《Unix与Linux操作系统安全课件》由会员分享,可在线阅读,更多相关《Unix与Linux操作系统安全课件(23页珍藏版)》请在金锄头文库上搜索。
1、版权所有,盗版必纠,第12章 Unix与Linux操作系统安全,李 剑 北京邮电大学信息安全中心 E-mail: 电话:13001936882,版权所有,盗版必纠,概 述,Linux被认为是一个比较安全的Internet服务器。作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。Unix系统作为一个稳定的操作系统,也有许多漏洞需要修补。然而,系统管理员往往不能及时地对Linux/Unix系统的漏洞进行修补,这就给黑客以可乘之机。但是,相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。本章将
2、介绍一些增强Linux/Unix系统安全性配置的基本知识。,版权所有,盗版必纠,目 录,第12章 Unix与Linux操作系统安全 12.1 Unix与Linux系统概述 12.2 Unix与Linux系统安全 思考题,版权所有,盗版必纠,1969年,Ken Thompson、Dennis Ritchie和其他一些人在AT&T贝尔实验室开始进行一个“little-used PDP-7 in a corner”的工作,它便是Unix的雏形。10年里,Unix在AT&T的发展经历了数个版本。V4(1974)用C语言重写,这成为系统间操作系统可移植性的一个里程碑。V6(1975)第一次在贝尔实验室以
3、外使用,成为加州大学伯克利分校开发的第一个Unix版本的基础。 贝尔实验室继续在Unix上工作到80年代,有1983年的System 5版本和1989年的System 4版本。同时,加利福尼亚大学的程序员改动了AT&T发布的源代码,引发了许多主要论题。BSD(Berkeley Standard Distribution)成为第2个主要“Unix”版本。,12.1 Unix与Linux系统概述,版权所有,盗版必纠,Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 Unix操作系统经过20多年的发展后,已经
4、成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。,12.1 Unix与Linux系统概述,版权所有,盗版必纠,可靠性高 极强的伸缩性 网络功能强 强大的数据库支持功能 开放性好,12.1 Unix与Linux系统概述,版权所有,盗版必纠,在这期间,Unix操作系统出现了许多“变种”,如Linux、Solaris等如图所示,12.1 Unix与Linux系统概述,版权所有,盗版必纠,Linux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的
5、是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。 Linux最早开始于一位名叫Linus Torvalds的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上,并且具有Unix操作系统的全部功能。,12.1 Unix与Linux系统概述,版权所有,盗版必纠,Linus看到了一个叫做Minix的小型Unix系统,觉得自己能做得更好。1991年秋天,他发行了一个叫“Linux”的免费软件
6、内核的源代码是他的姓和Minux的组合。到1994年,Linus和一个内核开发小组发行了Linux 1.0版。Linus和朋友们有一个免费内核,Stallman和朋友们拥有一个免费的Unix克隆系统的其余部分。人们把Linux内核和GNU合在一起组成一个完整的免费系统,该系统被称为“Linux”,尽管Stallman更愿意取名为“GNU/Linux System”。有几种不同类别的GNU/Linux:一些可以被公司用来支持商业使用,如Red Hat、Caldera Systems和S.U.S.E;其他如Debian GNU/Linux,更接近于最初的免费软件概念。 Linux能在几种不同体系结
7、构的芯片上运行,并已经被各界接纳或支持。其支持者有惠普、硅谷图像和Sun等有较长历史的Unix供应商,还有康柏和戴尔等PC供应商以及Oracle和IBM等主要软件供应商。,12.1 Unix与Linux系统概述,版权所有,盗版必纠,Linux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。它是在共用许可证(GPL,General Public License)保护下的自由软件,也有好几种版本,如Red Hat Linux、Slackware,以及国内的Xteam Linux、红旗Linux等。Linux的流行是因为它具有许多优点,典型的优点有如下7个:,12.1 Unix与Li
8、nux系统概述,版权所有,盗版必纠,(1)完全免费; (2)完全兼容POSIX 1.0标准; (3)多用户、多任务; (4)良好的界面; (5)丰富的网络功能; (6)可靠的安全、稳定性能; (7)支持多种平台。 由于Unix与Linux系统相似,所以本章将二者合起来介绍。,12.1 Unix与Linux系统概述,版权所有,盗版必纠,Unix系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。/etc/passwd中包含用户的登录名、经过加密的口令、用户号、用户组号、用户注释、用户主目录以及用户所用的shell程序。
9、其中用户号(UID)和用户组号(GID) 用于Unix系统惟一标识用户和同组用户及用户的访问权限。/etc/passwd中存放的是加密后的口令,用户在登录时需要输入的口令经计算后与/etc/passwd对应部分相比较,符合则允许登录,否则拒绝用户登录。用户可用passwd命令修改自己的口令, 但不能直接修改/etc/passwd中的口令部份。,12.2.1 系统口令安全,版权所有,盗版必纠,一个好的口令应当至少有6个字符长,不要用个人信息做口令(如生日、名字、反向拼写的登录名、房间中可见的物品等),普通的英语单词也不好(因为可用字典攻击法),口令中最好有一些非字母(如数字、标点符号、控制字符等
10、),还要好记一些, 不能写在纸上或计算机里的文件中。选择口令的一个推荐方法是将两个不相关的词用一个数字或控制字符相连,并截断为8个字符。当然,如果能记住8位乱码自然更好。 不应使用同一个口令在不同机器中使用,特别是不同级别的用户使用同一口令,可能导致安全隐患。用户应定期改变口令,至少6个月要改变一次,系统管理员可以强制用户定期做口令修改。为防止别人窃取口令,在输入口令时应注意保密。,12.2.1 系统口令安全,版权所有,盗版必纠,1.禁用帐号 在/etc/passwd文件中用户名前加一个“#”,把“#”去掉即可取消限制。在对操作系统做配置的时候,可以将一些不用的帐号删除。,12.2.2 帐号安
11、全,版权所有,盗版必纠,2. 保护root帐号 (1) 除非必要,避免以超级用户登录。 (2) 严格限制root只能在某一个终端登陆,远程用户可以使用/bin/su -l来成为root。 (3) 不要随意把root shell留在终端上。 (4) 若某人确实需要以root来运行命令,则考虑安装sudo这样的工具,它能使普通用户以root来运行个人命令并维护日志。 (5) 不要把当前目录(“ . /”)和普通用户的bin目录放在root帐号的环境变量PATH中。 (6) 永远不以root运行其他用户的或不熟悉的程序,12.2.2 帐号安全,版权所有,盗版必纠,UNIX中的SUID(Set Use
12、r ID)/SGID(Set Group ID)设置了用户id和分组id属性,允许用户以特殊权利来运行程序, 这种程序执行时具有宿主的权限。当用户执行一个SUID文件时,用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root,那用户就成为超级用户。同样,当一个用户执行SGID文件时,用户的组被置为文件的组。 如passwd程序,它就设置了SUID位:,12.2.3 SUID和SGID,版权所有,盗版必纠,这样,passwd程序执行时就具有root的权限 SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的。比如每个用户都允许修改自己的密码,但是修改密码时又需要
13、root权限,所以修改密码的程序需要以管理员权限来运行。 SUID程序会对系统安全带来威胁,它会使非法命令执行和权限提升。为了保证SUID程序的安全性,在SUID程序中要严格限制功能范围,不能有违反安全性规则的SUID程序存在。并且要保证SUID程序自身不能被任意修改。,12.2.3 SUID和SGID,版权所有,盗版必纠,可以通过检查权限模式来识别一个SUID程序。如果“x”被改为“s”,那么程序是SUID。如: 另外,用命令chmodu-sfile可去掉file的SUID位。,12.2.3 SUID和SGID,版权所有,盗版必纠,服务就是运行在网络服务器上监听用户请求的进程,服务是通过端口
14、号来区分的。常见的服务及其对应的端口: ftp : 21 telnet : 23 http(www) : 80 pop3 : 110,12.2.4 服务安全,版权所有,盗版必纠,在Unix系统中, 服务是通过inetd 进程或启动脚本来启动。通过inetd来启动的服务可以通过在/etc/inetd.conf 文件中注释来禁用。Inetd配置文件如图所示。,12.2.4 服务安全,版权所有,盗版必纠,通过启动脚本启动的服务可以通过改变脚本名称的方式禁用。Unix系统中建议禁止使用的网络服务如下: finger tftp r系列服务 telnet 大多数rpc服务 其他不必要的服务,12.2.4 服务安全,版权所有,盗版必纠,1. 在Unix系统中,什么是SUID什么是SGID? 2. 在Unix系统中,如何禁止一个服务?,思考题,版权所有,盗版必纠,返回,Thanks For Attendance!,致 谢,
