linux实战增强系统的安全性.doc

增强系统的安全性 安全这个标准的宽泛性是很大的，这里只是基本的介绍了一下。 保证数据的机密性，应该是一个数据只有属于他的属主的才能看到，有权力的人才能看到。 完整性，保证数据不能残缺，不能丢掉，不能增加和减少。 抗否认性，在现在的商务时代，这个尤其重要，产生数据者不能对数据进行否认，所以需要进行身份验证。 可用性，保证数据时可用的。 常见安全术语 Linux系统的安全策略 怎么给GRUB加密码： 进入vi /etc/grub.conf这个配置文件。 在这里输入password –md5 这里是告诉GRUB密码是MD5 的， 但是这个MD5的密码不是瞎写的，要使用工具产生，要使用 来产生。 这里会提示你输入2次密码。并把的出来的结果拷贝到GRUB里边的MD5后边。 下边我们来看下用户的身份验证： 这是一个服务器它提供很多服务，如果每个用户使用的都是系统用户认证的话，那么这个服务器很快就坏被居心否测得人给破坏掉。 所以这里LINUX把认证功能交给了PAM模块 PAM模块是一个 可直达式的认证模块。它是一个中间的机构，我们可以认为是代理机构。 如果你想看看哪个服务支持PAM 可以用ldd 后边是启动的路径。 比如SSHD 就是 ldd /sbin/sshd 其实这个单独得PAM模块不不能提供验证，它也是调用一组模块来提供验证，而这些模块 在/lib/security/个目录下边, 而在/etc/pam.d这个目录里他定义的是各种各样的服务所要使用的PAM模块的规范。 下边我们来具体看看这个目录下边的LOGIN这个服务的详细情况。 这里的所有PAM的模块如果某个服务认证失败了，都会对整个LOGIN造成影响。 这里有什么影响呢？他是有第二个字段决定的。下边我们看看这个文件的格式。 首先是由模块类型决定的，module-type ：这里模块类型可以有4种情况， Auth 表示认证授权，（就是检查用户的名字和密码对不对） Account 检查用户的帐户有没有到期，时间又没超过。 Session 主要是控制会话的，从用户的登陆到推出这段时间的会话控制。 Password 是控制用户改密码过程的。 第二部分是 control-flag 控制标志位，这里是表示如果认证成功/失败了，该如何处理。 这里也有4个重要的部分： Required 表示这个模块必须通过认证，并且必须认证成功。 Requisite 表示这个模块必须通过认证，但是2个的区别是如果认证失败了，那么他会给你一个机会，等待同等类型的模块认证，如果通过那么它就会让你通过。 Sufficient 充分条件，只要满足这个制定的条件，那么他就在也不需要认证了。 Optional 表示可选项，不管成功与否都可以通过。 下边我们来看看常见的几个PAM认证： 这里任何一级的认证都会纪录，而任何一级的认证失败都会导致整个认证的失败。 下边是常用的认证模块。 比如SSHD服务 只要在/ETC下边建立一个nologin就可以禁止用户登录了，（这里来源于帮助文件，/usr/share/doc/pamxxxx/text/ 这里相对应的服务。） 这里的各个文件都可以编辑调用。只要修改就可以了。一定要注意多看帮助。 这里来讲下升级： 升级的时候要注意下载签名和公钥！！ 下边在介绍下如何给内核升级。 首先去官方 来下载你需要的内核补丁。然后下载公钥和签名。 具体方法参考别的文献。！！！ 课堂25-26！！