Linux系统安全基础.ppt

《Linux系统安全基础.ppt》由会员分享，可在线阅读，更多相关《Linux系统安全基础.ppt（18页珍藏版）》请在三一办公上搜索。

1、Linux系统安全基础,龚 关,Linux系统安全基础,授课内容概述安全策略安全设置TCP_WRAPPERS PAM安全工具授课目标了解linux安全知识熟悉linux的安全配置了解linux安全工具,概述,系统脆弱性与安全隐患特洛伊木马口令破解文件许可和路径设置SUID程序和脚本可信主机文件缓冲区溢出扫描与嗅探电子欺诈TCP/IP攻击拒绝服务(DOS)攻击,安全策略,必须有一个安全策略，如何制定一个安全策略完全依赖于你对于安全的定义 你如何定义保密的和敏感的信息？系统中有保密的或敏感的信息吗？你想重点防范哪些人？远程用户有必要访问你的系统吗？如果这些信息被泄露给竞争者和外界有什么后果？口令和

2、加密能够提供足够的保护吗？你想访问Internet吗？你允许系统在Internet上有多大的访问量？如果发现系统被非法入侵了，下一步该怎么做？,安全设置(一),尽量减少系统对外界暴露的信息finger、ping、屏蔽登陆提示信息等理解日志信息，了解系统运行情况logrotate、swatch、logcheck限制SUID程序普通用户可以以root身份运行的程序如：passwd、chage,安全设置(二),禁止从软盘启动，并且给BIOS加上密码每次启动的时候都检查一下BIOS，这样可以提高系统的安全性。禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计算机；给BIOS加上密码，防止有人恶意改变B

3、IOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机。无法破解的口令是不存在的，只要给足时间和资源选择口令的建议：不允许无口令帐号存在口令至少包含6个字符，最好包含一个以上的数字或特殊字符不要使用名字、生日、电话号码等个人信息使用口令有效期和shadow文件使用PAM（嵌入式认证模块）,安全设置(三),Linux系统默认最小口令长度为5，最好将默认最小口令长度改为8修改/etc/login.defs 文件 PASS_MIN_LEN 5 PASS_MAX_DAYS 30 PASS_MIN_DAYS 10 PASS_WARE_AGE 7慎用root帐号/etc/securetty取消登

4、陆时系统显示信息/etc/issue/etc/,安全设置(四),内核参数调节“/proc/sys”和“etc/sysctl.conf”取消系统对ping响应net.ipv4.icmp_echo_ignore_all=1取消系统对广播消息的应答net.ipv4.icmp_echo_ignore_ broadcast=1 路由协议net.ipv4.conf.allaccept_source_route=0启动TCP SYN Cookie Protectionnet.ipv4.tcp_syncookies=1取消ICMP重定向net.ipv4.conf.all.accept_redirects=0启

5、动不利错误消息的保护net.ipv4.icmp_ignore_bogus_error_responses=1启动IP欺诈保护net.ipv4.conf.all.rp_filter=1Log欺诈包，源路由包和重定martians=1,安全设置(五),/etc/exports文件在服务器上装NFS服务是会有安全隐患如果通过NFS共享文件，需要配置不要用通配符 不允许对根目录有写权限 尽可能只给只读权限/dir/to/export(ro,root_squash)/etc/securetty文件/etc/securetty控制root用户登录位置文件列表中的设备位置都是允许登录的通过屏蔽/删除一些设备

6、可以加强安全性没有该文件表示允许root访问任何设备，这是很危险的没有pts*形式记录项表示禁止root用户在网络上登陆,安全设置(六),限制用户对系统资源使用，避免拒绝服务（DOS）攻击1、/etc/security/limits.conf*hard core 0*hard rss 5000*hard nproc 20、/etc/pam.d/login session required/lib/security/pam_limits.so/.bash_history，该文件可保存 1000个用户曾经输入过的命令 安全隐患：用户可能会在不该输入口令的地方输入了口令，而输入的口令会在“.bash

7、_history”文件中保存下来 修改“etc/profile”文件，减少保存命令数HISTFILESIZE20HISTSIZE20,安全设置(七),修改reboot、shutdown、init命令的权限在默认情况下，以上命令任何用户都有执行的权限，即任何用户都可以在远程关机。chmod 750/bin/reboot修改/etc/inittab文件，禁止ctrl+del+alt三个按健。ca:ctrlaltdel:/sbin/shutdown-t3-r now慎用telnet服务/etc/xinetd.d/telnet修改top命令的权限,此命令任何用户都可以使用,并且非常占用系统资源,若多个

8、用户使用,后果可想而知.,TCP_WRAPPERS,TCP_WRAPPERS由两个文件控制“/etc/hosts.allow”允许访问的机器/服务“/etc/hosts.deny”禁止访问的机器/服务基本语法：Daemon_list:client_list:option访问控制检查步骤如果在/etc/hosts.allow文件中有匹配的项（daemon,client）则允许访问 ftp:192.168.10.否则，查看/etc/hosts.deny，如果找到匹配的项，则访问被禁止 ALL:ALLALL,PARANOID否则，访问默认被允许配置检查：tcpdchk,PAM,使得Linux上各种应

9、用程序的认证工作独立出来，易于管理配置,login su sudo,/etc/pam.d/,/lib/security,PAM,PAM-aware应用程序首先调用libpam.so来进行认证libpam.so通过检查应用程序各自的配置来调用其余需要的库/模块pam配置文件“/etc/pam.d/”条目字段 module-type control-flag module-path argumentsmodule-typeauth 用户身份认证信息，例如口令account 授权，用户帐户的信息管理，如口令时效session 用户环境信息修改 password 通常包含一个auth模块，负责更新身份

10、认证信息，如口令control-flagrequired 该模块必须返回成功，且堆栈中所有其余模块仍将执行。requisite 失败将中止所有模块执行，立即返回结束。optional 不是必须的，可忽略。sufficient 如果该模块成功，堆栈中所有模块可忽略，并返回成功。,Lilo安全,LILO是Linux上一个多功能的引导程序。通过“/etc/lilo.conf”可以配置或提高LILO程序以及Linux系统的安全性。三个重要的选项设置。加入timeout=00 限制多重引导加入restricted 对单用户模式登陆,LILO引导加上口令保护加入password=单用单用户模式启动Linu

11、x系统时，系统要求用户输入口令 修改文件权限 chmod 600/etc/lilo.conf,SUID/SGID程序,一个运行中的普通程序为运行该程序的用户所拥有，但运行的suid/guid程序为文件所有者拥有，运行中的程序在运行期间拥有文件所有者的全部权限。ls l 中出现s的程序-r-s-x-x 1 root root 16336 04-03-12 passw黑客常常利用SUID程序，故意留下一个SUID的程序作为下次进入系统的后门。查找s程序命令：find/-type f(-perm-04000-o-perm-02000)-exec ls-lg;一些建议禁止的SUID程序chage、wa

12、ll、gpasswd、chfn、chsh、newgrp、writetraceroute、utemper、mount、umount、ping、netreport禁止SUID程序chmod a-s/usr/bin/chage,特殊文件,异常和隐含文件“”、“.”、“.G”任何人都有写权限的文件和目录 find/-type f(-perm-2-o-perm-20)-exec ls-lg;无主文件 find/-nouser-o-nogroup 可信主机文件$HOME/.rhosts、$HOME/.netrc、/etc/hosts.equiv,安全工具,系统监控程序：Sxid一次性口令工具：S/key日志管理工具：logrotate、swatch、logcheck系统完整性检查的工具：tripwire 安全连接认证：OpenSSH数据加密传输认证：OpenSSL反扫描工具：Portsentry基于主机的入侵检测：hostsentry基于内核的入侵检测：LIDS基于内核的监听模块：krnsniff包过滤防火墙：ipchains、iptables基于内核的包过滤：netfilter,