《系统防御技能基础知识—linux》由会员分享,可在线阅读,更多相关《系统防御技能基础知识—linux(46页珍藏版)》请在金锄头文库上搜索。
1、系系 统统 防防 御御 技技 能能目录Linux操作系统安全一二Linux系统安全配置目录Linux操作系统安全一二Linux系统安全配置4Linux安全机制v用户帐号和用户组 v文件系统 v远程登录 v进程管理 v系统日志 vLinux防火墙5用户帐号和用户组 基本概念 用户身份标识(User ID) 组身份标识(Group ID) 文件必须有所有者 用户必须属于某个或多个组 用户与组的关系灵活(1对多、多对多等都可 以) 根用户拥有所有权限6帐号信息存储 信息存储 用户信息:passwd与shadow 组信息:group与gshadow7用户帐号文件-passwdvpasswd文件特点 文
2、本格式 全局可读 存储用户信息 口令加密存放(不可逆DES算法)v存储条目格式 name:coded-passwd:UID:GID:userinfo:homedirectory:shell v条目例子 demo:x:523:100:J.demo:/home/demo:/bin/sh8用户帐号影子文件-shadowvshadow文件特点 文本格式 仅对root可读可写 存储用户密码等信息 v存储条目格式 name:passwd:lastchg:min:max:warn:inactive:expire:flag v条目例子 #root:$1$acQMceF9:13402:0:99999:7:用户登
3、录名及加 密的用户口令上次修改口令日 期口令两次修改最 小天数及最大天 数口令失效前多少 天向用户警告被禁止登录前还 有效天数帐号被禁止登录 时间保留域9用户与组安全管理-验证文件v验证用户文件(PWCK) 验证用户帐号文件/etc/passwd与/etc/shadow是否 一致,例如合法shell、合法目录等 v验证组文件(grpck) 正确的域数目 唯一组群标识 合法成员和管理员列表10用户与组安全管理-密码安全v使用安全的密码 安全密码的特征 自己容易记 别人不好猜 v管理好系统管理员密码 良好的密码习惯 一主一备 密码信封11保护root帐号vroot帐号使用 不远程使用root 不直
4、接使用root帐号登陆,使用普通用户登陆su成 为root 不要将root shell留在终端上 root仅作维护操作,不运行不明程序或其他用户程 序12Linux文件系统v文件系统类型 Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等v文件和目录 对每个文件和目录设置访问权限13文件系统安全vLinux文件类型 普通文件(文本文件、二进制文件) 目录文件 设备文件 链接文件 管道文件14文件系统目录结构/home bin proc usr boot lib dev etc varftp ljw linux bin lib man tmp lib log run spool t
5、mp15常见目录用途/binbin是二进制(binaries)的缩写。许多基本的系统程序都驻留在/bin目录中。/boot存放启动Linux时使用的一些核心文档,如 vmlinuz等。/dev用ls -F命令可以列出/dev目录中的内容。该目录下是一些称为设备驱动 程序 的特殊文件,用于访问系统资源或设备,如软盘、硬盘、CD-ROM、调制解 调器、系统内存等。 有了这些文件,用户可以像访问普通文件一样方便地访问系统中的物理设 备。例如,当用户要从一个文件中读数据时,可以通过调用/dev/mouse文件 从鼠标器读取输入信息。在/dev目录下,各种设备所对应的特殊文件以一定 的规则命名。例如,/
6、dev/fd0文件指第一个软驱,/dev/fdl指第二个软驱, /dev/hda指第一个硬盘,而/dev/hdal指的是/dev/hda的第一个分区,如此类 推。/etc包含系统管理所需要的大量配置文件和子目录,例如口令文件/etc/passwd、 系统初始化脚本文件/etc/rc等。该目录是系统中最重要的目录之一。 /hom e包含所有用户的个人主目录。通常,用户的个人主目录以它的名字来命名, 例如/home/yang是用户yang的个人目录。在新安装的Linux系统中,/home目 录中可能没有任何用户。/lib该目录包含动态链 接共享库的文件映象,这些文件为众多程序提供了共享代 码。使用
7、库文件,可以缩小可执行文件的尺寸,节省系统空间。16常见目录用途/lost+found这是一个空目录,只有当文件系统发生故障时,才用来存放找不到正 确存储位置的文件。/mnt用户可以在该目录下临时挂装其它文件系统,如在使用CD-ROM时, 就要把CD-ROM文件挂装在该目录下。/proc这是Linux系统提供的一个“虚拟文件系统”,其中的文件都存放在内存中 ,而不是存放在磁盘中。它们指向在系统中正在运行的各个进程,以便 用户可以随时访问 程序的运行信息。给用户提供方便的接口。/root超级用户的主目录/sbin 专门用来存储系统管理员使用的可执行文件,如mount、linuxconf等 等。
8、/tmp程序执行时会产生一些临时信息,系统把这些临时信息存放在一个暂 时文件中,这个临时文件就放在/tmp目录下。/usr这是一个非常重要的目录,它包括许多子目录。有些子目录用来存放 系统的配置文件和重要的大型软件包程序。前面讨论到的各目录对系 统的操作来说是最基本的,而在/usr中许多内容是可以任选的。如果没 有/usr目录,系统中将只有cp、1s等程序,这样的系统会非常难用/var该目录用来容纳大小经常发生变化或打算进一步扩充的目录或文件。 例如,文件/var/adm中包含着系统管理员感兴趣的内容,特别是系统日 志,它记录了系统的所有错误或问题。17文件系统的权限 文件/目录权限基本概念
9、权限类型:读、写、执行 权限表示方式:模式位 drwxr-xr-x 3 root root 1024 Sep 13 11:58 test18文件权限模式数学字表示文件所 有者文件所 在组其它人 权限19文件、目录隐含模式r w xr-xr-xSticky(防删除位) sgid suidr w xr-xr-x111r w sr-sr-t-r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwdSUID程序1. chmod 改变文件权限设置。2. chgrp 改变文件的分组。3. chown 改变文件的拥有权。4. Chattr 设置文件属性20文
10、件权限修改命令 使用chmod命令修改文件权限: chmod 666 myfile chmod 1777 /tmp 使用umask命令设置文件默认权限 umask 022 umask 077设置sticky位21远程登录安全vtelnet - ssh vSSH #service sshd start v设置能够登录本机的IP地址 /etc/ssh/sshd_config v禁止root用户远程登陆v限定信任主机 v屏蔽登录banner信息22Linux进程安全v进程基本概念 进程类型 交互进程 批处理进程 守护进程 进程模式 用户模式 内核模式 进程状态 运行态、等待态、停止态、僵死态23守护
11、进程v守护进程的概念 在后台运行,无终端或shell结合v守护进程启动方式 引导系统是启动 手工从shell启动 使用crond守护进程启动v重要守护进程 Apmd 高级电源管理 Xinetd 支持多种网络服务的核心守护程序 24Linux进程安全管理v进程的执行 手工执行 自动执行 资源空虚时执行 周期性执行 v进程资源限制 限制进程创建大型文件 限制单个用户调用的最大子进程个数25Linux日志管理vLinux日志类型 连接时间日志 进程统计 错误日志 应用程序日志日志文件注释释Access-log记录http/web连接Acct/pcct记录用户命令Boot.log记录开机自检过程信息l
12、astlog最近成功登录和不成功登录message从 syslog中记录信息sudolog记录sudo发出的命令sulog记录su命令的使用syslog从 syslog中记录信息utmp记录当前登录用户信息wtmp用户每次登录进入和退出时 间xferlogftp会话信息maillog记录电 子邮件活动信息26Linux日志安全管理v保护日志文件 日志文件权限设置 审查日志中不正常情况 非常规时间登录 日志残缺 Su的使用 服务的启动情况 v使用syslog设备 Syslog.conf设置 使用syslog日志服务器27Linux防火墙vLinux下的防火墙框架iptables 包过滤 NAT
13、数据包处理 vIptables基本规则 Iptables -t table command matchtarget vIptables基本应用 Iptables A INPUT s 202.2.2.2 j ACCEPT Iptables D INPUT dport 80 j DROP目录Linux操作系统安全一二Linux系统安全配置UNIX/Linux通用安全加固方案n帐号n文件权限n服务n日志审计n系统状态帐号安全n帐号 /etc/login.defs,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE 检查是否存在除root外
14、UID = 0的用户检查是否存在弱口令 锁定不使用的帐户(passwd l username) 检查root用户环境变量 设置帐号超时注销(vi /etc/profile增加TMOUT=600)帐号安全 限制root远程登录 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置:CONSOLE = /dev/tty01 UNIX/Linux通用安全加固方案n帐号n文件权限n服务n日志审计n系统状态umask 检查是否包含 umask 值more /etc/profile more /etc/csh.login more /e
15、tc/csh.cshrc more /etc/bashrcumask umask rootRHEL5 home# umask 0022 rootRHEL5 home# touch file1 rootRHEL5 home# ls -l file1 -rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644) rootRHEL5 home# umask 0066 rootRHEL5 home# touch file2 rootRHEL5 home# ls -l file2 -rw- 1 root root 0 Jul 26 07:18 file2 (600) rootRHEL5 home# umask 0 rootRHEL5 home# umask 0000 rootRHEL5 home# touch file3 rootRHEL5 home# ls -l file3 -rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666)文件权限文件权限 ls lroot
