第8章__Linux系统安全要点解析.ppt

第8章 Linux系统安全 据预计，2009年全球互联网用户的数量将会超过10亿，可以说，互联网与人们日常生活的联系正变得越来越密切。但与此同时，计算机犯罪和计算机恐怖主义也在不断地泛滥，各种网络攻击手段以及病毒层出不穷。为了保障企业和个人的重要信息及数据的安全，网络安全正受到越来越多人的关注，而作为系统管理员，做好系统的安全防范工作非常重要。本章将介绍黑客的常用攻击手段以及在Linux系统中的防范措施。 8.1 用户账号和密码安全 针对用户账号和密码的攻击是黑客入侵系统的主要手段之一。一个使用了弱密码（容易猜测或破解的密码）或设置了不适当权限的用户账号，将给系统留下重大的安全隐患，入侵者可以通过这些用户账号进入系统并进行权限扩张。所以，管理员应采取必要的技术手段强制用户使用强壮密码并定期更改，定期检查系统中的所有用户账号，删除或禁止不必要的用户、检查超级用户的唯一性等，保证系统用户账号和密码的安全。 1 删除或禁用不必要的用户 管理员应定期检查/etc/passwd文件，以查看主机上启用的用户。对于系统中已经不再使用的用户，应及时将他们清除。许多服务会在安装过程中在系统上创建专门的执行用户，比如ftp、news、postfix、apache、squid等。这类用户一般只是作为服务的执行者，而无需登录操作系统，因此往往会被管理员所忽略。为了防止这一类用户账号被黑客和恶意破坏者利用作为入侵服务器的跳板，可以采用如下方法禁止这些用户登录操作系统。 1．锁定用户 2．更改用户的Shell 可以用下面的命令删除账号。 # userdel 用户名 或者用以下的命令删除组用户账号。 # groupdel username 2 使用强壮的用户密码 密码安全是用户安全管理的基础和核心。但是为了方便，很多用户只是设置了非常简单的密码甚至使用空密码，而入侵者往往利用一些密码破解工具轻松地破解这些薄弱的密码获得用户的访问权限，从而进行系统。用户可以使用以下命令检查系统中使用空密码的用户账号。 # cat /etc/shadow | awk -F: length($2)1 {print $1} guest // guest和kelly用户的口令为空 Kelly 例如： # passwd beinan 注：更改或创建beinan用户的密码；Changing password for user beinan.New UNIX password: 注：请输入新密码；Retype new UNIX password: 注：再输入一次；passwd: all authentication tokens updated successfully. 注：成功； 3 设置合适的密码策略 随着计算机处理能力的提高，利用暴力破解程序猜测用户密码所需要的时间已经大大地缩短。所以仅仅为用户设置强壮的密码是不够的，用户还应该定期更改自己的密码。但是在实际工作中，很多用户往往由于各种主观的原因延迟甚至拒绝更改密码，从而为系统留下了严重的安全隐患。为此，系统管理员可以使用Red Hat Linux 5.2中提供的强制更改密码机制，为系统中的用户设置合适的密码更改策略，强制用户更改自己的密码。使用change命令可以管理和查看用户密码的有效期，其命令格式如下： Chage [options] user 参数意思：　　-m?密码可更改的最小天数。为零时代表任何时候都可以更改密码。　　-M?密码保持有效的最大天数。　　-W?用户密码到期前，提前收到警告信息的天数。　　-E?帐号到期的日期。过了这天，此帐号将不可用。　　-d?上一次更改的日期　　-i?停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。　　-l?列出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。 例如：?#chage?-M?90?root 4 破解shadow口令文件 保护好主机上的/etc/shadow文件也是非常重要。shadow文件中的用户密码信息虽然经过加密保存，但如果这些经过加密后信息被入侵者获得，他们就可以通过一些密码破解程序来破解密码散列。chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。 # chattr +i /etc/passwd　　# chattr +i /etc/shadow　　# chattr +i /etc/group　　# chattr +i /etc/gshadow 5 禁用静止用户 长时间不使用的用户账号是一个潜在的安全漏洞，这些用户可能是属于某个已经离开公司的员工，又或者是某些程序被卸载后留下来的用户，因此现在没人使用该用户。如果这些用户账号被入侵或者是文件被篡改，那么可能在很长一段