《linux操作系统》课件 第 9 章 系统安全.pptx

系统安全：防护与管理

01系统更新与维护服务最小化与管理Rootkit检测与防范文件系统完整性与监令安全与策略权限最小化与用户管理恶意代码检测与防御敏感数据安全删除040608系统安全实践与任务09系统安全规则与扩展10目录CONTENTS

01系统更新与维护

01系统更新可修复已知漏洞，防止黑客利用。如Linux系统中发现的漏洞，更新后可防止攻击。安全性增强02更新修复内核和关键组件，减少崩溃。如Linux更新后对新型硬件支持更好，确保稳定运行。稳定性提升03更新优化内存管理和文件系统性能，提升响应速度。如Linux更新后降低资源消耗。性能优化系统更新的重要性

YUM是基于RedHat的系统包管理工具，用于软件包的安装、更新和卸载。如yumupdate可更新系统。YUM命令APT命令DNF命令DNF是YUM的后继者，用于CentOS8等系统，提供更快的更新速度和更好的性能。APT是基于Debian的系统包管理工具，功能与YUM类似。如aptupgrade用于更新软件包。常用更新命令

02口令安全与策略

01强口令是防止未授权访问的第一道防线。复杂的口令策略可提高破解难度。简单口令容易被暴力破解工具猜解。定期更换口令和限制登录尝试次数可减少风险。02禁止使用常见单词和短语，实施口令历史策略，可有效抵御字典攻击。03防止未授权访问降低暴力破解风险应对字典攻击口令安全的重要性

010203pwquality.conf文件该文件用于配置密码复杂度，如最小长度、字符种类等。如设置minlen=10要求密码至少10位。/etc/login.defs文件该文件用于配置口令过期策略，如PASS_MAX_DAYS设置口令过期天数。PAM模块PAM模块用于管理用户认证，可通过编辑/etc/pam.d/目录下的文件定制认证行为。口令策略配置

03服务最小化与管理

对正在运行的服务配置安全性，如限制访问权限、禁止默认凭据登录、定期更新服务等。定期审查系统上运行的服务列表，确保只有必需的服务正在运行，防止新安装软件自动启用不必要服务。识别并仅启用系统正常运行所需的服务，禁用或删除不必要的服务，减少攻击面。仅启用必需服务定期审查服务列表配置服务管理服务最小化原则

用于管理系统服务，如systemctlstartservice_name启动服务，systemctlstopservice_name停止服务。01使用systemctlstatusservice_name查看服务状态，systemctlis-enabledservice_name查看服务是否开机自启。02服务配置文件通常位于/etc/systemd/system/目录，包含服务的启动类型、执行命令等配置。03服务配置文件服务状态查看systemctl命令常用服务管理命令

04权限最小化与用户管理

用户和组管理通过用户和组管理权限，确保每个用户只拥有完成其工作的最小权限。文件和目录权限正确设置文件和目录的读、写、执行权限，限制对重要系统文件的访问。特权分离区分普通用户和管理用户，确保只有在需要进行系统管理任务时才使用root权限。权限最小化原则

sudo工具允许普通用户临时提升权限以执行特定任务，减少安全风险。通过visudo编辑/etc/sudoers文件配置sudo权限。将用户添加到适当的组，并根据需要分配权限，控制用户对系统资源的访问。合理分配组权限sudoers文件定义了哪些用户或用户组有权利使用sudo执行命令，以及可以执行哪些命令。sudoers文件配置用户特权管理工具

05文件系统完整性与监控

完整性定义文件系统完整性指文件在存储和传输过程中保持原始状态和内容的一致性和完整性。监控重要性监控文件系统完整性可及时发现恶意篡改，保障数据可靠性和安全性。监控内容监控内容包括文件内容、元数据（如修改日期、文件大小和权限）等。文件系统完整性概述

01AIDE工具AIDE是一个功能强大的入侵检测系统，可实时监控文件系统的完整性，并在检测到异常变更时发出告警。02Tripwire工具Tripwire是一个开源的文件完整性校验工具，通过定期扫描文件并计算校验和来确保文件的完整性。03配置监控规则配置监控工具时，需设置监控的关键文件和目录、告警规则以及告警接收方式。常用监控工具

06敏感数据安全删除

防止数据恢复敏感数据安全删除确保数据被永久移除，防止数据恢复，避免数据泄露。保护隐私对含有个人信息、财务数据和商业秘密等敏感内容的数据进行安全删除，保护隐私。法规合规满足相关法律法规对数据保护的要求，确保企业或个人的合规性。敏感数据删除的重要性

shred工具通过覆盖文件内容来防止数据恢复，可指定覆盖次数和删除文件。shred工具dd命令可用于低级数据处理