操作系统安全Linux系统安全增强.ppt

第10章 Linux系统安全增强 操作系统安全Linux系统安全增强第一部分  教学组织 o一、目的要求一、目的要求o1.掌握Linux操作系统安全设置基本技巧o2.了解Linux日志系统、掌握常用审计工具的使用o3.理解入侵检测基本过程并且掌握常用的入侵检测方法和工具o二、工具器材二、工具器材o1.Red Hat Enterprise Linux7.0或以上操作系统o2.syslog_ng工具或其他日志工具o3.入侵检测工具Snort操作系统安全Linux系统安全增强第二部分第二部分  教学内容教学内容o本章主要介绍Linux系统安全设置技巧、日志和审计工具的使用和入侵检测工具及使用，从而更有效增强了Linux系统安全 操作系统安全Linux系统安全增强10.1 系统安全设置技巧 o10.1.1 启动和登录安全性设置 n1. BIOS安全，设定引导口令 n2. 系统帐号的增加、删除和移走 n3. 口令设置及加密文件的保护n4．禁止Ctrl+Alt+Delete三键重启系统 n5．限制使用su命令n6．删减登录信息 操作系统安全Linux系统安全增强1. BIOS安全，设定引导口令o禁止从软盘启动，并且给BIOS加上密码。

每次启动的时候都手工检查一下BIOS，这样可以提高系统的安全性禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计计算机；给BIOS加上密码，可以防止有人改变BIOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机操作系统安全Linux系统安全增强2. 系统帐号的增加、删除和移走o(1) 增加用户n增加用户有三个过程：n在/etc/passwd文件中写入新用户的入口项；n为新登录用户建立一个HOME目录；n在/etc/group中为新用户增加一个入口项操作系统安全Linux系统安全增强o在/etc/passwd文件中写入新的入口项时,口令部分可先设置为NOLOGIN,以免有人做为此新用户登录在修改文件前，应mkdir /etc/ptmp，以免他人同时修改此文件新用户一般独立为一个新组，GID号与UID号相同(除非他要加入目前已存在的一个新组),UID号必须和其他人不同,HOME目录一般设置在/usr或/home目录下建立一个以用户登录名为名称的目录做为其主目录. 操作系统安全Linux系统安全增强(2) 删除用户 o删除用户与加用户的工作正好相反,首先在/etc/passwd和/etc/group文件中删除用户的入口项,然后删除用户的HOME目录和所有文件.rm -r /usr/loginname 删除整个目录树。

如果用户在/usr/spool/cron/crontabs中有crontab文件,也应当删除操作系统安全Linux系统安全增强(3)将用户移到另一个系统o这是一个复杂的问题,不只是拷贝用户的文件和用户在/etc/passwd文件中的入口项首先一个问题是用户的UID和GID可能已经用于另一个系统,若是出现这种情况,必须给要移的用户分配另外的UID和GID,如果改变了用户的UID和GID,则必须搜索该用户的全部文件,将文件的原UID和GID改成新的UID和GIDo用find命令可以完成这一修改: ofind . -user olduid -exec chown newuid {} ；ofind . -group oldgid -exec chgrp newgid {} ；o也许还要为用户移走其它一些文件: o/usr/mail/user和/usr/spool/cron/crontabs/user操作系统安全Linux系统安全增强3. 口令设置及加密文件的保护o口令的安全是Linux安全的一个基本安全设置许多人都把所有的东西保存在计算机上，防止别人查看这些信息的方法就是用口令把计算机保护起来。

没有什么东西是绝对安全的与常识相反的是：无法破解的口令是不存在的只要给足时间和资源，所有的口令都能用社会工程(social engineering)或强行计算的方法猜出来通过社会工程或其它方法获得服务器的口令是最简单和最流行的入侵服务器的方法操作系统安全Linux系统安全增强o建议用下面的规则选择有效的口令：o（1）口令至少要有6个字符，最好包含一个以上的数字或特殊字符；o（2）口令不能太简单，所谓的简单就是很容易猜出来，也就是用自己的名字，号码、生日、职业或者其它个人信息作为口令；o（3）口令必须是有有效期的，在一段时间之后就要更换口令；o（4）口令在这种情况下必须作废或者重新设定：如果发现有人试图猜测你的口令，而且已经试过很多次了操作系统安全Linux系统安全增强o安装完Linux系统之后默认的最小口令长度为5这就是说一个新的用户可以访问服务器，那么他的口令必须多于5字符但是这样是不够安全的，最好口令的长度能够大于8可以强制用户使用8个字符以上的口令编辑“/etc/login.defs”文件，把最小口令长度由5改成8找到PASS_MIN_LEN 5 这一行，改为：PASS_MIN_LEN 8 。

login.defs”是很重要的配置文件可以在这个文件中设定一些其它的安全策略，比如：口令的有效期操作系统安全Linux系统安全增强o口令文件保护是系统安全设置的一个非常重要内容，系统管理员应更改其属性，防止非授权用户获取口令文件对于UNIX系统，口令文件主要有用户和组账号口令文件，用于保持所有用户的口令对于LINUX系统，通过chattr命令可以改变口令文件的属性如：o# chattr   +i    /etc/passwdo# chattr   +i    /etc/shadowo# chattr   +i    /etc/groupo# chattr   +i    /etc/gshadowo执行上述命令后，passwd、shadow、group和gshadow四个文件将不能修改，不能被删除和重新命名，不能创建指向该文件的链接，不能向该文件添加数据，仅仅超级用户能够设置和清除这个属性操作系统安全Linux系统安全增强4．禁止Ctrl+Alt+Delete三键重启系统o我们平时用习惯了windows机器,可能在linux下也习惯的按下Ctrl+Alt+Delete三键,导致linux系统重新启动.以下是屏蔽这三键的方法,防止误操作导致重启:o（1）修改/etc/inittab文件，将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。

o（2）执行“init q”这命令使上面修改后文件生效，然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：o# chmod -R 700 /etc/rc.d/init.d/*操作系统安全Linux系统安全增强5．限制使用su命令o禁止任何人使用su命令 su命令（Substitute User，替代用户）可以使你成为系统的现有用户如果不希望别人使用su进入根帐户，或者对某些用户限制使用“su”命令，则在“/etc/pam.d/”目录的“su”配置文件顶部增加如下两行代码：oauth sufficient /lib/security/pam_rootok.so debug oauth required /lib/security/Pam_wheel.so group=wheel o意思是，只有“wheel”组的成员可以用su命令；其中还包括了日志你可以在wheel组中添加允许使用该命令的用户，例如，希望用户admin能够使用su命令，可以运行如下命令：o # usermod –G 10 admino将用户加入到wheel组，即可使用su命令操作系统安全Linux系统安全增强6．删减登录信息o 默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。

对于一台安全性要求较高的机器来说这样泄漏了过多的信息可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉 操作系统安全Linux系统安全增强o# This will overwrite /etc/issue at every boot. So， make any changes you o# want to make to /etc/issue here or you will lose them when you rebooto# echo "" ＞ /etc/issue o# echo "#R" ＞＞ /etc/issue o# echo "Kernel #(uname -r) on #a #(uname -m)" ＞＞ /etc/issue o# cp -f /etc/issue /etc/ o# echo ＞＞ /etc/issue o然后，进行如下操作： o     # rm -f /etc/issue o     # rm -f /etc/ o     # touch /etc/issueo     # touch /etc/操作系统安全Linux系统安全增强10.1.2 网络访问安全性设置网络访问安全性设置o1．限制网络访问o（1）NFS访问 o如果你使用NFS网络文件系统服务，应该确保你的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。

编辑文件/etc/exports并加入如下两行o/dir/to/expor(ro，root_squash) o/dir/to/expor(ro，root_squash) o/dir/to/export 是你想输出的目录，是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录为了使改动生效，运行如下命令：o# /usr/sbin/exportfs -a 操作系统安全Linux系统安全增强（2）Inetd设置 o首先要确认/etc/inetd.conf的所有者是root，且文件权限设置为600设置完成后，可以使用"stat"命令进行检查 o# chmod 600 /etc/inetd.conf o然后，编辑/etc/inetd.conf禁止以下服务： o shell login exec talk ntalk imap pop-2 pop-3 finger auth o如果安装了ssh/scp，也可以禁止掉Telnet/FTP为了使改变生效，运行如下命令： o　　#killall -HUP inetd 操作系统安全Linux系统安全增强o默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。

例如，将/etc/hosts.deny设为"ALL: ALL"可以默认拒绝所有访问然后在/etc/hosts.allow文件中添加允许的访问例如，"sshd: 192.168.1.10/255.255.255.0 "表示允许IP地址192.168.1.10和主机名允许通过SSH连接 o配置完成后，可以用tcpdchk检查：o　　# tcpdchk otcpchk是TCP_Wrapper配置检查工具，它检查tcp wrapper配置并报告所有发现的潜在/存在的问题操作系统安全Linux系统安全增强（3）登录终端设置o/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行：o# tty2o# tty3o# tty4o# tty5o# tty6o这时，root仅可在tty1终端登录限制远程登录时使用root帐号操作系统安全Linux系统安全增强(4) 避免显示系统和版本信息o如果希望远程登录用户看不到系统和版本信息，可以通过以下操作改变/etc/inetd.conf文件： otelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h o加-h表示telnet不显示系统信息，而仅仅显示“login:”。

操作系统安全Linux系统安全增强2．防止攻击o(1) 阻止ping o如果没人能ping通你的系统，安全性自然增加了为此，可以在/etc/rc.d/rc.local文件中增加如下一行： oecho 1 ＞/proc/sys/net/ipv4/　　icmp_echo_ignore_allo(2) 防止IP欺骗 o编辑host.conf文件并增加如下几行来防止IP欺骗攻击：oorder bind，hosts omulti off onospoof on操作系统安全Linux系统安全增强o(3) 防止DoS攻击 o对系统所有的用户设置资源限制可以防止DoS类型攻击如最大进程数和内存使用数量等例如，可以在/etc/security/limits.conf中添加如下几行：o* hard core 0 o* hard rss 5000o* hard nproc 20 o然后必须编辑/etc/pam.d/login文件检查下面一行是否存在 osession required /lib/security/pam_limits.so o上面的命令禁止调试文件，限制进程数为20，并且限制内存使用为5MB。

 操作系统安全Linux系统安全增强10.1.3 安装系统安全补丁包安装系统安全补丁包o1．安装Red Hat Linux 系统补丁o2．安装Solaris系统补丁操作系统安全Linux系统安全增强10.2 日志和审计工具的使用 o记录重要的系统事件是系统安全的一个重要因素多数Linux系统能够运行三个不同的日志子系统：使用wtmp/utmp 文件的连接时间日志；使用acct或pacct文件的进程统计；经过syslog 实施的错误日志本节介绍这些日志子系统以及允许系统或安全管理员监测、审计和维护日志的命令和程序，另外重点讲述了syslog-ng工具及其使用 操作系统安全Linux系统安全增强10.2.1 UNIX的日志系统的日志系统  o在多数UNIX 系统中，有三个主要的日志子系统：  o1．连接时间日志o由多个程序执行，把记录写入到/var/log/wtmp（或/var/adm/wtmp）和/var/run/utmp（可以是/etc/utmp 或/var/adm/utmp）login等程序更新wtmp和utmp文件，使系统管理员能跟踪用户在何时登录进入系统  o2．进程统计o由系统内核执行。

当一个进程终止时，为每个进程往进程统计文件（pacct或acct ）中写一个记录进程统计的主要目的是为系统中的基本服务提供命令使用统计  操作系统安全Linux系统安全增强o3．错误日志o由syslogd 执行各种系统守护程序、用户程序和内核通过syslog 向文件/var/adm/messages 和/var/log/syslog 报告值得注意的事件另外有许多UNIX 程序创建日志像HTTP 或FTP 这样提供网络服务的服务器也保持详细的日志 o根据不同的UNIX版本，日志文件通常写到/var/log、/var/adm、/usr/adm 或有时/etc 目录中，如表10-1所示 操作系统安全Linux系统安全增强o表10-1 常用UNIX系统的日志存放目录操作系统 日志所存放的目录Linux/var/log、/etc/syslog.conf、/var/runSolaris/var/logFreeBSD/var/run/utmp、/var/log/wtmp、/var/log/lastlogSunOS/etc/utmp、/usr/adm/wtmp、/usr/adm/lastlog操作系统安全Linux系统安全增强10.2.2 syslog_ng工具及使用工具及使用o1．syslog-ng简介o在UNIX系统的维护中，经常会忽略系统事件的处理。

经常检查系统日志对于保持系统的安全和正常运行是至关重要的但是，系统日志中有太多的噪音，一些不是很重要的信息会掩盖重要的信息目前的工具很难识别出系统管理者感兴趣的信息o在UNIX系统中，系统管理员可以通过指定facility/priority，把消息发到不同的地方系统预先定义了10个（mail、news、auth等）facility，8个不同的优先级（alert、debug等） 操作系统安全Linux系统安全增强o这其中存在一个问题，大量的程序使用同样的facildaemon ity（），把日志都保存到一个文件中（messages），即使它们毫无关联，这样也会造成用户很难筛选出自己感兴趣的东西第二个问题是，大多数的程序无法改变日志配置，只能修改软件的源代码 　　因此，使用facility作为过滤不是一个好办法最好能够有一些runtime选项，使用这些选项指定日志facility，建立新的facility 操作系统安全Linux系统安全增强osyslog-ng的一个设计原则就是建立更好的消息过滤粒度syslog-ng能够进行基于内容和优先权/facility的过滤另一个设计原则是更容易进行不同防火墙网段的信息转发，它支持主机链，即使日志消息经过了许多计算机的转发，也可以找出原发主机地址和整个转发链。

最后的一个设计原则就是尽量使配置文件强大和简洁操作系统安全Linux系统安全增强2．消息路径 o一个消息路径是由一个或者多个日志消息源、一个或者多个过滤规则以及一个或者多个日志消息目的组成的来自某个日志消息源的消息进入syslog-ng，如果消息命中某条规则，syslog-ng就把它发送到对应的日志消息目的 操作系统安全Linux系统安全增强o（1）消息源o一些日志消息源驱动器（source driver）组成一个消息源，这些驱动器使用给定的方法收集日志消息譬如，有的syslog（）系统调用使用的AF_UNIX、SOCK_STREAM风格的套接字源驱动器o在配置文件中，你可以使用下面的语法声明一个日志消息源：osource { source-driver（params）； source-driver（params）； ... }； oidentifier是给定消息源的唯一标志，但是这个标志符不能和系统保留字有冲突o用户可以控制使用哪个驱动器来收集日志消息，因而你需要知道你的系统和syslogd是如何通讯的 操作系统安全Linux系统安全增强o不同平台下syslogd的工作稍有不同，下面介绍一下某些平台中，syslogd是如何工作的：o① Linux： 使用/dev/log的SOCK_STREAM unix套接字o② BSD： 使用/var/run/log的SOCK_STREAM unix套接字 o③ Solaris（2.5或以下）：使用/dev/log的SVR4风格的STREAMS设备 o④ solaris（2.6或以上）： 除了2.6之前版本使用的STREAMS设备之外，使用了一种新的多线程IPC方法调用门。

默认情况下，这个调用门是/etc/syslog_door，由syslogd使用 o在syslog-ng中，每个可能的通讯机制都有对应的日志消息源驱动器例如：如果要打开一个SOCK_DGRAM风格的UNIX套接字进行通信，你就会用到unix-dgram驱动器，同样SOCK_STREAM式的通信需要unix-stream驱动器 操作系统安全Linux系统安全增强o例10.1：Linux中的一个源指令osource src { unix-stream（"/dev/log"）； internal（）； udp（ip（0.0.0.0） port（514））； }； o驱动器可以使用参数，参数有些是必需的，有些是可选的必需的参数一般在前面上面的指令中，/dev/log就是必需参数可用的源驱动器如表10-3所示 操作系统安全Linux系统安全增强表10-3 日志消息源驱动器列表操作系统安全Linux系统安全增强o下面，将详细介绍配置文件中使用的消息源驱动器和选项 o① internal（） o所有syslog-ng内部产生的日志消息都来自这个日志消息源如果你需要syslog-ng自己定义的警告、错误和提醒信息，就需要在配置文件中加入以下声明： o　　Declaration: internal（）o如果这个消息源驱动器没有被引用，syslog-ng会向你输出报警信息。

 o例10.2：使用inernal（）日志消息源驱动器o    　　source s_local { internal（）； }； 操作系统安全Linux系统安全增强o② unix-stream（）和unix-dgram（） o这两个日志消息源驱动器比较相似，都打开AF_UNIX类型的套接字，在套接字上监听日志消息unix-stream（）主要用在Linux，使用SOCK_STREAM参数，是面向连接的，不会造成日志消息的丢失；unix-dgram（）用在FreeBSD系统上，使用SOCK_DGRAM参数，是无连接的，如果系统过载，会造成日志消息丢失 o在使用面向连接的协议时，为了避免造成拒绝服务攻击，需要对同时接受的连接数量进行闲置，这由max-connections（）参数实现其声明语法如下：oDeclaration:  o    unix-stream（ [options]）；o　　unix-dgram（ [options]）；操作系统安全Linux系统安全增强o③ tcp（）和udp（） o使用这两个日志消息源驱动器，你可以使用TCP或者UDP协议从网络上接受日志消息 　oUDP是一种简单的用户数据报协议，使用这种协议可能会发生日志消息的丢失，而且这种协议没有重传机制；TCP是一种面向连接的传输层协议，不会造成日志消息的丢失。

　这两种消息源驱动器都不需要位置参数默认情况下，syslog-ng会绑定到0.0.0.0:514，在所有有效的端口上监听可以使用localip（）参数来限制其接受连接的端口 操作系统安全Linux系统安全增强o注意：514端口是rshell使用的端口，因此如果syslog-log和rshell同时使用，你需要为syslog-ng选择另外的端口 其声明语法如下：oDeclaration:o　　tcp（[options]）；o　　udp（[options]）；操作系统安全Linux系统安全增强o ④ file（） o通常，内核会把自己的消息送到一个特殊的文件（FreeBSD系统是/dev/kmsg，Linux系统是/proc/kmsg），因此用户需要使用file（）日志消息源驱动器来指定这个文件在Linux中，klogd会读取内核信息，并转发到syslogd进程，klogd在转发之前会对内核消息进行处理，使用/boot/System.map文件中的符号名代替原来的地址如果你不需要这种功能，可以使用-x参数运行klogd 其声明语法如下：o                          Declaration: o　　                               file（）； 操作系统安全Linux系统安全增强o⑤ pipe（） opipe日志消息源驱动器打开一个命名管道，在这个命名管道监听日志消息。

在HP-UX系统中，它用于内部日志消息的获得其声明语法如下：o　　                     Declaration: o                              pipe（）； o注意：使用pipe（） 需要使用mkfifo建立命名管道 o例10.6：使用pipe（）日志消息源驱动器示例 o　　      source s_pipe { pipe（"/dev/log"）； }； 操作系统安全Linux系统安全增强o⑥ sun-streams（） o2.51版之前的solaris使用STREAMS API把日志消息发送到syslogd进程，且必须在编译syslog-ng时加入这个特征 o新版solaris（2.51版本之后）中，STREAMS使用一个新的IPC调用门来投递日志消息syslog-ng支持这种IPC机制 操作系统安全Linux系统安全增强（2）过滤器o在syslog-ng中，过滤器执行日志路由过滤功能用户可以使用syslog-ng的内部函数编写布尔表达式，来决定日志信息是否通过过滤器也都有唯一的标志符，语法如下：o 　   { expression；}； o表达式中可以包含逻辑操作符（and、or、not）和函数。

 o例10.7：一个搜索来自blurp主机，包含deny的日志消息的过滤指令可表示为：o　　filter f_blurp_deny { host（"blurp"） and match（"deny"）； }； 操作系统安全Linux系统安全增强osyslog-ng的过滤函数如表10-6所示表10-6 syslog-ng的过滤函数及功能说明 操作系统安全Linux系统安全增强（3）日志消息目的地o日志消息目的地驱动器把日志消息从syslog-ng输出到另一个地方：一个文件或者一个网络套接字oDestination用于指定与过滤规则的日志消息的去处和日志消息源类似，日志消息目的地可以包括一些目的驱动器，指定日志的派发方向用户需要使用如下语法来声明日志消息目的： odestination { destination-driver（params）； destination-driver（params）； ... }； 操作系统安全Linux系统安全增强syslog-ng支持的日志消息目的地驱动器如表10-7所示：表10-7 日志消息目的地驱动器及功能操作系统安全Linux系统安全增强o下面详细介绍以上日志消息目的驱动器：o① file（） ofile（）是syslog-ng最重要的日志消息目的驱动器之一。

使用它，你可以把日志消息定向到一些文件中在设置日志目的文件时，可以使用宏，从而使用一个简单的file日志消息目的驱动器就可以设置很多目的文件和PHP/PERL大多数语言使用宏变量一样，宏file（）也是以#开头如果文件所在的目录不存在，则由create_dirs（）来决定是否创建这个目录操作系统安全Linux系统安全增强o② file（）日志消息目的地驱动器的选项o③ pipe（） osyslog-ng通过pipe（）日志消息目的地驱动器把日志消息发送到/dev/xconsole之类的命名管道o④ unix-stream（）和unix0dgram（）osyslog-ng通过这两个日志消息目的驱动器把日志消息发送到一个SOCK_STREAM或者SOCK_DGRAM模式的UNIX套接字 操作系统安全Linux系统安全增强o⑤ udp（）和tcp（） o使用TCP或者UDP协议把日志消息送到本地网络上或者internet上的另外的主机 o⑥ usertty（） osyslog-ng使用这个日志消息目的驱动器把日志消息送到一个登录用户使用的终端 o⑦ program（） oprogram（）驱动器派生（fork）出一个进程，使用给定的参数执行一个特定的程序，然后把日志消息送到这个进程的标准输入设备。

操作系统安全Linux系统安全增强（4）组成日志消息路径o前面我们学习了如何定义消息源、过滤器和消息目的现在我们要把这些结合起来形成一条完整的指令凡是来源于指定的消息源，匹配所有指定的过滤器，并送到指定的地址其语法如下：          log { source（s1）； source（s2）； ...            　　filter（f1）； filter（f2）； ...            　　destination（d1）； destination（d2）； ... }； 其中，日志路径中的成员是顺序执行的 操作系统安全Linux系统安全增强（5）设置选项用户可以通过设置一些选项来改变syslog-ng的行为设置选项的语法一般是： 　　options { option1（params）； option2（params）； ... }； 操作系统安全Linux系统安全增强（6）优化syslog-ngo syslog-ng的默认设置是针对单服务器或者工作站的，而对于一个网络的中央日志主机来说，却远远不够因此，需要对其进行一些调整和优化操作系统安全Linux系统安全增强o① 设置垃圾收集参数osyslog-ng有自己的垃圾收集器，而且一旦进入垃圾收集状态就不再接受日志消息，从而造成非连接的传输协议（UDP）的信息丢失。

因此，需要对syslog-ng的垃圾收集状态进行控制，用户可以通过以下两个选项来控制其垃圾收集状态操作系统安全Linux系统安全增强ogc_idle_threshold（） o这个选项能够设置垃圾收集器在syslog-ng处于空闲状态时的阀值o如果分配的的对象达到这个数字，而且系统处于空闲状态（100msec内没有日志消息到达），syslog-ng就启动垃圾收集器此时，系统处于空闲状态，因此基本不会造成日志信息的丢失这个值应该比较小，不过要大于已分配对象的最小值已分配对象的最小值取决于用户的配置，也可以通过-v命令行参数指定 操作系统安全Linux系统安全增强ogc_busy_threshold（） o如果syslog-ng正忙于接受日志消息（日志消息的间隔小于100msec），为了防止其占有所有内存，也应该运行垃圾收集器这个值应该比较高，以便在正常情况下不打断日志消息的接收操作系统安全Linux系统安全增强o② 设置输出队列的大小o为了防止发送日志的daemon程序阻塞，syslog-ng一直在读取其向内的日志通道如果输出队列已满，就可能造成日志消息的丢失因此，设置输出队列的大小非常重要，你可以设置全局输出队列的大小，也可以为每个日志消息驱动器设置输出队列的大小。

 其语法为：o   options { log_fifo_size（1000）； }； o   或者：o   destination d_dmessages { file（"/var/log/messages" log_fifo_size（1000）； }； 操作系统安全Linux系统安全增强o输出队列的大小应该合理，这对于大量的日志消息涌来特别重要如果蜂拥而至的日志信息占据了目标通道的所有带宽，syslog-ng能够把日志消息消息保存到输出队列中，等高峰过去再发出o当然，syslog-ng不能测试你的网络带宽，因此如果目的主机在一个噪音很大的网络上，而且日志流量超过网络带宽，syslog-ng也无能为力操作系统安全Linux系统安全增强o③ 设置同步（sync）参数osyslog-ng一般先对日志消息进行缓存，当达到一定的数量，就写入磁盘注意，syslog-ng是对每条日志消息分别使用write（）系统调用，而不是把所有日志消息一次写入磁盘操作系统安全Linux系统安全增强10.2.3 其他日志工具 oLinux系统除了常用的日志工具syslog-n外，还有一些专门用于分析日志的工具，如Logcheck、Logwatch和Swatch等。

nLogchecknLogwatchnSwatch 操作系统安全Linux系统安全增强o1．LogcheckoLogcheck用来分析庞大的日志文件，过滤出有潜在安全风险或其他不正常情况的日志项目，然后以电子邮件的形式通知指定的用户logchek 可以自动地检查日志文件，先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息 email 给系统管理员Logcheck 被设计成自动运行，定期检查日志文件以发现违反安全规则以及异常的活动logcheck 用 logtail 程序记住上次已经读过的日志文件的位置，然后从这个位置开始处理新的日志信息 操作系统安全Linux系统安全增强o2．logwatcho如果要想迅速的得到 Linux环境中的日志报告信息, Logwatch 是一个很好的工具一般的 Linux 系统中可能都默认安装了这个工具，几乎不需要额外的配置就可以简单的用起来 新版本的 LogWatch 默认有 70 多种 Log 的配置信息， 如果要对自己的特殊 Log 做监控, 定制也是比较容易的这里简要介绍基本的做法: o（1）创建一个日志文件组指定自己的 Log 文件,可以是一个，可以是多个；o（2）创建一个新的服务。

指明这个服务的名字, 指明 Log 文件来源(来自上一步的定义)； o（3）创建一个过滤脚本 操作系统安全Linux系统安全增强o3．SwatchoSWATCH是Todd Atkins开发的用于实时监视日志的PERL程序Swatch利用指定的触发器监视日志记录，当日志记录符合触发器条件时，swatch会按预先定义好的方式通知系统管理员Swatch 有两种运行方式：一种可以在检查日志完毕退出，另一种可以连续监视日志中的新信息操作系统安全Linux系统安全增强10.3 入侵检测工具及使用o10.3.1 入侵检测概述入侵检测概述oCIDF早期由美国国防部高级研究计划局赞助研究，现在由早期由美国国防部高级研究计划局赞助研究，现在由CIDF工工作组负责，是一个开放组织作组负责，是一个开放组织 CIDF阐述了一个入侵检测系统阐述了一个入侵检测系统（（IDS）的通用模型它将一个入侵检测系统分为以下组件：事件产）的通用模型它将一个入侵检测系统分为以下组件：事件产生器（生器（Event generators），用），用E盒表示；事件分析器（盒表示；事件分析器（Event analyzers），用），用A盒表示；响应单元（盒表示；响应单元（Responseunits），用），用R盒表示；事件数据库（盒表示；事件数据库（Event databases），用），用D盒表示。

盒表示　　操作系统安全Linux系统安全增强10.3.2入侵检测系统的分类入侵检测系统的分类o从技术上进行分类，分为基于网络的入侵检测和基于主机入侵检测n基于网络的入侵检测n基于主机的入侵检测 o基于检测方法的分类，分为特征检测与异常检测　 n特征检测n异常检测n统计检测 n专家系统 操作系统安全Linux系统安全增强1．基于网络的入侵检测和基于主机．基于网络的入侵检测和基于主机入侵检测入侵检测o（1）基于网络的入侵检测o基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包网络入侵检测系统的优点：o① 网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问o② 一个网络入侵检测系统不需要改变服务器等主机的配置由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能操作系统安全Linux系统安全增强o③ 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径网络入侵检测系统发生故障不会影响正常业务的运行布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。

o④ 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可操作系统安全Linux系统安全增强o网络入侵检测系统的弱点：o① 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包o② 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测操作系统安全Linux系统安全增强o③ 网络入侵检测系统可能会将大量的数据传回分析系统中o④ 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出操作系统安全Linux系统安全增强o(2) 基于主机的入侵检测o基于主机的入侵检测产品（HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施操作系统安全Linux系统安全增强o主机入侵检测系统的优点：o① 主机入侵检测系统对分析“可能的攻击行为”非常有用。

o② 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低o③ 主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下操作系统安全Linux系统安全增强o主机入侵检测系统的弱点：o① 主机入侵检测系统安装在我们需要保护的设备上o② 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力o全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标o③ 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况操作系统安全Linux系统安全增强2.特征检测与异常检测　o（1）特征检测o特征检测又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来o特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式当被审计的事件与已知的入侵事件模式相匹配时，即报警。

原理上与专家系统相仿其检测方法上与计算机病毒的检测方式类似目前基于对包特征描述的模式匹配应用较为广泛o该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力操作系统安全Linux系统安全增强o（2）异常检测o异常检测的假设是入侵者活动异常于正常主体的活动根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为操作系统安全Linux系统安全增强o（3）统计检测o统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等常用的入侵检测5种统计模型为：o操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；操作系统安全Linux系统安全增强o方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；o多元模型，操作模型的扩展，通过同时分析多个参数实现检测；o马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；操作系统安全Linux系统安全增强o时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

o统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统操作系统安全Linux系统安全增强o（4）专家系统o用专家系统对入侵进行检测，经常是针对有特征入侵行为所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性入侵的特征抽取与表达，是入侵检测专家系统的关键在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性操作系统安全Linux系统安全增强10.3.3常用手工入侵检测方法与命令 o在在Linux下常用手工入侵检测方法与命令有：下常用手工入侵检测方法与命令有：o1．检查/etc/passwd文件中是否有可疑用户o2．检查/etc/inet.conf和crontab文件是否被修改o3．检查.rhosts、/etc/hosts.equiv、.forward文件是否被修改 o4．检查是否有危险的Root Suid程序 o5．检查系统日志 o6. 检查是否有可疑进程 o7. 检查网络连接和开放端口 操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o1. snort简介oSnort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上数据包记录器模式把数据包记录到硬盘上网路入侵检测模式是最复杂的，而且是可配置的我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o（1）嗅探器o所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上首先，我们从最基本的用法入手如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：o./snort –vo使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息如果要看到应用层的数据，可以使用：o./snort –vd操作系统安全Linux系统安全增强o这条命令使snort在输出包头信息的同时显示包的数据信息如果你还要显示数据链路层的信息，就使用下面的命令：o./snort –vdeo注意这些选项开关还可以分开写或者任意结合在一块例如，下面的命令就和./snort –vde这一条命令等价：o./snort -d -v –e操作系统安全Linux系统安全增强o（2）数据包记录器    如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包：o./snort -dev -l ./logo当然，./log目录必须存在，否则snort就会报告错误信息并退出。

当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如：192.168.10.1操作系统安全Linux系统安全增强o如果只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名为了只对本地网络进行日志，需要给出本地网络：o./snort -dev -l ./log -h 192.168.1.0/24o这个命令告诉我们，snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中操作系统安全Linux系统安全增强o（3）网络入侵检测系统o snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：o./snort -dev -l ./log -h 192.168.1.0/24 -c snort.confo这里的snort.conf是规则集文件snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动如果不指定输出目录，snort就输出到/var/log/snort目录。

注意：如果长期使用snort作为自己的入侵检测系统，最好不要使用-v选项，因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包 操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o2. 编写编写snort 规则基础规则基础osnort使用一种简单的，轻量级的规则描述语言，这种语言灵活而强大在开发snort规则时要记住几个简单的原则o 大多数snort规则都写在一个单行上，或者在多行之间的行尾用”\”分隔Snort规则分成两个逻辑部分：规则头和规则选项规则头包含规则的动作，协议，源和目标ip地址与网络掩码以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分 操作系统安全Linux系统安全增强o下面是一个规则范例：o alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";)o第一个括号前的部分是规则头（rule header），包含的括号内的部分是规则选项（rule options）。

规则选项部分中冒号前的单词称为选项关键字（option keywords）注意，不是所有规则都必须包含规则选项部分，选项部分只是为了使对要收集或报警，或丢弃的包的定义更加严格组成一个规则的所有元素对于指定的要采取的行动都必须为真当多个元素放在一起时，可以认为它们组成了一个逻辑与（AND）语句同时，snort规则库文件中的不同规则可以认为组成了一个大的逻辑或（OR）语句操作系统安全Linux系统安全增强o（1）规则头o规则的头包含了定义一个包的who，where和what信息，以及当满足规则定义的所有属性的包出现时要采取的行动o规则动作规则动作o规则的第一项是"规则动作"（rule action），"规则动作"告诉snort在发现匹配规则的包时要干什么在snort中有五种动作：alert、log、pass、activate 和dynamic.o① Alert：使用选择的报警方法生成一个警报，然后记录（log）数据包操作系统安全Linux系统安全增强o② Log：记录数据包o③ Pass：丢弃（忽略）数据包o④ activate：报警并且激活另一条动态（dynamic）规则o⑤ dynamic：保持空闲直到被一条activate规则激活，被激活后就作为一条log规则执行。

o用户可以定义自己的规则类型并且附加一条或者更多的输出模块给它，然后就可以使用这些规则类型作为snort规则的一个动作 操作系统安全Linux系统安全增强o下面这个例子创建一条规则，记录到tcpdump：oruletype suspiciouso{o    type log outputo    log_tcpdump: suspicious.logo}o下面这个例子创建一条规则，记录到系统日志和MySQL数据库oruletype redalerto{o    type alert outputo    alert_syslog: LOG_AUTH LOG_ALERTo   output database: log, mysql, user=snort dbname=snort host=localhosto}操作系统安全Linux系统安全增强o协议协议o规则的第二部分是协议Snort当前分析可疑包的ip协议有四种：tcp 、udp、icmp和ip将来可能会更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等oIp地址地址o规则头的第三部分处理一个给定规则的ip地址和端口号信息。

关键字"any"可以被用来定义任何地址Snort没有提供根据ip地址查询域名的机制地址就是由直接的数字型ip地址和一个cidr块组成的Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码，其中/24表示c类网络，/16表示b类网络，/32表示一个特定的机器的地址例如，192.168.1.0/24代表从192.168.1.1到192.168.1.255的地址块操作系统安全Linux系统安全增强o端口号端口号o可以用几种方法表示端口号，包括"any"端口、静态端口定义、范围、以及通过否定操作符"any"端口是一个通配符，表示任何端口静态端口定义表示一个单个端口号，例如111表示portmapper， 23表示telnet，80表示http等等端口范围用范围操作符"："表示范围操作符可以有数种使用方法，例如：操作系统安全Linux系统安全增强olog udp any any -> 192.168.1.0/24 1:1024o记录来自任何端口的，目标端口范围在1到1024的udp流olog tcp any any -> 192.168.1.0/24 :6000o记录来自任何端口，目标端口小于等于6000的tcp流。

olog tcp any :1024 -> 192.168.1.0/24 500:o记录来自任何小于等于1024的特权端口，目标端口大于等于500的tcp流操作系统安全Linux系统安全增强o方向操作符o方向操作符"->"表示规则所施加的流的方向方向操作符左边的ip地址和端口号被认为是流来自的源主机，方向操作符右边的ip地址和端口信息是目标主机另外，还有一个双向操作符"<>"双向操作符告诉snort把地址/端口号对既作为源，又作为目标来考虑这对于记录/分析双向对话很方便，例如telnet或者pop3会话用来记录一个telnet会话的两侧的流的范例如下：olog !192.168.1.0/24 any <> 192.168.1.0/24 23操作系统安全Linux系统安全增强o激活和动态规则 o激活和动态（Activate and dynamic）规则对给了snort更强大的能力现在当这条规则适用于一些数据包时，可以用一条规则来激活另一条规则Activate规则除了包含一个选择域：activates外，其他和alert规则一样Dynamic规则除了包含一个不同的选择域：activated_by 外，其他和log规则一样。

dynamic规则还包含一个count域值得注意的是，Activate规则除了类似一条alert规则外，当一个特定的网络事件发生时还能告诉snort加载一条规则；Dynamic规则和log规则类似，但它是当一个activate规则发生后被动态加载的操作系统安全Linux系统安全增强o例如：oActivate tcp !$HOME_NET any -> $HOME_NET 143 (flags: PA; \content: "|E8C0FFFFFF|\bin"|; activates: 1; msg: "IMAP buffer overflow!";)odynamic tcp! $HOME_NET any-> $HOME_NET 143 (activated_by: 1;count: 50;)操作系统安全Linux系统安全增强o（2）规则选项o规则选项组成了snort入侵检测引擎的核心，既容易使用，还很强大、灵活所有的snort规则选项用分号"；"隔开规则选项关键字（Option Keyword）和它们的参数（Option Argument）用冒号"："分开 操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o3. 规则高级概念o（1）Includes     include允许由命令行指定的规则文件包含其他的规则文件。

    格式： include:     注意在该行结尾处没有分号被包含的文件会把任何预先定义的变量值替换为自己的变量引用参见以下变量（Variables）介绍关于在SNORT规则文件中定义和使用变量操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o（2）Variables     在snort.conf配置文件中，可以使用var来定义变量其指令格式为：     var:     例如：var MY_NET 192.168.1.0/24     alert tcp any any ->  $MY_NET any (flags: S; msg: "SYN packet";)   规则变量名可以用多种方法修改可以在" $"操作符之后定义变量"?" 和 "-"可用于变量修改操作符操作系统安全Linux系统安全增强10.3.4入侵检测工具入侵检测工具Snort及使用及使用技巧技巧o（3）Config    Snort的配置文件是/etc/snort/snort.conf，保护进程是/etc/rc.d/init.d/snortd。

Snort的很多配置和命令行选项都可以在配置文件中设置和使用其格式为：      config  [: ]操作系统安全Linux系统安全增强本章小结o本章系统介绍了Linux系统平台的安全增强技术，包括系统启动何登录安全性设置、网络访问安全设置、安装系统安全补丁等技术然后阐述了Linux系统平台的安全增强方法日志和审计工具的使用方法，并以syslog_ng工具为例，说明安全增强工具的实际应用最后，介绍了入侵检测基本理论和方法，并以手工检测和工具检测为例说明了Linux系统安全增强技术操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验 o【实验目的】【实验目的】通过本实验，掌握Linux系统安全增强的一些基本操作，并掌握如何通过重要安全设置来进行防范系统安全o【实验准备】【实验准备】安装有Linux7.0以上服务器o【实验步骤】【实验步骤】o1. 禁止访问重要文件禁止访问重要文件    对于系统中的某些关键性文件，如inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和普通用户查看   首先改变文件属性为600：   #chmod 600 /etc/inetd.conf操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验  保证文件的属主为root，然后还可以将其设置为不能改变：  #chattr +i /etc/inetd.conf  这样，对该文件的任何改变都将被禁止。

 只有root重新设置复位标志后才能进行修改：  #chattr –i/etc/inetd.conf2. 禁止不必要的禁止不必要的SUID程序程序   SUID可以使普通用户以root权限执行某个程序，因此应严格控制系统中的此类程序找出root所属的带s位的程序：     #find /-type f \ (-perm -0400 –o –perm -02000 \) –print | less禁止其中不必要的程序：     #chmod a-s program_name操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验3. 为为LILO增加开机口令增加开机口令在/etc/lilo.conf文件中增加选项，从而使LILO启动时要求输入口令，以加强系统的安全性具体设置如下：    boot=/dev/had    map=/boot/map   install=/boot/boot.b   time-out=60  #等等一分钟   promp   default=linux   password=  操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验#口令设置   image=/boot/vmlinuz-2.2.14-12   label=linux   initrd=/boot/initrd-2.2.14-12.img   root=/dev/hda6   read-onlyo此时需要注意，由于在LILO中口令是以明码方式存放的，因此还需要将lilo.conf的文件属性设置为只有root可以读写：o# chmod 600 /etc/lilo.confo当然，还需要进行如下设置，使lilo.conf的修改生效：o# /sbin/lilo –v操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验o4. 设置口令最小长度和最短使用时间设置口令最小长度和最短使用时间o口令是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度至少为8。

为此，需修改文件/etc/login.defs中的参数PASS_MIN_LEN同时应限制口令的使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYSo5. 限制远程访问限制远程访问操作系统安全Linux系统安全增强o在Linux中可通过/etc/hosts.allow和/etc/hosts.deny这两个文件允许和禁止远程主机本地服务的访问通常的做法是：o（1）编辑hosts.deny文件，加入下列命令行：o#Deny acces to everyoneoALL:ALL@ALLo则所有服务对所有外部主机禁止，除非由hosts.allow文件指明允许o（2）编辑hosts.allow文件，可加入下列行：o#Just an exampleo o则将允许IP地址为202.84.17.11和主机名为的机器作为Client访问FTP服务o（3）设置完成后，可用tcpdchk检查设置是否正确操作系统安全Linux系统安全增强实验:Linux系统安全增强综合实验o6. 用户超时注销用户超时注销o如果用户离开时忘记注销帐户，则可能给系统安全带来隐患可修改/etc/profile文件，保证帐户在一段时间没有操作后，自动进行系统注销。

o编辑文件/etc/profile，在“HIST”行的下一行增加如下一行：oTMOUT=600o则所有用户将在10分钟无操作后自动注销操作系统安全Linux系统安全增强o7. 注销时删除命令记录注销时删除命令记录o编辑/etc/skel/.bash_logout文件，增加如下行：orm –f $HOME/.bash_historyo这样，系统中的用户在主修时都会删除其命令记录如果只需要针对某个特定用户，如root用户进行设置，则可只在该用户的主目录下修改$HOME/.bash_history文件，增加相同的一行即可操作系统安全Linux系统安全增强 【实验总结实验总结】o通过本实验，使我们掌握了在Linux系统平台的安全增强方法以及基本操作流程，以此说明了Linux系统安全增强技术方法在我们实际应用中设置的基本技巧操作系统安全Linux系统安全增强课后习题o1.如何对Linux系统进行安全增强？有哪些增强安全技术？o2. Linux操作系统安全设置基本技巧有哪些？o3. Linux日志系统包括哪些？有哪些常用的审计工具，及其使用方法？o4.简述目前入侵检测方法有哪些？手工检测和工具检测各自优缺点有哪些？操作系统安全Linux系统安全增强。