《Linux系统安全》课件

1、第三章Linux系统安全 BIOS安全LILO安全口令和帐号安全取消不必要的服务限制网络访问防止攻击替换常见网络服务应用程序防火墙常见安全工具 一 BIOS安全 一定要给Bios设置密码 以防通过在Bios中改变启动顺序 而可以从软盘启动 这样可以阻止别人试图用特殊的启动盘启动你的系统 还可以阻止别人进入Bios改动其中的设置 比如允许通过软盘启动等 二 LILO安全 LILO是LInuxLOader的缩写 它是LINUX的启动模块 可以通过修改 etc lilo conf 文件中的内容来进行配置 在 etc lilo conf 文件中加入下面三个参数 time out restricted password 这三个参数可以使你的系统在启动lilo时就要求密码验证 配置步骤 编辑lilo conf文件 vi etc f 假如或改变这三个参数 boot dev hdamap boot mapinstall boot boot btime out 00 把这行改为00promptDefault linux 二 LILO安全 restricted 加入这行password 加入这行并设置自己

2、的密码image boot vmlinuz 2 2 14 12label linuxinitrd boot initrd 2 2 14 12 imgroot dev hda6read only因为 etc lilo conf 文件中包含明文密码 所以要把它设置为root权限读取 root kapil chmod600 etc lilo conf更新系统 以便对 etc lilo conf 文件做的修改起作用 Root kapil sbin lilo v使用 chattr 命令使 etc lilo conf 文件变为不可改变 root kapil chattr i etc lilo conf这样可以防止对 etc lilo conf 任何改变 以外或其他原因 三 口令和帐号安全 1 删除所有的特殊账户应该删除所有不用的缺省用户和组账户 比如lp sync shutdown halt mail 不用sendmail服务器可删除帐号news uucp operator games 不用Xwindows服务器可删掉帐号gopher删除语法 删除用户 root kapil userdelLP删除

3、组 root kapil groupdelLP 三 口令和帐号安全 2 取消普通用户的控制台访问权限应该取消普通用户的控制台访问权限 比如shutdown reboot halt等命令 root kapil rm f etc security console apps xx xx是你要注销的程序名 3 口令安全杜绝不设口令的帐号存在杜绝不设口令的帐号存在可以通过查看 etc passwd文件发现 例如 test 100 9 home test bin bash第二项为空 说明test这个帐号没有设置口令 这是非常危险的 应将该类帐号删除或者设置口令 三 口令和帐号安全 修改一些系统帐号的Shell变量系统帐号如uucp ftp和news等 还有一些仅仅需要FTP功能的帐号 一定不要给他们设置 bin bash或者 bin sh等Shell变量 方法 可以在 etc passwd中将它们的Shell变量置空 例如设为 bin false或者 dev null等 也可以使用usermod s dev nullusername命令来更改username的Shell为 dev null 这样使

4、用这些帐号将无法Telnet远程登录到系统中来 三 口令和帐号安全 修改密码长度在你安装linux时默认的密码长度是5个字节 但这并不够 要把它设为8 修改最短密码长度需要编辑login defs文件 vi etc login defs 把下面这行PASS MIN LEN5改为PASS MIN LEN8login defs文件是login程序的配置文件 三 口令和帐号安全 打开密码的shadow支持功能打开密码的shadow功能 来对password加密 使用 usr sbin authconfig 工具打开shadow功能 如果你想把已有的密码和组转变为shadow格式 可以分别使用 usr sbin pwconv usr sbin grpconv 命令 三 口令和帐号安全 4 自动注销帐号的登录root账户是具有最高特权的 如果系统管理员在离开系统之前忘记注销root账户 那将会带来很大的安全隐患 应该让系统会自动注销 通过修改账户中 TMOUT 参数 可以实现此功能 TMOUT按秒计算 编辑你的profile文件 vi etc profile 在 HIST 后面加入下面这行 TM

5、OUT 300如果系统中登陆的用户在5分钟内都没有动作 那么系统会自动注销这个账户 你可以在个别用户的 bashrc 文件中添加该值 以便系统对该用户实行特殊的自动注销时间 改变这项设置后 必须先注销用户 再用该用户登陆才能激活这个功能 三 口令和帐号安全 5 禁止任何人通过su命令改变为root用户su SubstituteUser替代用户 命令允许你成为系统中其他已存在的用户 如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令 你可以在su配置文件 在 etc pam d 目录下 的开头添加下面两行 编辑su文件 vi etc pam d su 在文件的头部加入下面两行 authsufficient lib security pam rootok sodebugauthrequired lib security pam wheel sogroup wheel然后把您想要执行su成为root的用户放入wheel组 root sound usermod G10admin 四 取消不必要的服务 察看 etc inetd conf 文件 通过注释取消所有你不需要的

6、服务 在该服务项目之前加一个 然后用 sighup 命令升级 inetd conf 文件 更改 etc inetd conf 权限为600 只允许root来读写该文件 chmod600 etc inetd conf确定 etc inetd conf 文件所有者为root 编辑 etc inetd conf文件 vi etc inetd conf 取消不需要的服务 shell login exec talk ntalk imap pop 2 pop 3 finger auth等等 grep v etc inetd conf用chattr命令把 ec inetd conf文件设为不可修改 这样就没人可以修改它 chattr i etc inetd conf察看哪些服务在运行 netstat na ip 五 限制网络访问 NFS访问使用NFS网络文件系统服务 应该确保你的 etc exports具有最严格的访问权限设置 也就是意味着不要使用任何通配符 不允许root写权限并且只能安装为只读文件系统 编辑文件 etc exports并加入如下两行 dir to ro root squash d

7、ir to ro root squash dir to export是你想输出的目录 是登录这个目录的机器名 ro意味着mount成只读系统 root squash禁止root写入该目录 为了使改动生效 运行如下命令 usr sbin exportfs a 五 限制网络访问 Inetd设置首先要确认 etc inetd conf的所有者是root 且文件权限设置为600 命令是 chmod600 etc inetd conf然后 编辑 etc inetd conf禁止以下服务 命令是 shellloginexectalkntalkimappop 2pop 3fingerauth为了使改变生效 运行如下命令 killall HUPinetd 五 限制网络访问 TCP WRAPPERS默认的 RedhatLinux允许所有的请求 这是很危险的 如果用TCP WRAPPERS来增强我们站点的安全性简直是举手之劳 你可以将禁止所有的请求放入 ALL ALL 到 etc hosts deny中 然后放那些明确允许的请求到 etc hosts allow中 如 sshd 192 168 1 10

8、表示允许IP地址192 168 1 10和主机名允许通过SSH连接 配置完成后 可以用tcpdchk检查 tcpdchktcpchk是TCP Wrapper配置检查工具 它检查你的tcpwrapper配置并报告所有发现的潜在 存在的问题 五 限制网络访问 登录终端设置 etc securetty文件指定了允许root登录的tty设备 由 bin login程序读取 其格式是一个被允许的名字列表 你可以编辑 etc securetty且注释掉如下的行 tty1 tty2 tty3 tty4 tty5 tty6这时 root仅可在tty1终端登录 五 限制网络访问 避免显示系统和版本信息如果你希望远程登录用户看不到系统和版本信息 可以通过以下操作改变 etc inetd conf文件 telnetstreamtcpnowaitroot usr sbin tcpdin telnetd h加 h表示telnet不显示系统信息 而仅仅显示 login 六 防止攻击 阻止ping如果没人能ping通你的系统 安全性自然增加了 为此 可以在 etc rc d rc local文件中增加如下一行 ec

9、ho1 proc sys net ipv4 icmp echo ignore all防止IP欺骗编辑host conf文件并增加如下几行来防止IP欺骗攻击 orderbind hostsmultioffnospoofon 六 防止攻击 防止DoS攻击对系统所有的用户设置资源限制可以防止DoS类型攻击 如最大进程数和内存使用数量等 例如 可以在 etc security limits conf中添加如下几行 hardcore0 hardrss5000 hardnproc20然后必须编辑 etc pam d login文件检查下面一行是否存在 sessionrequired lib security pam limits so命令禁止corefiles core0 限制进程数为 nproc50 且限制内存使用为5M rss5000 七 替换常见网络服务应用程序 1 WuFTPD WuFTPDWuFTD从1994年就开始就不断地出现安全漏洞 黑客很容易就可以获得远程root访问 RemoteRootAccess 的权限 而且很多安全漏洞甚至不需要在FTP服务器上有一个有效的帐号 最近 WuF

10、TP也是频频出现安全漏洞 它的最好的替代程序是ProFTPD ProFTPD的优点 ProFTPD很容易配置 在多数情况下速度也比较快 而且它的源代码也比较干净 缓冲溢出的错误比较少 ProFTPD的另一个优点就是既可以从inetd运行又可以作为单独的daemon运行 这样就可以很容易解决inetd带来的一些问题 如 拒绝服务的攻击 denialofserviceattack 等 七 替换常见网络服务应用程序 TelnetTelnet用明文来传送密码 它的安全的替代程序是OpenSSH Linux的发行商应该采用OpenBSD的策略 安装OpenSSH并把它设置为默认的 安装Telnet但是不把它设置成默认的 SendmailSendmail是以root权限运行而且代码很庞大容易出问题 它的两个替代程序Qmail和Postfix都比它安全 速度快 而且特别是Postfix比它容易配置和维护 七 替换常见网络服务应用程序 susu是用来改变当前用户的ID 转换成别的用户 su本身是没有问题的 但是它会让人养成不好的习惯 如果一个系统有多个管理员 必须都给他们root的口令 su的一个替代

《《Linux系统安全》课件》由会员ji****en分享，可在线阅读，更多相关《《Linux系统安全》课件》请在金锄头文库上搜索。