《操作系统安全》第十章-Linux系统安全增强概述.ppt

第10章 Linux系统安全增强 第一部分 教学组织 一、目的要求 1.掌握Linux操作系统安全设置基本技巧。 2.了解Linux日志系统、掌握常用审计工具的使用。 3.理解入侵检测基本过程并且掌握常用的入侵检测方法和工具。 二、工具器材 1.Red Hat Enterprise Linux7.0或以上操作系统。 2.syslog_ng工具或其他日志工具。 3.入侵检测工具Snort 第二部分 教学内容 本章主要介绍Linux系统安全设置技巧、日志和审计工具的使用和入侵检测工具及使用，从而更有效增强了Linux系统安全。 10.1 系统安全设置技巧 10.1.1 启动和登录安全性设置 1. BIOS安全，设定引导口令 2. 系统帐号的增加、删除和移走 3. 口令设置及加密文件的保护 4．禁止Ctrl+Alt+Delete三键重启系统 5．限制使用su命令 6．删减登录信息 1. BIOS安全，设定引导口令 禁止从软盘启动，并且给BIOS加上密码。每次启动的时候都手工检查一下BIOS，这样可以提高系统的安全性。禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计计算机；给BIOS加上密码，可以防止有人改变BIOS的参数，比如：允许从软盘启动或不用输入口令就可以引导计算机。 2. 系统帐号的增加、删除和移走 (1) 增加用户 增加用户有三个过程： 在/etc/passwd文件中写入新用户的入口项； 为新登录用户建立一个HOME目录； 在/etc/group中为新用户增加一个入口项。 在/etc/passwd文件中写入新的入口项时,口令部分可先设置为NOLOGIN,以免有人做为此新用户登录。在修改文件前，应mkdir /etc/ptmp，以免他人同时修改此文件。新用户一般独立为一个新组，GID号与UID号相同(除非他要加入目前已存在的一个新组),UID号必须和其他人不同,HOME目录一般设置在/usr或/home目录下建立一个以用户登录名为名称的目录做为其主目录. (2) 删除用户 删除用户与加用户的工作正好相反,首先在/etc/passwd和/etc/group文件中删除用户的入口项,然后删除用户的HOME目录和所有文件.rm -r /usr/loginname 删除整个目录树。如果用户在/usr/spool/cron/crontabs中有crontab文件,也应当删除。 (3)将用户移到另一个系统 这是一个复杂的问题,不只是拷贝用户的文件和用户在/etc/passwd文件中的入口项。首先一个问题是用户的UID和GID可能已经用于另一个系统,若是出现这种情况,必须给要移的用户分配另外的UID和GID,如果改变了用户的UID和GID,则必须有哪些信誉好的足球投注网站该用户的全部文件,将文件的原UID和GID改成新的UID和GID。 用find命令可以完成这一修改: find . -user olduid -exec chown newuid {} ； find . -group oldgid -exec chgrp newgid {} ； 也许还要为用户移走其它一些文件: /usr/mail/user和/usr/spool/cron/crontabs/user。 3. 口令设置及加密文件的保护 口令的安全是Linux安全的一个基本安全设置。许多人都把所有的东西保存在计算机上，防止别人查看这些信息的方法就是用口令把计算机保护起来。没有什么东西是绝对安全的。与常识相反的是：无法破解的口令是不存在的。只要给足时间和资源，所有的口令都能用社会工程(social engineering)或强行计算的方法猜出来。通过社会工程或其它方法获得服务器的口令是最简单和最流行的入侵服务器的方法。 建议用下面的规则选择有效的口令： （1）口令至少要有6个字符，最好包含一个以上的数字或特殊字符； （2）口令不能太简单，所谓的简单就是很容易猜出来，也就是用自己的名字，电话号码、生日、职业或者其它个人信息作为口令； （3）口令必须是有有效期的，在一段时间之后就要更换口令； （4）口令在这种情况下必须作废或者重新设定：如果发现有人试图猜测你的口令，而且已经试过很多次了。 安装完Linux系统之后默认的最小口令长度为5。这就是说一个新的用户可以访问服务器，那么他的口令必须多于5字符。但是这样是不够安全的，最好口令的长度能够大于8。可以强制用户使用8个字符以上的口令。编辑“/etc/login.defs”文件，把最小口令长度由5改成8。找到PASS_MIN_LEN 5 这一行，改为：PASS_MIN_LEN 8 。“login.defs”是很重要的配置文件。可以在这个文件中设定一些其它的安全策略，比如：口令的有效期。 口令文件保护是系统安全设置的一个非常