《linux操作系统》课件 第 9 章 系统安全

系统安全：防护与管理01系统更新与维护服务最小化与管理Rootkit检测与防范文件系统完整性与监控03050702口令安全与策略权限最小化与用户管理恶意代码检测与防御敏感数据安全删除040608系统安全实践与任务09系统安全规则与扩展10目录CONTENTS01系统更新与维护01系统更新可修复已知漏洞，防止黑客利用。如Linux系统中发现的漏洞，更新后可防止攻击。安全性增强02更新修复内核和关键组件，减少崩溃。如Linux更新后对新型硬件支持更好，确保稳定运行。稳定性提升03更新优化内存管理和文件系统性能，提升响应速度。如Linux更新后降低资源消耗。性能优化系统更新的重要性YUM是基于RedHat的系统包管理工具，用于软件包的安装、更新和卸载。如yumupdate可更新系统。YUM命令APT命令DNF命令DNF是YUM的后继者，用于CentOS8等系统，提供更快的更新速度和更好的性能。APT是基于Debian的系统包管理工具，功能与YUM类似。如aptupgrade用于更新软件包。常用更新命令02口令安全与策略01强口令是防止未授权访问的第一道防线。复杂的口令策略可提高破解难度。简单口令容易被暴力破解工具猜解。定期更换口令和限制登录尝试次数可减少风险。02禁止使用常见单词和短语，实施口令历史策略，可有效抵御字典攻击。03防止未授权访问降低暴力破解风险应对字典攻击口令安全的重要性010203pwquality.conf文件该文件用于配置密码复杂度，如最小长度、字符种类等。如设置minlen=10要求密码至少10位。/etc/login.defs文件该文件用于配置口令过期策略，如PASS_MAX_DAYS设置口令过期天数。PAM模块PAM模块用于管理用户认证，可通过编辑/etc/pam.d/目录下的文件定制认证行为。口令策略配置03服务最小化与管理对正在运行的服务配置安全性，如限制访问权限、禁止默认凭据登录、定期更新服务等。定期审查系统上运行的服务列表，确保只有必需的服务正在运行，防止新安装软件自动启用不必要服务。识别并仅启用系统正常运行所需的服务，禁用或删除不必要的服务，减少攻击面。仅启用必需服务定期审查服务列表配置服务管理服务最小化原则用于管理系统服务，如systemctlstart<service_name>启动服务，systemctlstop<service_name>停止服务。01使用systemctlstatus<service_name>查看服务状态，systemctlis-enabled<service_name>查看服务是否开机自启。02服务配置文件通常位于/etc/systemd/system/目录，包含服务的启动类型、执行命令等配置。03服务配置文件服务状态查看systemctl命令常用服务管理命令04权限最小化与用户管理用户和组管理通过用户和组管理权限，确保每个用户只拥有完成其工作的最小权限。文件和目录权限正确设置文件和目录的读、写、执行权限，限制对重要系统文件的访问。特权分离区分普通用户和管理用户，确保只有在需要进行系统管理任务时才使用root权限。权限最小化原则sudo工具允许普通用户临时提升权限以执行特定任务，减少安全风险。通过visudo编辑/etc/sudoers文件配置sudo权限。将用户添加到适当的组，并根据需要分配权限，控制用户对系统资源的访问。合理分配组权限sudoers文件定义了哪些用户或用户组有权利使用sudo执行命令，以及可以执行哪些命令。sudoers文件配置用户特权管理工具05文件系统完整性与监控完整性定义文件系统完整性指文件在存储和传输过程中保持原始状态和内容的一致性和完整性。监控重要性监控文件系统完整性可及时发现恶意篡改，保障数据可靠性和安全性。监控内容监控内容包括文件内容、元数据（如修改日期、文件大小和权限）等。文件系统完整性概述01AIDE工具AIDE是一个功能强大的入侵检测系统，可实时监控文件系统的完整性，并在检测到异常变更时发出告警。02Tripwire工具Tripwire是一个开源的文件完整性校验工具，通过定期扫描文件并计算校验和来确保文件的完整性。03配置监控规则配置监控工具时，需设置监控的关键文件和目录、告警规则以及告警接收方式。常用监控工具06敏感数据安全删除防止数据恢复敏感数据安全删除确保数据被永久移除，防止数据恢复，避免数据泄露。保护隐私对含有个人信息、财务数据和商业秘密等敏感内容的数据进行安全删除，保护隐私。法规合规满足相关法律法规对数据保护的要求，确保企业或个人的合规性。敏感数据删除的重要性shred工具通过覆盖文件内容来防止数据恢复，可指定覆盖次数和删除文件。shred工具dd命令可用于低级数据处理，也可用于数据擦除，通过写入特定数据覆盖磁盘。dd命令wipe是另一种用于擦除文件和目录的工具，提供多种擦除模式。wipe工具常用删除工具07Rootkit检测与防范01Rootkit定义Rootkit危害Rootkit分类Rootkit是一种特殊的恶意软件，通过替换系统文件或修改内核来隐藏自身，获取root权限。Rootkit可隐藏进程、服务和网络连接，使攻击者长期潜伏在系统中，窃取用户信息。Rootkit分为文件级别和内核级别，文件级别通过修改系统文件隐藏，内核级别通过修改内核隐藏。0203Rootkit概述chkrootkit工具chkrootkit是一款专门用于Linux系统的Rootkit检测工具，可检查可疑进程和已知Rootkit文件。rkhunter工具rkhunter通过检查系统文件、进程、网络连接等方面来寻找异常，发现Rootkit的存在。检测命令使用chkrootkit命令进行检测，可指定参数如-q安静模式，-x专家模式等。常用检测工具08恶意代码检测与防御恶意代码包括病毒、木马、勒索软件等，对计算机系统或网络造成重大损害。恶意代码定义恶意代码检测可识别和防御恶意软件，保护系统安全。检测重要性恶意代码检测分为基于签名的检测和启发式（行为）检测，两者结合提高准确性。检测分类恶意代码检测概述ClamAV工具ClamAV是一个开源的防病毒引擎，用于检测木马、病毒、恶意软件等。clamscan命令使用clamscan命令扫描文件或目录，可指定参数如-r递归扫描，--infected仅显示感染文件。检测策略定期更新病毒数据库，定期扫描系统，及时发现并处理恶意代码。常用检测工具09系统安全实践与任务更新步骤查看系统类型和版本，检查可用更新，安装更新，重启系统，验证更新。更新工具使用YUM、APT、DNF等工具进行系统更新。注意事项更新前备份重要数据，检查软件依赖关系，确保更新后系统稳定运行。系统更新实践01配置口令策略用户口令管理防范暴力破解配置PAM模块和/etc/login.defs文件，设置密码复杂度和过期策略。使用passwd命令更改用户口令，使用chage命令查看和修改口令过期信息。编辑PAM配置文件，设置失败尝试次数限制，防止暴力破解攻击。0203口令安全实践查看运行服务使用systemctllist-unit-files--type=service查看系统服务状态。关闭不必要的服务使用systemctldisable禁用不必要的服务，使用systemctlstop停止正在运行的服务。服务用户运行使用专门的低权限用户账户运行系统服务，而不是root账户。服务最小化实践了解系统中每个文件和目录的用途，以及哪些用户和组需要访问权限。确定文件权限需求使用chmod命令修改文件和目录的权限，限制不必要的访问。修改文件目录权限使用id和groups命令查看用户和组的权限。查看用户和组权限权限最小化实践配置sudo权限使用visudo编辑/etc/sudoers文件，为用户或组授予权限。测试sudo权限切换到授权用户，使用sudo-l命令测试sudo权限是否生效。注意事项小心谨慎配置sudo权限，遵循最小特权原则，避免给予不必要的权限。用户特权管理实践安装监控工具安装AIDE等文件完整性监控工具。初始化完整性数据库使用aide--init初始化完整性数据库。配置监控规则编辑配置文件，指定监控的文件和目录。文件系统完整性实践安装删除工具安装shred等安全删除工具。擦除磁盘分区使用shred命令擦除整个磁盘分区，确保数据彻底删除。删除敏感文件使用shred命令覆盖并删除敏感文件，确保数据无法恢复。敏感数据安全删除实践安装chkrootkit等Rootkit检测工具。安装检测工具使用chkrootkit命令进行检测，查看检测结果。执行检测命令如果检测到Rootkit，采取相应措施进行清除。处理检测结果Rootkit检测实践010203安装检测工具安装ClamAV等恶意代码检测工具。更新病毒数据库使用freshclam命令更新病毒数据库。扫描文件或目录使用clamscan命令扫描文件或目录，查看扫描结果。恶意代码检测实践010系统安全规则与扩展明确责任分工确立网络安全管理的责任人和工作部门，确保每个角色都明确自己的职责。根据组织的业务需求和安全目标，制定网络安全规划和工作方案。