《linux主机安全》由会员分享,可在线阅读,更多相关《linux主机安全(21页珍藏版)》请在金锄头文库上搜索。
1、第一部分:系统安全(一)、Linux用户与目录1.Linux用户目录有三类,即用户主目录超级用户及增加其他用户目录,对一般用户而言,硬盘上可以进行写操作的地方可能只有自己的主目录,它位于“/home/用户名”下。2.“/home目录”是保存所有用户文件的,其中包括用户设置、程序配置文件、文档、数据、IE缓存文件以及用户邮件等等。3.普通用户仅仅可以在自己的主目录下创建新的子目录来组织个人文件。并且在没有赋予其他用户普通用户权限的情况下,其他用户是无权读写他人主目录下的内容的。4.除了自己的主目录外,一般用户是可以查找读执行系统内其它目录中的文件的,但是一般情况下,他们不能修改或移动这些文件。5
2、.超级用户(也称为“root”)是一个具有修改系统中任何一个文件权力的特别账号。在日常工作中,最好不要使用超级用户账号进入系统,因为任何错误操作都可能导致巨大的损失。由于超级用户账号是系统建立后提供的唯一一个账号,因此,您需要建立和使用一个一般用户账号进行日常工作。文件以及用户属性中有读写执行三种。(二)文件类型.bz2 使用bzip2命令压缩的文件,可以使用bzip2 -d filename 解包 .gz 使用gzip命令压缩的文件,可以使用gunzip -d filename 解包 .tar 使用tar打包的文件,即tarball文件,可以使用tar xf filename 解包 .tbz
3、 使用tar打完包后再以bzip2命令压缩的文件,可以使用tar jxf filename 解包 .tgz 使用tar打完包后再以gzip命令压缩的文件,可以使用tar zxf filename 解包 普通文件格式 .au 声音文件,可以使用系统的声音播放器或者是JAVA程序播放 .gif GIF图像文件,可以使用WEB浏览器查看 .html/.htm HTML文件,可以使用WEB浏览器查看 .jpg JPEG图像文件,可以使用WEB浏览器查看 .pdf 文档的电子版本,PDF是一种电子文档的标准,可以使用xpdf或者是adobe acrobat reader阅读 .png PNG图像文件,P
4、NG是Portable Network Graphic的简写,可以使用WEB浏览器或者图像浏览器查看 .ps PostScript文件,一种打印格式文件,可以使用ghostview或者是支持ps查看的图像浏览器查看,也可以直接输出给打印机打印 .txt 文本格式文件,可以使用任何编辑器查看 .wav 声音文件,可以使用声音播放器播放 .xpm XPM图像文件,可以使用图像查看器查看 系统文件 .conf 某个程序的配置文件,一般可以使用vi进行编辑 .lock 某个程序的锁定文件,用于检测某个程序在执行或者某个设备或者资源正在使用 .rpm RedHat的软件包管理器文件,用于安装软件程序和脚
5、本文件 .c C语言程序源码文件 .cpp C+语言程序源码文件 .h C或C+语言的头文件 .o 程序对象文件 .pl Perl脚本文件 .so 动态链接库文件 .tcl TCL脚本文件(三)网络安全相关命令(1)passwd 修改密码的命令(2)su 变更为其它使用者的身份,超级用户除外,需要键入该使用者的密码。(3)umask 设置用户文件和目录的文件创建缺省屏蔽值/.bash_profile中,加上一行命令umask 0077可以保证每次启动Shell后, 进程的umask权限都可以被正确设定。(4)chgrp表示修改一个或多个文件或目录所属的组(5)chmod命令是非常重要的,用于改
6、变文件或目录的访问权限,用户可以用它控制文件或目录的访问权限,使用权限是超级用户。(6)chown更改一个或多个文件或目录的属主和属组(7)chattr 修改文件属性。(8)sudo是一种以限制配置文件中的命令为基础,在有限时间内给用户使用,并且记录到日志中的命令,权限是所有用户(9)ps显示瞬间进程 (process) 的动态,使用权限是所有使用者(四)一些基本命令pwd 查看当前目录mkdir 创建目录rmdir 删除目录ls -a 显示所有文件和目录mv a b 移动a到b相当与重命名touch a 创建a文件cp a /root/b 将当前目录的a复制到root下的bmove 文件名
7、阅读文件2)运维安全中需要注意些什么?比如远程登陆主机和IP访问的策略的设置,网络环境和系统服务的设置?受访者可就 使用密钥登陆,而不是单纯用密码,限制SSH的登陆IP,去处不必要的服务和使用WLAN或VPN之类的网络环境做好运维中的安全。(一)从原则上来说(1)使用最小权限原则(2)设置一个强健的密码(3)严格配置管理(二)从技术上来说(1)定期检查日志文件,有条件的可以将关键安全日志文件ftp到另外一台服务器上,且设置仅仅上传且读取权限,禁止任何人删除,按照时间保存文件。(2)合理使用iptable表,限制合法IP地址定时远程登录和维护(五)目录主要部分是根、/usr 、/var 和 /h
8、ome 文件系统(1)usr 文件系统包含所有命令、库、man页和其他一般操作中所需的不改变的文件,/usr 文件系统经常很大,因为所有程序安装在这里(2)/var 文件系统包含会改变的文件,比如spool目录(mail、news、打印机等用的), log文件、formatted manual pages和暂存文件。(3)home 文件系统包含用户家目录,即系统上的所有实际数据。一个大的/home 可能要分为若干文件系统,需要在/home 下加一级名字,如/home/students 、/home/staff 等(4)根文件系统一般应该比较小,因为包括严格的文件和一个小的不经常改变的文件系统不
9、容易损坏。损坏的根文件系统一般意味着除非用特定的方法(例如从软盘)系统无法引导/etc 目录包含很多文件。许多网络配置文件也在/etc 中。/etc/passwd 用户数据库,其中的域给出了用户名、真实姓名、家目录、加密的口令和用户的其他信息。/dev目录 包括所有设备的设备文件第二部分:网络安全(一)中小企业Linux网络安全策略目前,许多中小用户因业务发展,不断更新或升级网络,从而造成自身用户环境差异较大,整个网络系统平台参差不齐,在服务器端大多使用Linux和Unix的,PC端使用Windows 9X/2000/XP。所以在企业应用中往往是Linux/Unix和Windows操作系统共存
10、形成异构网络。中小企业由于缺少经验丰富的Linux网络管理员和安全产品采购资金,所以对于网络安全经常是头痛医头、脚痛医脚,缺乏缺乏全面的考虑。这里笔者把中小企业的安全分为四种来提出解决方案。服务器安全、网络设备的安全、接入互联网的安全和内部网络的安全。一、服务器安全:1 关闭无用的端口任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口,就使网络攻击变成无源之水,从而大大减少了攻击者成功的机会。首先检查你的inetdconf文件。inetd在某些端口上守侯,准备为你提供必要的服务。如果某人开发出一个特殊的inetd守护程序,这里就存在一个安全隐患。你应当在inetdconf文
11、件中注释掉那些永不会用到的服务(如:echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。注释除非绝对需要,你一定要注释掉rsh、rlogin和rexec,而telnet建议你使用更为安全的ssh来代替,然后杀掉lnetd进程。这样inetd不再监控你机器上的守护程序,从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描程序扫描你的系统,如果发现有你不知道的开放端口,马上找到正使用它的进程,从而判断是否关闭它们。2 删除不用的软件包在进行系统规划时,总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统,运行了很多的服务。但有许多服务是
12、不需要的,很容易引起安全风险。这个文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd将要监听的服务,你可能只需要其中的两个:telnet和ftp,其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等,除非你真的想用它,否则统统关闭。3 不设置缺省路由在主机中,应该严格禁止设置缺省路由,即default route。建议为每一个子网或网段设置一个路由,否则其它机器就可能通过一定方式访问该主机4 口令管理口令的长度一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英
13、语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd,能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具,建议你现在马上安装。如果你是系统管理员,你的系统中又没有安装口令过滤工具,请你马上检查所有用户的口令是否能被穷尽搜索到,即对你的ectpasswd文件实施穷尽搜索攻击。5 分区管理一个潜在的攻击,它首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲
14、区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区记录数据,如log文件,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。(二)常见网络安全工具1. sudo sudo是系统管理员用来允许某
15、些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性,如果你需要每天以root身份做一些日常工作,经常执行一些固定的几个只有root身份才能执行的命令,那么用sudo对你是非常适合的。 2. Sniffit sniffit 是一个有名的网络端口探测器,你可以配置它在后台运行以检测哪些Tcp/ip端口上用户的输入/输出信息。 3.ttysnoop是一个重定向对一个终端号的所有输入/输出到另一个终端的程序4.nmap 是用来对一个比较大的网络进行端口扫描的工具,它能检测该服务器有哪些tcp/ip端口目前正处于打开状态。你可以运行它来确保已经禁止掉不该打开的不安全的端口号。5.Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Linux log文件,象/var/log/messages, /var/log/secure,/var/log/maillog等等,然后生成一个可能有安全问题的问题报告自动发送email给管理员。你能设置它基于每小时,或者每天用crond来自动运行。 6.Tripwire 是一个用来检验文件完
