《信息安全技术基础》课件 4.2Linux操作系统安全加固.pptx

第四单元操作系统安全加固

主要内容任务2Linux操作系统安全加固

任务2Linux操作系统安全加固奇威公司在经历过Windows服务器安全加固后没多久，领导找到小卫，告诉他在网上发现公司办公环境图片，怀疑公司视频监控服务器被入侵了，要求小卫检测并加固公司安装网络安全监控软件的centos6.5服务器，防止此类事件再次发生。因此在进行任务实施之前，小卫提前准备一些Linux系统安全方面的知识为Linux服务器加固做准备。【任务情境】

任务2Linux操作系统安全加固1、Linux安全机制经过多年的发展，Linux的功能在不断增强，其安全机制亦在不断发展。按照TCSEC评估标准，目前Linux的安全级基本达到了C2。目前主流Linux安全机制主要体现在以下几方面：（1）用户账户在Linux系统中，系统将用户名存放在“/etc/passwd”文件中，而将口令以加密的形式存放在“/etc/shadow”文件中。正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户（root）和操作系统的一些应用程序。如果配置不当或一些程序出错运行，这些信息可能被普通用户得到。超级用户（root）是Linux系统的所有者，用于所有的权限，能够读取或者写入系统中的任何文件，执行普通用户不能执行的程序，可对系统进行更改，可以在紧急情况下覆盖用户的文件保护，因此需要有效地对root用户进行管理，避免过多的使用root用户。【知识准备】

任务2Linux操作系统安全加固（2）远程登录控制Linux默认允许root用户远程登录。SSH是Linux系统中用于远程维护管理的一个服务。通过对SSH服务的配置，使SSH限制root用户远程登录。（3）su限制Linux系统中有个su命令，利用该命令只要知道root用户密码，默认情况下任何用户都可以切换到root用户进行操作。因此，需要对su命令进行限制，只允许特定用户才能su到root用户。【知识准备】

任务2Linux操作系统安全加固（4）文件系统权限Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录，都拥有自己的访问权限，来限制用户的访问，提供系统的安全性。其中，每个文件及目录都有三个级别的权限：所有者基本（u）、组访问级别（g）、其他用户访问级别（o）；每个级别又都有三个权限：? r：readable，读：可获取文件的数据；? w：wirteable，写：可修改文件的数据；? x：executable，执行：可将此文件运行为进程通过合理分配文件系统权限是Linux系统安全稳定、运行的重要保证。【知识准备】

任务2Linux操作系统安全加固小卫通过上面的学习，了解到Linux系统的安全隐患主要是由于系统自身提供各种网络服务（如：WEB服务、FTP服务等），这些服务启用后都会创建各自的默认用户，因这些默认账户都是一致的，可以被非法入侵者利用，通过密码猜测和破解获取系统root用户权限，同时系统默认开启的一些和用户业务无关的服务，非法用户可以通过扫描获得这些服务对象，从而通过对这些服务漏洞利用攻击服务器最终获得服务器授权，因此，在Linux系统加固上主要是对系统的用户账户管理、权限、服务最小化以及网络访问控制等几个方面进行加固。【任务实施】

任务2Linux操作系统安全加固1、账户安全（1）多余账户锁定Linux使用过程中，有一些应用软件在安装时可能会自动创建帐号，例如：apache在安装过程中会创建一个apache的帐号，所以我们对账户进行梳理，锁定多余的帐号，以防这些帐号的非授权使用。步骤1：单击桌面左上角“应用程序”按钮，如下图所示，在弹出菜单中选择“终端”，打开终端操作窗口。【任务实施】图4-40打开终端

任务2Linux操作系统安全加固步骤2：在终端窗口输入命令“cat/etc/passwd”，点击回车，查看当前系统内存在的账户信息，如下图所示。【任务实施】图4-41当前系统账户信息

任务2Linux操作系统安全加固步骤3：仔细查看当前系统内存在的账户信息，将多余账户进行锁定。假设需要锁定的多余账户账户名为lilei，则输入命令“passwd–Llilei”，如下图所示。【任务实施】图4-42锁定账户

任务2Linux操作系统安全加固（2）设置系统口令策略步骤1：打开终端操作窗口，输入命令“gedit/etc/login.defs”，进行口令策略设置，然后保存文件，如下图所示：PASS_MAX_DAYS??90????????#新建用户的密码最长使用天数PASS_MIN_DAYS??0?????????#新建用户的密码最短使用天数PASS_MIN_LEN???8?????????#最小密码长度8PA