《Linux系统安全》课件
42页1、第三章Linux系统安全 BIOS安全LILO安全口令和帐号安全取消不必要的服务限制网络访问防止攻击替换常见网络服务应用程序防火墙常见安全工具 一 BIOS安全 一定要给Bios设置密码 以防通过在Bios中改变启动顺序 而可以从软盘启动 这样可以阻止别人试图用特殊的启动盘启动你的系统 还可以阻止别人进入Bios改动其中的设置 比如允许通过软盘启动等 二 LILO安全 LILO是LInuxLOader的缩写 它是LINUX的启动模块 可以通过修改 etc lilo conf 文件中的内容来进行配置 在 etc lilo conf 文件中加入下面三个参数 time out restricted password 这三个参数可以使你的系统在启动lilo时就要求密码验证 配置步骤 编辑lilo conf文件 vi etc f 假如或改变这三个参数 boot dev hdamap boot mapinstall boot boot btime out 00 把这行改为00promptDefault linux 二 LILO安全 restricted 加入这行password 加入这行并设置自己
2、的密码image boot vmlinuz 2 2 14 12label linuxinitrd boot initrd 2 2 14 12 imgroot dev hda6read only因为 etc lilo conf 文件中包含明文密码 所以要把它设置为root权限读取 root kapil chmod600 etc lilo conf更新系统 以便对 etc lilo conf 文件做的修改起作用 Root kapil sbin lilo v使用 chattr 命令使 etc lilo conf 文件变为不可改变 root kapil chattr i etc lilo conf这样可以防止对 etc lilo conf 任何改变 以外或其他原因 三 口令和帐号安全 1 删除所有的特殊账户应该删除所有不用的缺省用户和组账户 比如lp sync shutdown halt mail 不用sendmail服务器可删除帐号news uucp operator games 不用Xwindows服务器可删掉帐号gopher删除语法 删除用户 root kapil userdelLP删除
3、组 root kapil groupdelLP 三 口令和帐号安全 2 取消普通用户的控制台访问权限应该取消普通用户的控制台访问权限 比如shutdown reboot halt等命令 root kapil rm f etc security console apps xx xx是你要注销的程序名 3 口令安全杜绝不设口令的帐号存在杜绝不设口令的帐号存在可以通过查看 etc passwd文件发现 例如 test 100 9 home test bin bash第二项为空 说明test这个帐号没有设置口令 这是非常危险的 应将该类帐号删除或者设置口令 三 口令和帐号安全 修改一些系统帐号的Shell变量系统帐号如uucp ftp和news等 还有一些仅仅需要FTP功能的帐号 一定不要给他们设置 bin bash或者 bin sh等Shell变量 方法 可以在 etc passwd中将它们的Shell变量置空 例如设为 bin false或者 dev null等 也可以使用usermod s dev nullusername命令来更改username的Shell为 dev null 这样使
4、用这些帐号将无法Telnet远程登录到系统中来 三 口令和帐号安全 修改密码长度在你安装linux时默认的密码长度是5个字节 但这并不够 要把它设为8 修改最短密码长度需要编辑login defs文件 vi etc login defs 把下面这行PASS MIN LEN5改为PASS MIN LEN8login defs文件是login程序的配置文件 三 口令和帐号安全 打开密码的shadow支持功能打开密码的shadow功能 来对password加密 使用 usr sbin authconfig 工具打开shadow功能 如果你想把已有的密码和组转变为shadow格式 可以分别使用 usr sbin pwconv usr sbin grpconv 命令 三 口令和帐号安全 4 自动注销帐号的登录root账户是具有最高特权的 如果系统管理员在离开系统之前忘记注销root账户 那将会带来很大的安全隐患 应该让系统会自动注销 通过修改账户中 TMOUT 参数 可以实现此功能 TMOUT按秒计算 编辑你的profile文件 vi etc profile 在 HIST 后面加入下面这行 TM
5、OUT 300如果系统中登陆的用户在5分钟内都没有动作 那么系统会自动注销这个账户 你可以在个别用户的 bashrc 文件中添加该值 以便系统对该用户实行特殊的自动注销时间 改变这项设置后 必须先注销用户 再用该用户登陆才能激活这个功能 三 口令和帐号安全 5 禁止任何人通过su命令改变为root用户su SubstituteUser替代用户 命令允许你成为系统中其他已存在的用户 如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令 你可以在su配置文件 在 etc pam d 目录下 的开头添加下面两行 编辑su文件 vi etc pam d su 在文件的头部加入下面两行 authsufficient lib security pam rootok sodebugauthrequired lib security pam wheel sogroup wheel然后把您想要执行su成为root的用户放入wheel组 root sound usermod G10admin 四 取消不必要的服务 察看 etc inetd conf 文件 通过注释取消所有你不需要的
《《Linux系统安全》课件》由会员ji****en分享,可在线阅读,更多相关《《Linux系统安全》课件》请在金锄头文库上搜索。
2024-04-09 29页
2024-04-08 25页
2024-04-08 13页
2024-04-08 17页
2024-04-08 17页
2024-04-08 11页
2024-04-08 14页
2024-04-08 17页
2024-04-08 15页
2024-04-08 16页