以减少现场编码及调试的时间 讲解进行suid/sgid文件比对的Shell脚本实现过程：主要通过for循环，依次将当前查找结果作为关键字符串搜索原始列表，找不到则表示为新内容，列出对应文件的属性 其中for循环、条件表达式、“$?”变量、数值比较操作等学员可能容易遗忘，必要时应进行解释 最后演示操作过程：需要先建立sfilelist原始列表文件，然后建立脚本程序进行测试，设置计划任务的操作只需简单介绍即可 * 简单介绍开关机安全的基本措施，BIOS设置、禁用重启热键的操作可以进行演示 init命令的“q”选项之前学员未接触过，需要进行解释（表示重新检查并读取”/etc/inittab”文件） * 讲解在grub.conf文件中设置密码的方式（全局部分、titile部分）以及在不同位置设置密码时的效果（限制修改引导参数、限制进入系统） * 先介绍明文密码的位置和格式示例、再介绍加密密码设置的位置和格式示例，通过“如何获得加密密码串”的问题引出“grub-md5-crypt”工具并进行简单介绍 接下来演示GRUB菜单加密的实际操作过程：先生成加密密码串，然后修改grub.conf文件（可同时设置明文、密文两种形式的密码），重启后演示在GRUB菜单中如何使用密码（按“p”键） 最后可以依次提出2个问题： 如果忘记了GRUB密码进不去系统怎么办？ —— （光盘修复） 如果BIOS密码也忘记了，无法设置光盘优先启动怎么办？ —— （CMOS放电） * 分别介绍上述控制策略及相关文件的作用 并通过展示对应文件或文件中的关键配置，讲解如何进行实现 —— 建议进行演示讲解 * /etc/pam.d/login、/etc/pam.d/sshd文件中添加的配置记录用于启用该认证模块；access.conf文件中可以对各用户设置登录访问控制策略 需要注意：“account required pam_access.so”配置记录要添加到PAM文件的account记录附近，不要放在最后一行添加（否则可能会失效） 权限使用“+”或者“-”，分别表示允许、拒绝；用户部分可以使用用户名或者”@组名“；来源可以是终端名、网络地址、IP地址等 讲解完毕后建议进行操作演示（由于远程登录在后续课程中讲解，这里主要演示本地终端登录限制即可） 如果还有富余时间，可以讲解TG中的limit限制的补充案例 * 总结本次课程的主要内容，明确学员还存在哪些疑问需要解答 参考问题： 1. 对于使用chattr命令锁定的文件，如何去除锁定？ 2. 通过su、sudo机制都可以使普通用户获得root用户的权限，二者有何区别？ 3. 如果忘记了GRUB菜单的密码，无法进入系统怎么办？ 4. …… * 从本页开始（到最后）的PPT部分放在实验课上进行讲解，不要放在理论课上讲解 * 阶段一的指导子阶段 1、教师介绍案例需求 ——公司新增了一台部门级服务器，并安装运行RHEL5系统。服务器由系统组员工负责维护，并分配给系统组、网页组、软件组的员工共同使用。因用户人数众多且使用时间不定，需要对各类用户的权限进行控制 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段一的指导子阶段（续） 3、教师介绍实现思路 * 阶段一的练习子阶段 1、本阶段中教员要负责巡视、答疑，对共性问题要及时集中讲解 2、随时检查学员完成情况，跟踪学员实验进度 * 阶段二的指导子阶段 1、教师介绍案例需求 ——公司新增了一台部门级服务器，并安装运行RHEL5系统。服务器分配给系统组、网页组、软件组的员工共同使用，并临时放置在开发部的公共区域。基于开发数据的安全性考虑，需要对服务器的引导和用户登录进行安全控制 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段二的指导子阶段（续） 3、教师介绍实现思路 * 阶段二的练习子阶段 1、本