《Linux 標(biāo)準(zhǔn)學(xué)習(xí)教程》課件第13講 linux網(wǎng)絡(luò)安全

1、第13講Linux操作系統(tǒng)和網(wǎng)絡(luò)安全Linux安全包含的內(nèi)容1 操作系統(tǒng)和用戶安全2 文件系統(tǒng)安全3 數(shù)據(jù)安全4 SELinux5 防火墻6 防病毒Linux安全Linux系統(tǒng)與Windows系統(tǒng)的安全性比較：Linux更安全，漏洞更少。Linux的開源軟件方式有助于暴露錯(cuò)誤。Linux限制使用危險(xiǎn)的應(yīng)用程序遠(yuǎn)程調(diào)用。Linux遵守管理員賬號(hào)和用戶賬號(hào)對(duì)系統(tǒng)進(jìn)行操作的安全要求，防止第三方軟件濫用管理員權(quán)限。Linux不存在兼容老版本系統(tǒng)而導(dǎo)致的安全隱患。1、操作系統(tǒng)安全啟動(dòng)安全：給grub設(shè)置密碼 grubgrub md5crypt Password: *Encrypted: $1$U$JK7

2、xFegdxWH6VuppCUSIb #vi /boot/grub/grub.conf timeout=0 password -md5 $1$U$JK7xFegdxWH6VuppCUSIb （接上一行） title lock 2、Linux用戶安全對(duì)于Linux中帳號(hào)的口令，一般用shadow的方法處理，即/etc/passwd里的密碼被替換成“x”：albert:x:500:500:Albert Lew:/home/albert:/bin/bash而真正的密碼存放在/etc/shadow里，只能由root訪問。PAM（Pluggable Authentication Modules ）限制在

3、某個(gè)時(shí)刻、某個(gè)星期的訪問，拒絕對(duì)他們所請(qǐng)求的服務(wù)的訪問，拒絕來自某個(gè)發(fā)送請(qǐng)求的終端訪問。 使用pam_time時(shí)，在/etc/security/time.conf文件中加入一句話： login;*;!dare;MoTuWeThFr0800-1900 login;*;!root;!Al0000-2400 http;*;!dare;MoTuWeThFr0800-1900 http;*;!root;!Al0000-2400 服務(wù) tty 用戶 時(shí)間Linux用戶安全修改一些系統(tǒng)帳號(hào)的Shell變量，例如uucp,ftp和news等，可以修改/etc/passwd，也可以使用usermod -s /d

4、ev/null username命令，將它們的Shell變量置空，例如設(shè)為/bin/false或者/dev/null等 自動(dòng)注銷帳號(hào)的登錄，編輯/etc/profile， 在HISTSIZE=1000 后面加入： TMOUT=300，表示如果用戶登錄后5分鐘內(nèi)沒有動(dòng)作就自動(dòng)注銷。 Linux用戶安全修改缺省的密碼長(zhǎng)度，Linux默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)，改為8。修改/etc/login.defs文件中的：PASS_MAX_DAYS? ?99999? ? #密碼設(shè)置最長(zhǎng)有效期（默認(rèn)值）PASS_MIN_DAYS? ?0? ? ?#密碼設(shè)置最短有效期PASS_MIN_LEN? ? 5? ? ?#設(shè)

5、置密碼最小長(zhǎng)度，將5改為8PASS_WARN_AGE? ?7? ? ?#提前多少天警告用戶密碼即將過期。然后修改Root密碼#passwd rootLinux用戶安全限制Shell命令記錄大小默認(rèn)情況下，bash shell會(huì)在文件$HOME/.bash_history中存放多達(dá)500條命令記錄(根據(jù)具體的系統(tǒng)不同，默認(rèn)記錄條數(shù)不同)。系統(tǒng)中每個(gè)用戶的主目錄下都有一個(gè)這樣的文件?？梢韵拗圃撐募拇笮?。您可以編輯/etc/profile文件，修改其中的選項(xiàng)如下:HISTFILESIZE=30或HISTSIZE=30#vi /etc/profileHISTSIZE=30Linux用戶安全阻止任何人

6、su作為root如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行：#vi /etc/pam.d/suauth sufficient /lib/security/$ISA/pam_rootok.so debug auth required /lib/security/$ISA/pam_wheel.so group=website意味著僅僅website組的用戶可以su作為root.Linux用戶安全刪除系統(tǒng)特殊的的用戶帳號(hào)#這里刪除”adm lp sync shutdown halt mail news uucp operator games gopher ft

7、p “賬號(hào)#如果你開著ftp等服務(wù)可以把ftp賬號(hào)保留下來。刪除系統(tǒng)特殊的組帳號(hào) adm lp mail news uucp games dip pppusers popLinux用戶安全關(guān)閉多余的控制臺(tái)#vi /etc/inittab 使用倆個(gè)控制臺(tái)，把其他的都給禁掉在/etc/inittab文件中有如下一段話：# Run gettys in standard runlevels1:2345:respawn:/sbin/mingetty tty12:2345:respawn:/sbin/mingetty tty2#3:2345:respawn:/sbin/mingetty tty3#4:23

8、45:respawn:/sbin/mingetty tty4#5:2345:respawn:/sbin/mingetty tty5#6:2345:respawn:/sbin/mingetty tty6Linux用戶安全關(guān)閉多余的控制臺(tái)#vi /etc/inittab 使用倆個(gè)控制臺(tái)，把其他的都給禁掉在/etc/inittab文件中有如下一段話：# Run gettys in standard runlevels1:2345:respawn:/sbin/mingetty tty12:2345:respawn:/sbin/mingetty tty2#3:2345:respawn:/sbin/min

9、getty tty3#4:2345:respawn:/sbin/mingetty tty4#5:2345:respawn:/sbin/mingetty tty5#6:2345:respawn:/sbin/mingetty tty6Linux用戶安全不允許從不同的控制臺(tái)進(jìn)行root登陸“/etc/securetty”文件允許你定義root用戶可以從那個(gè)TTY設(shè)備登陸。你可以編輯”/etc/securetty”文件，再不需要登陸的TTY設(shè)備前添加“#”標(biāo)志，來禁止從該TTY設(shè)備進(jìn)行root登陸。禁止Control-Alt-Delete鍵盤關(guān)閉命令在”/etc/inittab” 文件中注釋掉下面這行

10、（使用#）：ca:ctrlaltdel:/sbin/shutdown -t3 -r now改為：#ca:ctrlaltdel:/sbin/shutdown -t3 -r now為了使這項(xiàng)改動(dòng)起作用，輸入下面這個(gè)命令：# /sbin/init q3、Root 帳戶的密碼恢復(fù)(RHEL4.0)開機(jī)進(jìn)入單用戶模式使用passwd命令更改系統(tǒng)密碼在grub 啟動(dòng)后，移動(dòng)鍵盤到Linux的啟動(dòng)項(xiàng)；按e鍵；然后再移動(dòng)鍵盤到類似下面的一行，也就是kernel的那行： kernel /boot/vmlinuz-2.6.11-1.1369_rhel5 ro root=LABEL=/1 rhgb quiet把光標(biāo)

11、移動(dòng)這行后，再按一下e鍵，進(jìn)入編輯這行；將rhgb修改為singlekernel /boot/vmlinuz-2.6.11-1.1369_rhel5 ro root=LABEL=/1 single quiet 4、rescure模式使用光盤啟動(dòng)輸入linux rescure或按f5進(jìn)入修復(fù)模式，我們能做些什么呢？什么都可以做，比如掛載usb盤進(jìn)行數(shù)據(jù)備份；修改系統(tǒng)中的配置文件. . 重新設(shè)置root密碼、掛載文件系統(tǒng) . . 只要能想到，大多都可以完成； 5、chroot 到已經(jīng)掛載的文件系統(tǒng)；chroot這個(gè)工具很有用，很多Linux都支持chroot切換到另一個(gè)文件系統(tǒng)中，然后進(jìn)行一系列系

12、統(tǒng)包的安裝和系統(tǒng)配置；這并不是說任何文件系統(tǒng)都能chroot切入 ，首先這個(gè)文件系統(tǒng)中得具備系統(tǒng)運(yùn)行的一定的工具和環(huán)境，比如/bin和/sbin 目錄是擁有等.比如存在問題的系統(tǒng)位于 /dev/hda5 rootlocalhost # mkdir systmprootlocalhost # mount /dev/hda5 systmp/rootlocalhost # df -h Filesystem 容量 已用 可用 已用% 掛載點(diǎn) /dev/hda8 11G 9.8G 581M 95% / /dev/shm 236M 0 236M 0% /dev/shm /dev/hda5 7.9G 5.9

13、G 2.0G 76% /root/systmp rootlocalhost # chroot systmp 注：chroot到hda5分區(qū)的系統(tǒng)中；bash-3.00# 注：已經(jīng)登錄；bash-3.00# df -lh 注：查看文件系統(tǒng)掛載情況；Filesystem 容量 已用 可用 已用% 掛載點(diǎn)/dev/hda5 7.9G 5.9G 2.0G 76% /proc 7.9G 5.9G 2.0G 76% /procsysfs 7.9G 5.9G 2.0G 76% /sys我們既然已經(jīng)登錄到有問題的系統(tǒng)了，可以進(jìn)行相應(yīng)的修復(fù)工作，比如對(duì)root密碼的恢復(fù)，軟件包的安裝，相應(yīng)文件的修改. . Li

14、nux安全包含的內(nèi)容1 操作系統(tǒng)和用戶安全2 文件系統(tǒng)安全3 數(shù)據(jù)安全4 SELinux5 防火墻6 防病毒文件系統(tǒng)安全文件類型含義-普通文件d目錄c字符設(shè)備b塊設(shè)備l鏈接權(quán)限位對(duì)應(yīng)數(shù)值r4w2x1-rwxr-xr-x 755drw-r-r- 644# ls l /etc-rw-r-r- 1 root root 289 2003-02-25 xinetd.confdrwxr-xr-x 2 root root 4096 10月 10 22:26 xinetd.d文件系統(tǒng)安全文件系統(tǒng)的劃分 不能只用一個(gè)/和swap。/usr、/var、/etc、/boot等重要目錄單獨(dú)劃分成分區(qū)，/home也要單

15、獨(dú)分區(qū)。重要的系統(tǒng)文件 /etc/passwd、/etc/shadow、/etc/groups 、/etc/gshadow 、/etc/login.defs 、/etc/shells 、/etc/securetty 文件系統(tǒng)安全用chattr命令給下面的文件加上不可更改屬性。rootc1gstudio# chattr +i /etc/passwdrootc1gstudio# chattr +i /etc/shadowrootc1gstudio# chattr +i /etc/grouprootc1gstudio# chattr +i /etc/gshadow【注：chattr是改變文件屬性的命

16、令，參數(shù)i代表不得任意更動(dòng)文件或目錄,此處的i為不可修改位(immutable)。查看方法：lsattr /etc/passwd，撤銷為chattr -i /etc/group】 對(duì)root用戶的建議安裝操作系統(tǒng)后，系統(tǒng)管理員應(yīng)建立一個(gè)管理帳戶日常管理中，管理員用管理帳戶登入當(dāng)需要使用root權(quán)限時(shí)，使用su root 命令升格為root用戶，執(zhí)行部分命令慎用授權(quán)命令 chmod chgrp chown當(dāng)需要使用上述命令時(shí)，要綜合考慮文件和目錄被授權(quán)后可能造成的影響合理使用umask umask用于控制新建的文件和目錄的默認(rèn)權(quán)限 如： umask 022代表將來生成的文件和文件夾具備777-0

17、22=755的權(quán)限，即：rwx r-x r-x 善用組權(quán)限Linux系統(tǒng)中，用戶隸屬于一個(gè)或多個(gè)組。以組的方式來組織用戶為訪問控制決策提供方便。如果一個(gè)用戶同時(shí)屬于多個(gè)用戶組，那么用戶可以在用戶組之間切換，以便具有其它用戶組的權(quán)限。$newgrp root 謹(jǐn)慎使用OpenSSH修改ssh服務(wù)的root登錄權(quán)限#vi /etc/ssh/sshd_configPermitRootLogin yes將這行前的去掉后，修改為：PermitRootLogin no修改ssh服務(wù)的sshd 端口ssh默認(rèn)會(huì)監(jiān)聽在22端口，你可以修改至6022端口以避過常規(guī)的掃Linux安全包含的內(nèi)容1 操作系統(tǒng)和用戶安

18、全2 文件系統(tǒng)安全3 數(shù)據(jù)安全4 SELinux5 防火墻6 防病毒數(shù)據(jù)安全共享安全關(guān)鍵文件保護(hù)數(shù)據(jù)庫安全共享安全NFS服務(wù)安全NFS共享具有定向性，每個(gè)共享僅針對(duì)一臺(tái)主機(jī)NFS共享可設(shè)置兩種用戶訪問模式視為共享方用 root 帳戶登入 將匿名用戶映射到某個(gè)特定帳戶NFS下遠(yuǎn)程用戶的訪問權(quán)限受上述共享方本地帳戶對(duì)于共享目錄的權(quán)限。一般有嚴(yán)格的權(quán)限要求:不要使用任何通配符，不允許root的寫權(quán)限并且只能安裝為只讀文件系統(tǒng)。修改/etc/exports 文件共享安全Samba安全Samba使用系統(tǒng)用戶作為共享用戶，并使用獨(dú)立的密碼管理共享共享的目錄權(quán)限等同于原機(jī)共享用戶的權(quán)限服務(wù)安全網(wǎng)絡(luò)基本安全W

19、eb服務(wù)安全FTP服務(wù)安全郵件系統(tǒng)服務(wù)安全取消不必要的服務(wù)：一般來說，除了http、smtp、telnet和ftp之外，其他服務(wù)都應(yīng)該取消網(wǎng)絡(luò)基本安全禁 ICMP echo “1”/proc/sys/net/ipv4/icmp/icmp_echo_ignore_all刪除不必要的IP地址關(guān)閉不必要的服務(wù) samba nfs sshd禁止機(jī)內(nèi)路由編輯/etc/sysctl.conf網(wǎng)絡(luò)基本安全防止IP欺騙編輯host.conf文件并增加如下幾行來防止IP欺騙攻擊。order bind，hosts multi off nospoof on 防止DOS攻擊對(duì)系統(tǒng)所有的用戶設(shè)置資源限制可以防止DoS類

20、型攻擊，如最大進(jìn)程數(shù)和內(nèi)存使用數(shù)量#vi /etc/security/limits.conf* hard core 0* hard rss 5000* hard nproc 20上面的命令禁止調(diào)試文件，限制進(jìn)程數(shù)為20并且限制內(nèi)存使用為5MBWEB服務(wù)安全根據(jù)需要設(shè)置網(wǎng)頁和目錄的權(quán)限如果不需要CGI，則在配置文件中將其虛目錄刪除隱藏和偽裝Apache的版本默認(rèn)情況下，系統(tǒng)會(huì)把Apache版本模塊都顯示出來（http返回頭）。如果列舉目錄的話，會(huì)顯示域名信息（文件列表正文），去除Apache版本號(hào)的方法是修改配置文件/etc/httpd.conf。找到關(guān)鍵字ServerSignature，將其設(shè)

21、定為：ServerSignature OffServerTokens Prod然后重新啟動(dòng)Apache服務(wù)器。WEB服務(wù)安全Web目錄的訪問策略1禁止使用目錄索引Apache服務(wù)器在接收到用戶對(duì)一個(gè)目錄的訪問 時(shí)，會(huì)查找Directorylndex指令指定的目錄索引文件，默認(rèn)情況下該文件是index.html。如果該文件不存在，那么Apache會(huì)創(chuàng)建動(dòng) 態(tài)列表為用戶顯示該目錄的內(nèi)容。通常這樣的設(shè)置會(huì)暴露Web站點(diǎn)結(jié)構(gòu)，因此需要修改配置文件禁止顯示動(dòng)態(tài)目錄索引。修改配置文件httpd.conf：Options -Indexes FollowSymLinksOptions指令通知Apache禁止使

22、用目錄索引。FollowSymLinks表示不允許使用符號(hào)鏈接。2禁止默認(rèn)訪問一個(gè)好的安全策略要禁止默認(rèn)訪問的存在，只對(duì)指定的目錄開啟訪問權(quán)限，如果允許訪問/var/www/html目錄，使用如下設(shè)定：Order deny,allowAllow from all3禁止用戶重載為了禁止用戶對(duì)目錄配置文件（.htaccess）進(jìn)行重載（修改），可以這樣設(shè)定：AllowOverride NoneWEB服務(wù)安全Apache服務(wù)器訪問控制方法Apache的access.conf文件負(fù)責(zé)設(shè)置文件的訪問權(quán)限，可以實(shí)現(xiàn)互聯(lián)網(wǎng)域名和IP地址的訪問控制。它包含一些指 令，控制允許什么用戶訪問Apache目錄。應(yīng)該

23、把deny from all設(shè)為初始化指令，再使用allow from指令打開訪問權(quán)限。如果允許到54的主機(jī)訪問，可以這樣設(shè)定：order deny,allowdeny from allallow from pair /WEB服務(wù)安全管理Apache服務(wù)器訪問日志一個(gè)優(yōu)秀的Linux網(wǎng)絡(luò)管理員會(huì)密切關(guān)注服務(wù)器日志系統(tǒng)，這些日志可以提供異常訪問的線索。Apache可以記錄所有的訪問請(qǐng)求，同樣，錯(cuò)誤的請(qǐng)求也會(huì)記錄。Apache配置文件中，需要關(guān)心的和日志相關(guān)的配置文件有兩個(gè)：$ CustomLog /www/logs/access_log common #記錄對(duì)Web站點(diǎn)的每個(gè)進(jìn)入請(qǐng)求#$ Err

24、orLog /www/logs/error_log #記錄產(chǎn)生錯(cuò)誤狀態(tài)的請(qǐng)求#CustomLog用來指示Apache的訪問日志存放的位置（這 里保存在/www/logs/access_log中）和格式（這里為common）；ErrorLog用來指示Apache的錯(cuò)誤信息日志存放的位置。 對(duì)于不配置虛擬主機(jī)的服務(wù)器來說，只需直接在httpd.conf中查找CustomLog配置進(jìn)行修改即可。FTP安全是否要允許匿名訪問設(shè)置適當(dāng)?shù)哪夸浐臀募挠脩魴?quán)限設(shè)置允許哪些用戶訪問FTP設(shè)置chroot郵件系統(tǒng)安全防范針對(duì)SMTP和POP3的連接攻擊使用防垃圾郵件系統(tǒng)使用郵件殺毒系統(tǒng)設(shè)置郵件系統(tǒng)帳戶對(duì)系統(tǒng)文件

25、的權(quán)限通過磁盤配額限制用戶郵箱容量Linux安全包含的內(nèi)容1 操作系統(tǒng)和用戶安全2 文件系統(tǒng)安全3 數(shù)據(jù)安全4 SELinux5 防火墻6 防病毒SELinuxSELinux是Security-Enhanced Linux的簡(jiǎn)稱，是美國(guó)國(guó)家安全局NSAThe National Security Agency 和SCC（Secure Computing Corporation）開發(fā)的 Linux的一個(gè)擴(kuò)張強(qiáng)制訪問控制安全模塊。原先是在Fluke上開發(fā)的，2000年以 GNU GPL 發(fā)布。 開啟selinux可以增加安全性，但裝軟件時(shí)可能會(huì)遇到一些奇怪問題以下是關(guān)閉方法#vi /etc/seli

26、nux/config改成disabled SELinux配置文件：/etc/selinux/config文件 配置文件：/etc/sysconfig/selinux 當(dāng)安裝到系統(tǒng)時(shí)，可以選擇三種SELinux中的一種。它們分別是強(qiáng)制(enforcing)、許可(permissive)和禁用(disabled)。 $id Zuser_u:system_r:unconfined_t此信息表示你相對(duì)于root來說，是一個(gè)普通用戶。當(dāng)你以root身份登錄時(shí)，運(yùn)行id Z命令后，你將會(huì)看到以下信息:root:system_r:unconfined_t如果你用ls Z命令檢查httpd進(jìn)程，你將看到:-rwxr-xr-x root root system_u:object_r:httpd_exec_t /usr/sbin/httpd.SELinux在Linux命令行下，輸入system-config-securitylevel命令(或者在GNOME中點(diǎn)擊系統(tǒng)設(shè)置按鈕，再?gòu)闹羞x擇安全等級(jí))，將會(huì)啟動(dòng)一個(gè)如下圖的GUI界面窗口，在其中能夠容易的調(diào)整SELinux的設(shè)置。 $sestatus SELinux status: enabledSELinuxfs mount: /selinuxCurrent mo