《网络安全运行与维护配套资源M3-1通过系统口令加强Linux系统安全防护》由会员分享,可在线阅读,更多相关《网络安全运行与维护配套资源M3-1通过系统口令加强Linux系统安全防护(37页珍藏版)》请在金锄头文库上搜索。
1、网络安全运行与维护,模块三 Linux桌面系统安全管理与维护,通过系统口令加强Linux系统安全防护 加强Linux用户网络访问权限的安全控制 加强Linux文件系统安全访问 使用安全审计加强Linux主机的安全维护,总体概述,能力单元1,通过系统口令加强Linux系统安全防护,任务描述,由于单位的工作性质,需要在办公网内计算机上都安装Linux操作系统,组建Linux系统,实现单位内部资源共享。 如果不屏蔽口令,所有的口令就会作为单向散列值被保存在全局可读的/etc/passwd文件中,这使系统非常容易受到离线口令破译攻击。入侵者通过普通用户方式登录计算机,把/etc/passwd文件复制到
2、自己的计算机上,就可以运行各种破译程序来破解口令。 用户安装双系统引导造成泄密,以及长时间只使用一个口令带来的系统风险。 黑客可以采用字典、暴力破解等方式入侵服务器主机。,任务分析,为了保护办公网内服务器的安全,防止黑客入侵网页服务器和主机,需要设置GRUB的口令保护技术。 为了保障服务器的安全,防止黑客采用字典、暴力破解等方式入侵服务器主机,需要修改口令的老化时间,增强系统的安全性。 用口令保护GRUB 口令安全 口令老化,相关知识,1用GRUB保护口令 防止进入单用户模式。如果攻击者能够引导进入单用户模式,就可以在不输入口令的情况下成为根用户。 防止进入GRUB控制台。如果计算机使用GRU
3、B作为引导装载程序,攻击者可以使用GRUB编辑界面来改变它的配置或使用cat命令来收集信息。 防止进入非安全的操作系统。如果它是双引导系统,攻击者可以在引导时选择操作系统,例如DOS,它会忽略存取控制的文件权限。,相关知识,2口令老化 口令老化是系统管理员用来防止使用不良口令的另一种技术。口令老化意味着过了预先设定的时间(通常是90天)后,用户会被提示设置一个新口令。,相关知识,3屏蔽口令 屏蔽口令通过把口令散列值保存在/etc/shadow文件中,使系统免遭黑客攻击。因为该文件只能被根用户读取,网络中的攻击者只能通过使用计算机上的SSH或FTP服务进行远程口令破译。这类破译非常缓慢,并且会留
4、下明显的踪迹,系统文件中会记录上百次失败的登录 尝试。,相关知识,4.安全口令规则: 口令长度至少为八个字符 口令越长越好。若使用 MD5 口令,它应该至少有15个字符。若使用 DES 口令,使用最长长度(8个字符)。 混和大小写字母 红帽企业 Linux 区分大小写,因此混和大小写会增加口令的强健程度。 混和字母和数字 在口令中添加数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。 包括字母和数字以外的字符 &、$、和 之类的特殊字符可以极大地增强口令的强健性(若使用 DES 口令则不能使用此类字符)。 挑选一个你可以记住的口令 如果你记不住你的口令,那么它再好也没有用;使用
5、简写或其它记忆方法来帮助你记忆口令。,拓扑结构,任务实施,步骤1实验准备 在PC1上安装Red Hat Linux Enterprise Server AS 4.6操作系统。,任务实施,步骤2用口令保护GRUB 第1步:测试不设置GRUB口令的隐患 启动系统,进入系统启动界面,任务实施,步骤2用口令保护GRUB 第1步:测试不设置GRUB口令的隐患 在系统启动界面,快速按任意键,进入GRUB启动菜单界面,任务实施,步骤2用口令保护GRUB 第1步:测试不设置GRUB口令的隐患 按E键,进入“命令编辑菜单”界面,任务实施,步骤2用口令保护GRUB 第1步:测试不设置GRUB口令的隐患 选择“Ke
6、rnel /vmlinuz ”选项,按E键,进入命令界面,在“rhgb quiet”后面输入 1,任务实施,步骤2用口令保护GRUB 第1步:测试不设置GRUB口令的隐患 输入完成后,按回车返回界面,按B键,用单用户模式启动系统 系统启动后,使用passwd命令来修改root用户口令,再输入命令“reboot”重启系统,任务实施,步骤2用口令保护GRUB 第2步:设置GRUB口令 登录系统,输入“/sbin/grub-md5-crypt”命令,返回口令的MD5散列值,任务实施,步骤2用口令保护GRUB 第2步:设置GRUB口令 编辑GRUB配置文件,任务实施,步骤2用口令保护GRUB 第2步:
7、设置GRUB口令 防止双系统引导,任务实施,步骤2用口令保护GRUB 第3步:验证测试 重新启动计算机,在图系统启动界面,快速按任意键,进入GRUB启动菜单界面 按P键,输入GRUB口令,任务实施,步骤3口令安全 第1步:设置不屏蔽口令 在终端输入system-config-authentication命令,打开“验证配置”对话框进,不选中“使用屏蔽口令”复选框,任务实施,步骤3口令安全 第1步:设置不屏蔽口令 创建用户user1并设置口令,任务实施,步骤3口令安全 第1步:设置不屏蔽口令 查看user1的口令文件/etc/passwd和/etc/shadow,步骤3口令安全 第2步:设置屏蔽
8、口令 选中“使用屏蔽口令”复选框,任务实施,任务实施,步骤3口令安全 第2步:设置屏蔽口令 创建用户user2并设置口令,任务实施,步骤3口令安全 第2步:设置屏蔽口令 查看user2的口令文件/etc/passwd和/etc/shadow,任务实施,步骤3口令安全 第3步:影子口令 比较/etc/passwd和/etc/shadow两个文件的权限,任务实施,步骤3口令安全 第3步:影子口令 关闭影子口令,任务实施,步骤3口令安全 第3步:影子口令 启用影子口令,任务实施,步骤4口令老化 第1步:口令安全要求 最短口令长度要求 Linux系统默认最短口令长度为5个字符,这个长度不足以保证口令的
9、健壮性,应该改为最短8个字符。 口令老化时间 修改口令的最大有效时限为90天,并且在前7天提醒用户修改密码。在Linux系统中可以通过多种方式来实现这一配置。,任务实施,步骤4口令老化 第2步:修改和测试配置 修改配置文件,任务实施,步骤4口令老化 第2步:修改和测试配置 创建用户user3,任务实施,步骤4口令老化 第2步:修改和测试配置 查看用户user3的口令老化时间,任务实施,步骤4口令老化 第3步:修改原有用户的口令老化时间 查看用户user1的口令老化时间,任务实施,步骤4口令老化 第3步:修改原有用户的口令老化时间 修改用户user1的口令老化时间,任务实施,步骤4口令老化 第3步:修改原有用户的口令老化时间 重新查看用户user1的口令老化时间,总结,本任务主要通过系统口令加强Linux系统安全防护 主要采用以下技术方法来实现 用口令保护GRUB 口令安全 口令老化,
