Lin 基础技术教程 10

第10章系统安全保护主要内容Linux系统安全管理的基本概念、以及相应的安全管理方法和策略Linux系统网络安全问题及对策计算机病毒及相应对策计算机防火墙的概念及基本技术银河麒麟桌面操作系统的安全机制及应用10.1系统安全管理从系统管理员的角度看待Linux安全问题，介绍系统安全的基本知识、系统安全的薄弱环节及如何提高系统的安全性，内容包括：安全管理的要素、目标、组成用户密码的管理，用户账号的管理文件和目录权限的管理系统日志10.1.1安全管理简介安全管理的目标①防止非法操作。②数据保护。③正确管理用户。④保证系统的完整性。⑤记账。⑥系统保护。10.1.2安全管理要素Linux系统安全包括三要素：物理安全管理、普通用户安全管理和超级用户安全管理。1．物理安全管理对任何计算机都非常重要。一般来说，物理安全包括三个方面：①保证计算机机房的安全，同时应提供软件备份方案。②保证所有的通信设施都不会被非法人员监听。③钥匙或信用卡识别设备，用户密码钥匙分配，文件保护、备份或恢复方案等关键文档资料要保存在安全位置。2．普通用户安全管理3．超级用户安全管理注意如下事项：①一般最好不使用root账号，应使用su命令进入普通用户账号。②超级用户不要运行其他用户的程序。③经常改变root密码。④精心地设置密码时效。⑤不要把当前工作目录排在PATH路径表的前面。⑥不要未退出系统就离开终端。⑦建议将登录名root改成其他名称。⑧注意检查不寻常的系统使用情况。⑨保持系统文件安全的完整性。⑩将磁盘的备份存放在安全的地方。确保所有登录账号都有用户密码。启动记账系统。10.1.3用户密码和账号的管理1．设置优质的用户密码

不要包含个人信息,最好有一些非字母字符，还应便于记忆2．用户密码管理策略

保证用户密码不会因为人为因素泄密3．用户密码时效

系统管理员可以修改/etc/shadow文件设置用户密码的时效机制4．安全的用户密码操作

不要将用户密码写下来，输入密码时避免被别人看到，…5．用户账号的管理

维护

/etc/passwd文件时应注意以下问题:①尽量避免直接修改

/etc/passwd文件。②在用户可以容忍的情况下，尽量使用比较复杂的用户账号名。③尽量将passwd文件中UID号为0的人数限制在一到两个人内。④保证passwd文件中没有密码相同的用户账号。⑤保证passwd文件中每个用户的密码字段不为空……10.1.4文件和目录权限的管理1．/bin目录的安全问题只允许超级用户进行修改，应把目录设置在PATH环境变量的最前面2．/boot目录的安全问题如果该目录遭到破坏，系统就不能启动。3．/dev目录的安全问题存取权限应当是775，并且应属root所有。4．/etc目录的安全问题/etc中的文件是黑客首选的攻击目标，①/etc/passwd文件

②

/etc/shadow文件

③

/etc/profile文件

④

/etc/fstab文件

⑤

/etc/crontab文件5．$HOME目录的安全正确设置用户主目录的权限，避免给该用户带来危险10.1.5系统日志1．系统日志提供了对系统活动的详细审计信息这些审计信息通常由守护程序自动产生，是系统默认设置的一部分，能帮助管理员寻找系统存在的问题，对系统维护十分有用。大部分日志存放在/var/log目录中。2．系统登录日志系统会保存每个用户的登录记录，包括用户名、登录和退出的时间，以及从何处登录到系统等。这些信息保存在/var/run/utmp，/var/log/wtmp，/var/log/lastlog文件中。这三个文件以二进制数形式保存数据，不能直接查看其中内容。3．syslog日志当今很多程序都使用syslog来发送它们的记录信息。syslog是一种功能强大的日志记录工具，不但可以将日志保存在本地文件夹中，还可以根据设置将syslog记录发送到网络上另一台主机中。4．其他日志除了系统登录记录和syslog记录外，还有一些应用程序使用自己的日志记录方式。/var/log/security.today文件sendmail.st等10.2网络安全配置10.2.1网络安全简介网络安全的主要内容：保证合法用户对资源的合法访问，防止网络黑客的攻击。网络是一个层次结构，安全问题也是分层次的。如：网络层的安全防护、应用层安全防护。要保证网络的安全，需要了解来自网络的威胁。Internet受到的安全威胁主要来自13个方面：①仿冒用户身份②信息流监视③篡改网络信息……针对上述安全威胁，国际标准化组织ISO对开放系统互连的安全体系结构制定了基本参考模型（ISO7498—2）。目前根据模型ISO7498—2所建立的主要安全机制1．身份鉴别2．访问控制3．数据加密4．数据完整性5．数字签名6．防重发7．审计机制10.2.2Linux安全问题及对策Linux是一个开放式系统，可以在网络上找到许多现成的程序和工具，这既方便了用户，也方便了黑客。需要仔细地设定Linux的各种系统功能，并且加上必要的安全措施，才能保证Linux系统的安全。1．取消不必要的服务一般来说，除了HTTP，SMTP，Telnet和FTP之外，其他服务都应该取消。2．密码安全设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。插入式验证模块（PAM）银河麒麟V10中为影子密码提供了很好的支持和丰富的工具3．保持最新的系统核心经常访问安全新闻组，查阅新的修补程序4．检查登录密码选择不易被别人猜出的密码，以提高系统的安全性5．设定用户账号的安全等级每个账号应被赋予不同的权限，归到不同的用户组中6．消除黑客犯罪的温床r-命令允许用户在不需要提供密码的情况下进入对方系统，执行远程操作。r-命令在为合法用户提供方便的同时，也给系统带来了潜在的安全问题。正确地设置/etc/hosts.equiv及$HOME/.rhosts这两个文件，是安全使用r-命令的基本保障。可以使用安全性更高的ssh来代替r-命令。7．限制用户对系统网络地址的访问通过TCP_Wrappers软件实现对IP地址的限制。8．限制超级用户账号与密码可以通过sudo命令将原来只有root能执行的一些操作分授给其他用户。root的密码只允许系统管理员知道，并要定期修改9．管理XWindow系统①设置XWindow访问控制。②采用MIT-MAGIC-COOKIE-1软件。③保护xterm。10．安全检查（1）检查账号安全（2）网络应用安全（3）一些简单的系统监视命令①ps命令：显示当前运行进程的状态②who命令和w命令：who命令显示当前登录到系统的用户，w命令不仅显示登录到系统的用户，还显示用户空闲的时间：和用户正在运行的进程。③ls命令：系统管理员应该用ls命令定期检查每个系统目录，检查是否有不该出现的文件。11．定期对服务器进行备份防止不能预料的系统故障或用户不小心的非法操作造成的数据损坏10.2.3计算机病毒人为制造的程序段，可以隐藏在可执行程序或数据文件中。可对计算机系统实施攻击，操作系统、编译系统、数据库管理系统和计算机网络等都会受到病毒的侵害。Internet莫里斯蠕虫美国Cornell大学的研究生R.T.Morris编写，可以自我复制。在它被发现并被消灭之前，已导致全世界上万台计算机崩溃。最终，Morris受到了法律制裁。2.计算机病毒的特征①病毒程序是人为编制的软件，短小精悍②病毒可以隐藏在可执行程序或数据文件中③可传播性，具有强再生机制。④可潜伏性，具有依附于其他媒体寄生的能力。⑤病毒可在一定条件下被激活，从而对系统造成危害。3.计算机病毒的传播方式

潜伏、激活、感染、传播4.防御计算机病毒的常用方法①购买、安装正版软件。②不要随意打开未知用户发来的邮件。③安装杀毒软件，定期或不定期地运行杀毒工具④及时下载操作系统的补丁软件包。⑤系统重新安装之前，最好将整个硬盘重新格式化⑥为文件和目录设置最低权限。10.3防火墙设置10.3.1防火墙技术的基本概念防火墙是信息安全策略的一部分，并不是万能的防火墙在安全控制方面有两个最基本的准则：一切未被允许的就是禁止；一切未被禁止的就是允许。10.3.2防火墙的基本技术防火墙分类(1)包过滤技术在网络层对数据包进行选择，选择的依据是系统内设置的访问控制表，来决定是否允许该数据包通过。好处是不增加任何额外开销；缺点是缺乏日志记录能力，规则表会变得很大而且复杂，漏洞的可能性也会增加。

(2)代理服务技术使用一个客户程序与特定的中间节点（防火器）连接，然后由中间节点与服务器进行实际连接。优点是，如果配置正确，则系统非常安全；但存在的问题是很复杂，若操作不慎，则会给站点带来不利影响。2.防火墙管理工具ipchains在Linux内核中包含了一个包过滤系统，并提供了管理命令ipchains。ipchains的代码可以直接编译成为内核的一部分，也可以以模块的形式动态加载到内核中。ipchains运行在用户空间，终端用户可以利用它配置防火墙。ipchains防火墙定义了四个被称为“链”的规则集，即：输入（INPUT）链、转发（FORWARD）链、输出（OUTPUT）链和用户定义链（userdefinedchains）。10.4系统安全保护工具Linux有多种权限控制机制，常见的有：自主访问控制（DiscretionaryAccessControl，DAC）强制访问控制（MandatoryAccessControl，MAC）自主访问控制侧重于提供灵活的权限管理，而强制访问控制则强调安全策略的强制执行和可预测性麒麟系统的KYSEC通过实现MAC强制访问控制机制，为系统提供了全面的安全保护10.4.1安全中心一款基于麒麟系统安全机制KYSEC的管理工具，集安全体检、账户保护、网络保护、病毒防护、应用保护和设备安全等功能于一体，全面保障系统运行环境的安全打开方式：单击“开始菜单”，选择并单击“安全中心”单击“开始菜单”，然后单击“设置”，再单击“安全”打开安全中心1．安全体检提供账户安全、运行安全、系统安全等多维度的扫描与一键修复，可自动更新漏洞补丁，及时发现系统安全隐患。安全体检扫描中，如图所示2．账户保护提供系统账户密码强度检查和账户锁定机制，实现对系统账户的统一管控，提升系统账户安全防御能力，有效防止密码被暴力破解。3．网络保护提供防火墙和应用联网控制功能，实时防护未知应用网络行为，阻断主动外联及其它异常网络活动，提高网络访问安全性。⑴防火墙--提供两种访问模式：公用网络、专用网络⑵联网控制

提供开启和关闭配置4．病毒防护提供杀毒软件的统一管理入口，能够兼容多款主流的病毒防护软件，实时防护病毒入侵，保护系统安全。目前系统默认集成奇安信引擎，提供快速查杀、全盘查杀和自定义查杀三种查杀方式对系统进行病毒扫描，扫描模式有标准和高速两种模式。5．应用保护提供的保护功能可以保护用户系统免受安全威胁应用程序来源检查和应用程序执行控制能阻止未知软件和应用程序的非法安装及其恶意执行，避免木马病毒攻击，保障系统运行环境的安全可靠；应用防护控制提供进程防杀死、内核模块防卸载和文件防篡改功能，保护系统关键文件完整性，阻止系统关键应用服务异常中断。6．设备安全提供外部设备接入的多重防护控制功能，有效防止系统重要数据意外丢失和恶意盗取，提升设备使用的安全性。10.4.2Linux网络安全工具1