《Linux系统安全基础.ppt》由会员分享,可在线阅读,更多相关《Linux系统安全基础.ppt(18页珍藏版)》请在三一办公上搜索。
1、Linux系统安全基础,龚 关,Linux系统安全基础,授课内容概述安全策略安全设置TCP_WRAPPERS PAM安全工具授课目标了解linux安全知识熟悉linux的安全配置了解linux安全工具,概述,系统脆弱性与安全隐患特洛伊木马口令破解文件许可和路径设置SUID程序和脚本可信主机文件缓冲区溢出扫描与嗅探电子欺诈TCP/IP攻击拒绝服务(DOS)攻击,安全策略,必须有一个安全策略,如何制定一个安全策略完全依赖于你对于安全的定义 你如何定义保密的和敏感的信息?系统中有保密的或敏感的信息吗?你想重点防范哪些人?远程用户有必要访问你的系统吗?如果这些信息被泄露给竞争者和外界有什么后果?口令和
2、加密能够提供足够的保护吗?你想访问Internet吗?你允许系统在Internet上有多大的访问量?如果发现系统被非法入侵了,下一步该怎么做?,安全设置(一),尽量减少系统对外界暴露的信息finger、ping、屏蔽登陆提示信息等理解日志信息,了解系统运行情况logrotate、swatch、logcheck限制SUID程序普通用户可以以root身份运行的程序如:passwd、chage,安全设置(二),禁止从软盘启动,并且给BIOS加上密码每次启动的时候都检查一下BIOS,这样可以提高系统的安全性。禁止从软盘启动,可以阻止别人用特殊的软盘启动你的计算机;给BIOS加上密码,防止有人恶意改变B
3、IOS的参数,比如:允许从软盘启动或不用输入口令就可以引导计算机。无法破解的口令是不存在的,只要给足时间和资源选择口令的建议:不允许无口令帐号存在口令至少包含6个字符,最好包含一个以上的数字或特殊字符不要使用名字、生日、电话号码等个人信息使用口令有效期和shadow文件使用PAM(嵌入式认证模块),安全设置(三),Linux系统默认最小口令长度为5,最好将默认最小口令长度改为8修改/etc/login.defs 文件 PASS_MIN_LEN 5 PASS_MAX_DAYS 30 PASS_MIN_DAYS 10 PASS_WARE_AGE 7慎用root帐号/etc/securetty取消登
4、陆时系统显示信息/etc/issue/etc/,安全设置(四),内核参数调节“/proc/sys”和“etc/sysctl.conf”取消系统对ping响应net.ipv4.icmp_echo_ignore_all=1取消系统对广播消息的应答net.ipv4.icmp_echo_ignore_ broadcast=1 路由协议net.ipv4.conf.allaccept_source_route=0启动TCP SYN Cookie Protectionnet.ipv4.tcp_syncookies=1取消ICMP重定向net.ipv4.conf.all.accept_redirects=0启
5、动不利错误消息的保护net.ipv4.icmp_ignore_bogus_error_responses=1启动IP欺诈保护net.ipv4.conf.all.rp_filter=1Log欺诈包,源路由包和重定martians=1,安全设置(五),/etc/exports文件在服务器上装NFS服务是会有安全隐患如果通过NFS共享文件,需要配置不要用通配符 不允许对根目录有写权限 尽可能只给只读权限/dir/to/export(ro,root_squash)/etc/securetty文件/etc/securetty控制root用户登录位置文件列表中的设备位置都是允许登录的通过屏蔽/删除一些设备
6、可以加强安全性没有该文件表示允许root访问任何设备,这是很危险的没有pts*形式记录项表示禁止root用户在网络上登陆,安全设置(六),限制用户对系统资源使用,避免拒绝服务(DOS)攻击1、/etc/security/limits.conf*hard core 0*hard rss 5000*hard nproc 20、/etc/pam.d/login session required/lib/security/pam_limits.so/.bash_history,该文件可保存 1000个用户曾经输入过的命令 安全隐患:用户可能会在不该输入口令的地方输入了口令,而输入的口令会在“.bash
7、_history”文件中保存下来 修改“etc/profile”文件,减少保存命令数HISTFILESIZE20HISTSIZE20,安全设置(七),修改reboot、shutdown、init命令的权限在默认情况下,以上命令任何用户都有执行的权限,即任何用户都可以在远程关机。chmod 750/bin/reboot修改/etc/inittab文件,禁止ctrl+del+alt三个按健。ca:ctrlaltdel:/sbin/shutdown-t3-r now慎用telnet服务/etc/xinetd.d/telnet修改top命令的权限,此命令任何用户都可以使用,并且非常占用系统资源,若多个
8、用户使用,后果可想而知.,TCP_WRAPPERS,TCP_WRAPPERS由两个文件控制“/etc/hosts.allow”允许访问的机器/服务“/etc/hosts.deny”禁止访问的机器/服务基本语法:Daemon_list:client_list:option访问控制检查步骤如果在/etc/hosts.allow文件中有匹配的项(daemon,client)则允许访问 ftp:192.168.10.否则,查看/etc/hosts.deny,如果找到匹配的项,则访问被禁止 ALL:ALLALL,PARANOID否则,访问默认被允许配置检查:tcpdchk,PAM,使得Linux上各种应
9、用程序的认证工作独立出来,易于管理配置,login su sudo,/etc/pam.d/,/lib/security,PAM,PAM-aware应用程序首先调用libpam.so来进行认证libpam.so通过检查应用程序各自的配置来调用其余需要的库/模块pam配置文件“/etc/pam.d/”条目字段 module-type control-flag module-path argumentsmodule-typeauth 用户身份认证信息,例如口令account 授权,用户帐户的信息管理,如口令时效session 用户环境信息修改 password 通常包含一个auth模块,负责更新身份
10、认证信息,如口令control-flagrequired 该模块必须返回成功,且堆栈中所有其余模块仍将执行。requisite 失败将中止所有模块执行,立即返回结束。optional 不是必须的,可忽略。sufficient 如果该模块成功,堆栈中所有模块可忽略,并返回成功。,Lilo安全,LILO是Linux上一个多功能的引导程序。通过“/etc/lilo.conf”可以配置或提高LILO程序以及Linux系统的安全性。三个重要的选项设置。加入timeout=00 限制多重引导加入restricted 对单用户模式登陆,LILO引导加上口令保护加入password=单用单用户模式启动Linu
11、x系统时,系统要求用户输入口令 修改文件权限 chmod 600/etc/lilo.conf,SUID/SGID程序,一个运行中的普通程序为运行该程序的用户所拥有,但运行的suid/guid程序为文件所有者拥有,运行中的程序在运行期间拥有文件所有者的全部权限。ls l 中出现s的程序-r-s-x-x 1 root root 16336 04-03-12 passw黑客常常利用SUID程序,故意留下一个SUID的程序作为下次进入系统的后门。查找s程序命令:find/-type f(-perm-04000-o-perm-02000)-exec ls-lg;一些建议禁止的SUID程序chage、wa
12、ll、gpasswd、chfn、chsh、newgrp、writetraceroute、utemper、mount、umount、ping、netreport禁止SUID程序chmod a-s/usr/bin/chage,特殊文件,异常和隐含文件“”、“.”、“.G”任何人都有写权限的文件和目录 find/-type f(-perm-2-o-perm-20)-exec ls-lg;无主文件 find/-nouser-o-nogroup 可信主机文件$HOME/.rhosts、$HOME/.netrc、/etc/hosts.equiv,安全工具,系统监控程序:Sxid一次性口令工具:S/key日志管理工具:logrotate、swatch、logcheck系统完整性检查的工具:tripwire 安全连接认证:OpenSSH数据加密传输认证:OpenSSL反扫描工具:Portsentry基于主机的入侵检测:hostsentry基于内核的入侵检测:LIDS基于内核的监听模块:krnsniff包过滤防火墙:ipchains、iptables基于内核的包过滤:netfilter,