Linux安全课件

1、Linux安全1 Linux安全2 Linux简介 Linux面临的安全风险 Linux的安全模型 Linux的安全管理和配置 通过本次讲座将了解内容： Linux安全3 诞生诞生：1990年，芬兰大学生Linus Torvalds用汇编语言写 了一个在80386保护模式下处理多任务切换的程序 。 发展发展：他把源代码发布在网上，随即就引起爱好者的注意， 他们通过互连网也加入了Linux的内核开发工作，一大批高 水平程序员的加入，使得Linux达到迅猛发展 Linux一开始是要求所有的源码必须公开，并且任 何人均不得从Linux交易中获利。然而这种纯粹的自由软件 的理想对于Linux的普及和发

2、展是不利的，于是Linux开始转 向GPL，成为GNU阵营中的主要一员。 成长成长：1993年加入GPL(General Public License) 现在，Linux凭借优秀的设计，不凡的性能，加 上IBM、INTEL、CA、CORE、ORACLE等国际知名企业的大力支 持，市场份额逐步扩大，逐渐成为主流操作系统之一。 1 Linux是什么？ Linux安全4 Kernel 库，库函数库，库函数 Shell Applications 1 Linux 系统结构 Linux安全5 2 面临的安全风险 多用户系统多用户系统 如何保护用户名、密码、用户权限 . 程序的安全性程序的安全性 格式化字符

3、串攻击 缓存溢出攻击 系统的安全性系统的安全性 堆栈可被覆盖 . 服务的安全性服务的安全性 、Mail、Telnet、Web. Linux安全6 2. 系统的安全威胁 安全威胁 BOF 配置不当 管理不当 权力滥用 无管理意识 无管理制度 Linux安全7 3 Linux安全模型 Linux安全8 4.安全管理和配置 总的原则 基本安全配置 网络安全应用 密码和鉴别相关应用 系统监控和完整性应用 资源限制工具 Linux安全9 4.1 总的原则 . 安全策略 * 怎么定义保密的和敏感的信息？ * 想重点防范哪些人？ * 远程用户有必要访问系统吗？ * 系统中有保密的或敏感的信息吗？ * 如果这

4、些信息被泄露给你的竞争者和外面的 人有什么后果？ * 口令和加密能够提供足够的保护吗？ * 能访问Internet吗？ * 允许系统在Internet上有多大的访问量？ * 如果发现系统被黑客入侵了，下一步该怎么 做？ Linux安全10 4.1 总的原则 Linux的安全性取决于系统管理员如何对 系统进行裁减和配置 尽量隐藏系统信息，让外界尽量少的知 道您的系统的信息（提供了哪些服务、 拥有多少用户及用户名、使用的软件版 本、谁在管理系统、何时管理系统等） Linux安全11 4.2 基本安全 机房物理安全 门禁系统 规章制度 BIOS安全 设置boot口令 禁止软盘启动 Linux安全12

5、 4.2 基本安全 用户口令安全 没有不可破的口令（穷举法） 统计意义的口令集（规则变换和字典攻击） 口令需要有长度和难度（68个字符，大小写、数 字混合） 口令需要更换（定期、不定期修改口令） Root用户安全 设置登录超时 管理好该帐户 Linux安全13 4.2 基本安全 检查/etc/exports文件 网络文件系统的配置文件，确认可访问的主 机、用户及其读写执行等权限 禁止Control_Alt_Delete关机 修改/etc/inittab注释掉： #ca:ctrldaltdel:/sbin/shutdown -t3 -r now Linux安全14 4.2 基本安全 单用户的安全

6、(增加登录口令） 修改/etc/inittab Id:3:initdefault: id:3:initdefault: :S:wait:/sbin/sulogin /sbin/init -q 增强lilo安全 1，timeout=xxx 2，restricted 3，password=xxxx 4，chattr +i /etc/lilo.conf Linux安全15 4.2 基本安全 检查/etc/xinetd.conf文件和/etc/services文件 将不需要的服务关掉（如finger、tftp等） 在登陆系统时，不显示系统发行信息 修改/etc/inetd.conf文件 telnet

7、stream tcp nowait root /usr/sbin/tcpd in.telnetd h 将文件属性该为不可修改 chattr +i Linux安全16 4.2 基本安全 使用tcp_wrappers（在/etc/inetd.conf中配 置各种服务通过tcpd启动） 配置tcp_wrappers允许和禁止文件 /etc/hosts.allow、/etc/hosts.deny，指明允 许访问本机的主机和禁止访问本机的主 机 Linux安全17 4.2 基本安全 禁止对ping请求响应 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 加入

8、/etc/rc.d/rc.local中，以后会自动生效 Linux安全18 4.2 基本安全 配置/etc/host.conf文件 配置域名解析顺序order bind,hosts 打开对ip欺骗的检查nospoof on 配置/etc/securetty文件 编写允许root登录的终端（tty），防止用 root远程登录 Linux安全19 4.2 基本安全 对特殊帐户的处理 删除所有对系统无用的发行商的帐户（如 adm、lp、uucp、gopher等）及其相应的组 重要文件改为不可修改/etc/passwd、 /etc/shadow、/etc/group、/etc/gshaodw Moun

9、t文件系统增加更多的控制 修改/etc/fstab文件（比如nosuid，nodev， noexec等参数） Linux安全20 4.2 基本安全 查找SUID/SGID文件 find / -type f -perm 04000 o perm 02000 exec ls l ; 查找无主文件 find / -nouser o -nogroup 查找.rhosts文件 find /home name .rhosts Linux安全21 4.3 网络安全应用 包过滤防火墙 Iptables Masquerading Forwarding 应用代理 Squid VPN FreeS/WAN Linux安全22 4.4 密码和鉴别相关应用 PAM GnuPG OpenSSL OpenSSH Linux安全23 4.5 系统监控和完整性应用 sXidSUID/SGID检查工具 Logcheck日志分析日志分析检查工具 /var/log/messages /var/log/secure /var/log/dmesg /var/log/lastlog PortSentry端口扫描端口扫描检查工具 Tripwire文件系统完整性完整性检查工具 Xinetd增强安全的网络服务调度网络服务调度工具 Linux安全24 4.6 防止资源滥用工具 Quota文件系统文件系统资源控制工具 C