Linux安全加固.ppt

Linux安全加固 主题提纲 Page2 37 GRUB的定义 GNUGRUB GRandUnifiedBootloader 是一个将引导装载程序安装到主引导记录的程序 主引导记录是位于一个硬盘开始的扇区 它允许位于主引导记录区中特定的指令来装载一个GRUB菜单或是GRUB的命令环境 这使得用户能够开始操作系统的选择 在内核引导时传递特定指令给内核 或是在内核引导前确定一些系统参数 如可用的RAM大小 Page3 37 设备名称 系统的第一个硬盘驱动器被GRUB称为 hd0 第一个硬盘的第一个分区被称为 hd0 0 第二个硬盘驱动器上的第5个分区被称为 hd1 4 系统使用IDE硬盘或SCSI硬盘 都没有关系 所有的硬盘都是用hd开始 软盘用fd开头 Page4 37 GRUB的接口 菜单接口菜单项目编辑器接口命令行接口 Page5 37 Page6 37 Linux安全设置9 1 使用GRUB口令编辑 boot grub grub conf 加入以下语句password12345password md5 1 b347J n4ZBhcSGf7U75Am6iw dX0使用grub md5 crypt 生成加密密码 Page7 37 Linux安全设置9 2 修改默认root密码长度 etc pam d system auth中配置 passwordrequisite lib security ISA pam cracklib soretry 3minlen 10lcredit 1ucredit 1dcredit 1ocredit 1 默认lcreditucreditdcreditocredit为1lcredit 代表小写字母 ucredit 代表大写字母 dcredit 代表数字 ocredit 代表符号 PAM介绍 PAM PluggableAuthenticationModules 是由Sun提出的一种认证机制 它通过提供一些动态链接库和一套统一的API 将系统提供的服务和该服务的认证方式分开 使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序 同时也便于向系统中添加新的认证手段 PAM最初是集成在Solaris中 目前已移植到其它系统中 如Linux SunOS HP UX9 0等 Page8 37 PAM的框架结构 Page9 37 PAM支持的四种管理方式 认证管理 authenticationmanagement 主要是接受用户名和密码 进而对该用户的密码进行认证 并负责设置用户的一些秘密信息 帐户管理 accountmanagement 主要是检查帐户是否被允许登录系统 帐号是否已经过期 帐号的登录是否有时间段的限制等等 密码管理 passwordmanagement 主要是用来修改用户的密码 会话管理 sessionmanagement 主要是提供对会话的管理和记账 accounting Page10 37 PAM的文件 usr lib libpam so PAM核心库 etc pam d PAM配置文件 lib security pam so可动态加载的PAM服务模块 Page11 37 PAM的配置 etc pam d 目录下的每个文件的名字对应服务名例如ftp服务对应文件 etc pam d ftp如果名为xxxx的服务所对应的配置文件 etc pam d xxxx不存在 则该服务将使用默认的配置文件 etc pam d other Page12 37 PAM的配置 每个文件由如下格式的文本行所构成 module typecontrol flagmodule pathargumentsmodule type模块类型有四种 auth account session password 即对应PAM所支持的四种管理方式 同一个服务可以调用多个PAM模块进行认证 这些模块构成一个stack control flag用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 它有四种可能的值 required requisite sufficient optional module path用来指明本模块对应的程序文件的路径名 一般采用绝对路径 如果没有给出绝对路径 默认该文件在目录 usr lib security下面 arguments是用来传递给该模块的参数 Page13 37 常用认证模块 Pam unix so该模块的主要功能是禁止密码为空的用户提供服务Pam permit so总是无条件地使认证成功Pam deny so总是无条件地使认证失败 通常该模块被用来作为缺省的验证规则Pam cracklib so该模块对用户密码提供强健性检测 Page14 37 实例演示 etc pam d system authauthrequired lib security ISA pam env soauthsufficient lib security ISA pam unix solikeauthnullokauthrequired lib security ISA pam deny soaccountrequired lib security ISA pam unix soaccountsufficient lib security ISA pam succeed if souid 100quietaccountrequired lib security ISA pam permit sopasswordrequisite lib security ISA pam cracklib soretry 3passwordsufficient lib security ISA pam unix sonullokuse authtokmd5shadowpasswordrequired lib security ISA pam deny sosessionrequired lib security ISA pam limits sosessionrequired lib security ISA pam unix so Page15 37 16 使用sudo提升执行权限 sudo机制用途 以可替换的其他用户身份执行命令 若未指定目标用户 默认将视为root用户格式 sudo u用户名 命令操作 root localhost sudo uzhangsan bin touch tmp sudotest file root localhost ls l tmp sudotest file rw r r 1zhangsanzhangsan005 2609 09 tmp sudotest file 以zhangsan用户身份创建的文件属性 17 使用sudo提升执行权限 配置文件 etc sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi etc sudoers 18 使用sudo提升执行权限 在sudoers文件中的基本配置格式用户主机名列表 命令程序列表 root localhost grep root etc sudoersrootALL ALL ALL 被授权的用户 在哪些主机中使用 允许执行哪些命令 针对root用户的sudo配置特例 允许以哪些用户的身份执行命令 缺省为root 19 使用sudo提升执行权限 应用示例1 需求描述 允许用户mikey通过sudo执行 sbin usr bin目录下的所有命令 但是禁止调用ifconfig vim命令授权wheel组的用户不需验证密码即可执行所有命令 root localhost visudoDefaultslogfile var log sudo mikeylocalhost sbin usr bin sbin ifconfigeth0 usr bin vim wheelALL ALL NOPASSWD ALL root localhost vi etc syslog conflocal2 debug var log sudo 20 使用sudo提升执行权限 为sudo配置项定义别名关键字 User Alias Host Alias Cmnd Alias在sudo配置行中 可以调用已