系统安全常规优化PPT课件

《系统安全常规优化PPT课件》由会员分享，可在线阅读，更多相关《系统安全常规优化PPT课件（43页珍藏版）》请在金锄头文库上搜索。

1、BENET3.0BENET3.0BENET3.0第二学期课程第二学期课程第二学期课程LinuxLinux网关及安全应用网关及安全应用网关及安全应用网关及安全应用2 2诺顿报告称网络犯罪每年造成诺顿报告称网络犯罪每年造成诺顿报告称网络犯罪每年造成诺顿报告称网络犯罪每年造成诺顿报告称网络犯罪每年造成诺顿报告称网络犯罪每年造成388038803880亿美元损失亿美元损失亿美元损失亿美元损失亿美元损失亿美元损失来源：搜狐来源：搜狐来源：搜狐来源：搜狐IT 2011IT 2011年年年年0909月月月月1515日日日日 9 9月月月月1515日消息，赛门铁克旗下诺顿今日发布了诺顿网络犯日消息，赛门铁克旗

2、下诺顿今日发布了诺顿网络犯日消息，赛门铁克旗下诺顿今日发布了诺顿网络犯日消息，赛门铁克旗下诺顿今日发布了诺顿网络犯罪研究报告。报告首次指出，全球因网络犯罪造成每年罪研究报告。报告首次指出，全球因网络犯罪造成每年罪研究报告。报告首次指出，全球因网络犯罪造成每年罪研究报告。报告首次指出，全球因网络犯罪造成每年11401140亿美元的经济损失。其中中国去年因网络犯罪造成亿美元的经济损失。其中中国去年因网络犯罪造成亿美元的经济损失。其中中国去年因网络犯罪造成亿美元的经济损失。其中中国去年因网络犯罪造成250250亿美元的损失。亿美元的损失。亿美元的损失。亿美元的损失。据授受调查的受害者表示，因处理网络

3、犯罪问题而浪据授受调查的受害者表示，因处理网络犯罪问题而浪据授受调查的受害者表示，因处理网络犯罪问题而浪据授受调查的受害者表示，因处理网络犯罪问题而浪费的时间价值费的时间价值费的时间价值费的时间价值27402740亿美元。将两项相加后，网络犯罪让全亿美元。将两项相加后，网络犯罪让全亿美元。将两项相加后，网络犯罪让全亿美元。将两项相加后，网络犯罪让全球每年损失球每年损失球每年损失球每年损失38803880亿美元，远高于其它形势犯罪交易金额。亿美元，远高于其它形势犯罪交易金额。亿美元，远高于其它形势犯罪交易金额。亿美元，远高于其它形势犯罪交易金额。诺顿的研究报告显示，中国地区的网络犯罪相较于全球更

4、诺顿的研究报告显示，中国地区的网络犯罪相较于全球更诺顿的研究报告显示，中国地区的网络犯罪相较于全球更诺顿的研究报告显示，中国地区的网络犯罪相较于全球更加恶劣，去年全球加恶劣，去年全球加恶劣，去年全球加恶劣，去年全球4.314.31亿成人遭受过网络犯罪的侵害，其亿成人遭受过网络犯罪的侵害，其亿成人遭受过网络犯罪的侵害，其亿成人遭受过网络犯罪的侵害，其中有差不多一半的受害者在中国，受害人数达到中有差不多一半的受害者在中国，受害人数达到中有差不多一半的受害者在中国，受害人数达到中有差不多一半的受害者在中国，受害人数达到1.961.96亿人。亿人。亿人。亿人。3 3网络犯罪目的朝多样化发展网络犯罪目的

5、朝多样化发展网络犯罪目的朝多样化发展网络犯罪目的朝多样化发展网络犯罪目的朝多样化发展网络犯罪目的朝多样化发展201120112011年年年年年年090909月月月月月月141414日日日日日日10:5010:5010:50 网络犯罪形式多样，其中分布式拒绝服务攻击网络犯罪形式多样，其中分布式拒绝服务攻击网络犯罪形式多样，其中分布式拒绝服务攻击网络犯罪形式多样，其中分布式拒绝服务攻击(DDoS)(DDoS)一直被网一直被网一直被网一直被网络罪犯用来进行敲诈和勒索。但是最近，络罪犯用来进行敲诈和勒索。但是最近，络罪犯用来进行敲诈和勒索。但是最近，络罪犯用来进行敲诈和勒索。但是最近，DDoSDDoS

6、攻击越来越多的被用攻击越来越多的被用攻击越来越多的被用攻击越来越多的被用做一种抗议形式，用来抗议政府以及大型企业的行为。做一种抗议形式，用来抗议政府以及大型企业的行为。做一种抗议形式，用来抗议政府以及大型企业的行为。做一种抗议形式，用来抗议政府以及大型企业的行为。近日，知名信息安全厂商卡巴斯基发布了近日，知名信息安全厂商卡巴斯基发布了近日，知名信息安全厂商卡巴斯基发布了近日，知名信息安全厂商卡巴斯基发布了20112011年第二季度年第二季度年第二季度年第二季度DDoSDDoS攻击攻击攻击攻击报告，报告显示报告，报告显示报告，报告显示报告，报告显示20112011年第二季度发生了多起年第二季度发

7、生了多起年第二季度发生了多起年第二季度发生了多起DDoSDDoS攻击，攻击，攻击，攻击，其中的攻击目的复杂多样，而且很多攻击意义重大，足可以被载入网其中的攻击目的复杂多样，而且很多攻击意义重大，足可以被载入网其中的攻击目的复杂多样，而且很多攻击意义重大，足可以被载入网其中的攻击目的复杂多样，而且很多攻击意义重大，足可以被载入网络犯罪编年史。络犯罪编年史。络犯罪编年史。络犯罪编年史。其中最为活跃的黑客团体为其中最为活跃的黑客团体为其中最为活跃的黑客团体为其中最为活跃的黑客团体为LulzSecLulzSec和和和和AnonymousAnonymous。他们组织。他们组织。他们组织。他们组织了针对多

8、个国家政府网站的了针对多个国家政府网站的了针对多个国家政府网站的了针对多个国家政府网站的DDoSDDoS攻击，其中包括美国、英国、西班攻击，其中包括美国、英国、西班攻击，其中包括美国、英国、西班攻击，其中包括美国、英国、西班牙、土耳其、伊朗等。通过攻击，黑客使得这些网站暂时无法访问，牙、土耳其、伊朗等。通过攻击，黑客使得这些网站暂时无法访问，牙、土耳其、伊朗等。通过攻击，黑客使得这些网站暂时无法访问，牙、土耳其、伊朗等。通过攻击，黑客使得这些网站暂时无法访问，例如例如例如例如cia.gov(cia.gov(美国中央情报局美国中央情报局美国中央情报局美国中央情报局) )和和和和 www.soca

9、.gov.uk(www.soca.gov.uk(英国重大组织犯英国重大组织犯英国重大组织犯英国重大组织犯罪调查局罪调查局罪调查局罪调查局(SOCA)(SOCA)。除此之外，企业中索尼遭受了严重的除此之外，企业中索尼遭受了严重的除此之外，企业中索尼遭受了严重的除此之外，企业中索尼遭受了严重的DDoSDDoS攻击。今年攻击。今年攻击。今年攻击。今年3 3月底，索月底，索月底，索月底，索尼曾起诉多位黑客涉嫌破解其尼曾起诉多位黑客涉嫌破解其尼曾起诉多位黑客涉嫌破解其尼曾起诉多位黑客涉嫌破解其PlayStation 3 PlayStation 3 平台固件。为了抗议索平台固件。为了抗议索平台固件。为了抗

10、议索平台固件。为了抗议索尼对这些黑客进行法律起诉，尼对这些黑客进行法律起诉，尼对这些黑客进行法律起诉，尼对这些黑客进行法律起诉，AnonymousAnonymous黑客组织发动了大规模的黑客组织发动了大规模的黑客组织发动了大规模的黑客组织发动了大规模的DDoSDDoS攻击，导致该公司的攻击，导致该公司的攻击，导致该公司的攻击，导致该公司的PlaySPlayS网站一度无法访网站一度无法访网站一度无法访网站一度无法访问。但这只是冰山一角，索尼公司称，问。但这只是冰山一角，索尼公司称，问。但这只是冰山一角，索尼公司称，问。但这只是冰山一角，索尼公司称，DDoSDDoS攻击过程中，索尼的攻击过程中，索

11、尼的攻击过程中，索尼的攻击过程中，索尼的PSNPSN服务服务器被攻破，造成服务服务器被攻破，造成服务服务器被攻破，造成服务服务器被攻破，造成77007700万用户数据被盗。万用户数据被盗。万用户数据被盗。万用户数据被盗。4 4201120112011年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂201120112011年年年年年年030303月月月月月月141414日日日日日日08:0908:0908:09来源：北京晨报来源：北京晨报来源：北京晨报来源：北京晨报来源：北京晨报来源：北京晨报国家互联网应急中心近日发布的国家

12、互联网应急中心近日发布的国家互联网应急中心近日发布的国家互联网应急中心近日发布的20102010年互联网网络安全态势报告年互联网网络安全态势报告年互联网网络安全态势报告年互联网网络安全态势报告指出，随着我国互联网新技术、新应用的快速发展，指出，随着我国互联网新技术、新应用的快速发展，指出，随着我国互联网新技术、新应用的快速发展，指出，随着我国互联网新技术、新应用的快速发展，20112011年的网络安年的网络安年的网络安年的网络安全形势将更加复杂。该报告认为，全形势将更加复杂。该报告认为，全形势将更加复杂。该报告认为，全形势将更加复杂。该报告认为，20112011年，中国网络安全形势可能呈年，中

13、国网络安全形势可能呈年，中国网络安全形势可能呈年，中国网络安全形势可能呈现如下特点：现如下特点：现如下特点：现如下特点：网络安全形势日益严峻，针对我国互联网基础设施和金融、网络安全形势日益严峻，针对我国互联网基础设施和金融、网络安全形势日益严峻，针对我国互联网基础设施和金融、网络安全形势日益严峻，针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击将逐渐增多

14、。系统的探测、渗透和攻击将逐渐增多。系统的探测、渗透和攻击将逐渐增多。系统的探测、渗透和攻击将逐渐增多。黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、个人隐私窃取等能够直接获利或易于获利的攻击方式；大型商业网站个人隐私窃取等能够直接获利或易于获利的攻击方式；大型商业网站个人隐私窃取等能够直接获利或易于获利的攻击方式；大型商业网站个人隐私窃取等能够直接获利或易于获利的攻击方式；大型商业网站将成为热点目标。将成为热点目标。将成为热

15、点目标。将成为热点目标。网络安全技术对抗将不断升级，恶意代码的变种数量将激增，网络安全技术对抗将不断升级，恶意代码的变种数量将激增，网络安全技术对抗将不断升级，恶意代码的变种数量将激增，网络安全技术对抗将不断升级，恶意代码的变种数量将激增，“ “免杀免杀免杀免杀” ”能力将进一步增强；窃密木马将不断演变升级，木马的投放能力将进一步增强；窃密木马将不断演变升级，木马的投放能力将进一步增强；窃密木马将不断演变升级，木马的投放能力将进一步增强；窃密木马将不断演变升级，木马的投放方式将更加隐藏和具有欺骗性，木马抗查杀将更加强大；网络攻击的方式将更加隐藏和具有欺骗性，木马抗查杀将更加强大；网络攻击的方式

16、将更加隐藏和具有欺骗性，木马抗查杀将更加强大；网络攻击的方式将更加隐藏和具有欺骗性，木马抗查杀将更加强大；网络攻击的规模将进一步扩大，对公共互联网安全运行带来严重影响；为躲避处规模将进一步扩大，对公共互联网安全运行带来严重影响；为躲避处规模将进一步扩大，对公共互联网安全运行带来严重影响；为躲避处规模将进一步扩大，对公共互联网安全运行带来严重影响；为躲避处置和打击，网络攻击的跨境特点将更加突出。置和打击，网络攻击的跨境特点将更加突出。置和打击，网络攻击的跨境特点将更加突出。置和打击，网络攻击的跨境特点将更加突出。随着智能终端的迅速普及，移动互联网的安全问题凸显，手随着智能终端的迅速普及，移动互联

17、网的安全问题凸显，手随着智能终端的迅速普及，移动互联网的安全问题凸显，手随着智能终端的迅速普及，移动互联网的安全问题凸显，手机恶意程序数量将急剧增加，其功能将集中在恶意扣费、弹出广告、机恶意程序数量将急剧增加，其功能将集中在恶意扣费、弹出广告、机恶意程序数量将急剧增加，其功能将集中在恶意扣费、弹出广告、机恶意程序数量将急剧增加，其功能将集中在恶意扣费、弹出广告、垃圾短信和窃听窃取方面，手机用户的经济利益和个人隐私安全面临垃圾短信和窃听窃取方面，手机用户的经济利益和个人隐私安全面临垃圾短信和窃听窃取方面，手机用户的经济利益和个人隐私安全面临垃圾短信和窃听窃取方面，手机用户的经济利益和个人隐私安全

18、面临挑战。挑战。挑战。挑战。5 5201120112011年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂年网络安全形势更复杂 网络安全工程师成香饽饽网络安全工程师成香饽饽网络安全工程师成香饽饽网络安全工程师成香饽饽网络安全工程师成香饽饽网络安全工程师成香饽饽2011-06-21 10:43:002011-06-21 10:43:002011-06-21 10:43:00来源来源来源来源来源来源: : : 浙江在线浙江在线浙江在线浙江在线浙江在线浙江在线“3Q”“3Q”大战、网络银行卡诈骗、支付宝转账诈骗、窃取泄漏网络用户信大战、网络银行卡诈

19、骗、支付宝转账诈骗、窃取泄漏网络用户信大战、网络银行卡诈骗、支付宝转账诈骗、窃取泄漏网络用户信大战、网络银行卡诈骗、支付宝转账诈骗、窃取泄漏网络用户信息息息息近年来，网络信息安全越来越受到挑战。国家互联网应急中心近年来，网络信息安全越来越受到挑战。国家互联网应急中心近年来，网络信息安全越来越受到挑战。国家互联网应急中心近年来，网络信息安全越来越受到挑战。国家互联网应急中心3 3月发布的月发布的月发布的月发布的20102010年互联网网络安全态势报告年互联网网络安全态势报告年互联网网络安全态势报告年互联网网络安全态势报告指出，随着我国互联指出，随着我国互联指出，随着我国互联指出，随着我国互联网新

20、技术、新应用的快速发展，网新技术、新应用的快速发展，网新技术、新应用的快速发展，网新技术、新应用的快速发展，20112011年的网络安全形势更加复杂。年的网络安全形势更加复杂。年的网络安全形势更加复杂。年的网络安全形势更加复杂。互联网的发展，种种网络病毒与网络犯罪也随之而来，为了减少和防互联网的发展，种种网络病毒与网络犯罪也随之而来，为了减少和防互联网的发展，种种网络病毒与网络犯罪也随之而来，为了减少和防互联网的发展，种种网络病毒与网络犯罪也随之而来，为了减少和防止该类犯罪给企业和个人带来的隐患，网络安全工程师这一神秘职业止该类犯罪给企业和个人带来的隐患，网络安全工程师这一神秘职业止该类犯罪给

21、企业和个人带来的隐患，网络安全工程师这一神秘职业止该类犯罪给企业和个人带来的隐患，网络安全工程师这一神秘职业逐渐为人们所熟悉。社会对信息安全服务的需求很大，军队、国防、逐渐为人们所熟悉。社会对信息安全服务的需求很大，军队、国防、逐渐为人们所熟悉。社会对信息安全服务的需求很大，军队、国防、逐渐为人们所熟悉。社会对信息安全服务的需求很大，军队、国防、银行、税务、证券、机关、电子商务都急需大批网络安全人才，网络银行、税务、证券、机关、电子商务都急需大批网络安全人才，网络银行、税务、证券、机关、电子商务都急需大批网络安全人才，网络银行、税务、证券、机关、电子商务都急需大批网络安全人才，网络安全工程师已

22、跻身安全工程师已跻身安全工程师已跻身安全工程师已跻身ITIT新贵之列。在我国，根据国家信息化建设的规模新贵之列。在我国，根据国家信息化建设的规模新贵之列。在我国，根据国家信息化建设的规模新贵之列。在我国，根据国家信息化建设的规模保守估计，保守估计，保守估计，保守估计，20112011年国内网络安全专业人才仍存在近百万的巨大缺口，年国内网络安全专业人才仍存在近百万的巨大缺口，年国内网络安全专业人才仍存在近百万的巨大缺口，年国内网络安全专业人才仍存在近百万的巨大缺口，高级的战略人才和专业技术人才尤其匮乏。高级的战略人才和专业技术人才尤其匮乏。高级的战略人才和专业技术人才尤其匮乏。高级的战略人才和专

23、业技术人才尤其匮乏。目前，中国网络安全人才正处在一个起步过程，网络上充斥着大量黑目前，中国网络安全人才正处在一个起步过程，网络上充斥着大量黑目前，中国网络安全人才正处在一个起步过程，网络上充斥着大量黑目前，中国网络安全人才正处在一个起步过程，网络上充斥着大量黑客培训，多属于技巧训练，和真正的网络安全人才培养有本质区别，客培训，多属于技巧训练，和真正的网络安全人才培养有本质区别，客培训，多属于技巧训练，和真正的网络安全人才培养有本质区别，客培训，多属于技巧训练，和真正的网络安全人才培养有本质区别，是完全不同的概念。如果这种局面不进一步改变，网络安全人才的空是完全不同的概念。如果这种局面不进一步改

24、变，网络安全人才的空是完全不同的概念。如果这种局面不进一步改变，网络安全人才的空是完全不同的概念。如果这种局面不进一步改变，网络安全人才的空档只会继续拉大，直接导致国家经济损失加大。档只会继续拉大，直接导致国家经济损失加大。档只会继续拉大，直接导致国家经济损失加大。档只会继续拉大，直接导致国家经济损失加大。6 6课程目标课程目标课程目标课程目标针对针对针对针对LinuxLinux服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固通过部署防火墙、代理等应用构建通过部署防火墙、代理等应用构建通过部署防火墙、代理等应用构建通过部署

25、防火墙、代理等应用构建LinuxLinux网关系统网关系统网关系统网关系统检测服务器的安全漏洞，实施远程访问控制检测服务器的安全漏洞，实施远程访问控制检测服务器的安全漏洞，实施远程访问控制检测服务器的安全漏洞，实施远程访问控制监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量7 7课程结构课程结构课程结构课程结构第一部分第一部分第二部分第二部分第三部分第三部分优化服务器系统安全优化服务器系统安全用户帐号安全管理、文件用户帐号安全管理、文件及文件系统权限安全、进及文件系统权限安全、进程程

26、/程序安全的使用、系统程序安全的使用、系统引导和终端登录安全引导和终端登录安全 构建构建Linux网关网关iptables防火墙的过滤策防火墙的过滤策略、网关应用策略、略、网关应用策略、squid代理服务器及用户代理服务器及用户上网控制上网控制网络安全应用与监测网络安全应用与监测常用扫描和嗅探工具的常用扫描和嗅探工具的使用、服务器漏洞检测、使用、服务器漏洞检测、远程登录管理及访问控远程登录管理及访问控制、监控服务器性能和制、监控服务器性能和流量、监控局域网流量流量、监控局域网流量第第1章章第第24章章第第56章章BENET3.0BENET3.0BENET3.0第二学期课程第二学期课程第二学期课

27、程第一章第一章第一章第一章 系统安全常规优化系统安全常规优化系统安全常规优化系统安全常规优化 理论部分理论部分9 9技能展示技能展示技能展示技能展示会加强用户帐号安全的常见措施会加强用户帐号安全的常见措施会加强用户帐号安全的常见措施会加强用户帐号安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施1010本章结构本章结构本章结构本章结构用户帐号安全用户帐号安全优化优化基本安全措施基本安全

28、措施 开关机安全控制开关机安全控制 GRUB引导菜单加密引导菜单加密使用使用su切换用户身份切换用户身份终端及登录控制终端及登录控制使用使用sudo提升执行权限提升执行权限系统安全常规优化系统安全常规优化文件和文件系文件和文件系统安全优化统安全优化系统引导和登系统引导和登录安全优化录安全优化文件系统级安全控制文件系统级安全控制安全使用应用程序和服务安全使用应用程序和服务1111用户帐号安全优化用户帐号安全优化用户帐号安全优化用户帐号安全优化帐号安全基本措施帐号安全基本措施帐号安全基本措施帐号安全基本措施删除不使用的帐号、禁用暂时不使用的帐号删除不使用的帐号、禁用暂时不使用的帐号删除不使用的帐号

29、、禁用暂时不使用的帐号删除不使用的帐号、禁用暂时不使用的帐号检查程序用户的登录检查程序用户的登录检查程序用户的登录检查程序用户的登录ShellShell是否异常是否异常是否异常是否异常强制用户定期修改密码（设置密码有效期）强制用户定期修改密码（设置密码有效期）强制用户定期修改密码（设置密码有效期）强制用户定期修改密码（设置密码有效期）pp /etc/login.defs/etc/login.defs文件、文件、chagechage命令命令增强普通用户的密码强度增强普通用户的密码强度增强普通用户的密码强度增强普通用户的密码强度pp /etc/pam.d/system-auth/etc/pam.d

30、/system-auth文件中的文件中的minlenminlen参数参数减少记录命令历史的条数减少记录命令历史的条数减少记录命令历史的条数减少记录命令历史的条数pp 环境变量环境变量 HISTSIZEHISTSIZE设置在命令行界面中超时自动注销设置在命令行界面中超时自动注销设置在命令行界面中超时自动注销设置在命令行界面中超时自动注销pp 环境变量环境变量 TMOUTTMOUT教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程1212Chage Chage 举例举例举例举例-m -m 密码可更改最小天数。为零表任何时候都可更改密码。密码可更改最小天

31、数。为零表任何时候都可更改密码。密码可更改最小天数。为零表任何时候都可更改密码。密码可更改最小天数。为零表任何时候都可更改密码。-M -M 密码保持有效的最大天数。密码保持有效的最大天数。密码保持有效的最大天数。密码保持有效的最大天数。-W -W 用户密码到期前，提前收到警告信息的天数。用户密码到期前，提前收到警告信息的天数。用户密码到期前，提前收到警告信息的天数。用户密码到期前，提前收到警告信息的天数。-E -E 帐号到期的日期。过了这天，此帐号将不可用。帐号到期的日期。过了这天，此帐号将不可用。帐号到期的日期。过了这天，此帐号将不可用。帐号到期的日期。过了这天，此帐号将不可用。-d -d

32、上一次更改的日期上一次更改的日期上一次更改的日期上一次更改的日期chage M 30 chen chage M 30 chen ChenChen密码最大有效期为密码最大有效期为密码最大有效期为密码最大有效期为3030天天天天chage d 0 chenchage d 0 chen要求下次登录时必须修改密码要求下次登录时必须修改密码要求下次登录时必须修改密码要求下次登录时必须修改密码设置环境变量设置环境变量设置环境变量设置环境变量 TMOUTTMOUTvim /etc/profilevim /etc/profileexport TMOUT=600export TMOUT=600/boot 100

33、M/boot 100MSwap 2Swap 2倍内存大小倍内存大小倍内存大小倍内存大小/ / 余下余下余下余下13131414使用使用使用使用susu切换用户身份切换用户身份切换用户身份切换用户身份susu命令命令命令命令用途：用途：用途：用途：Substitute UserSubstitute User，切换为新的替换用户身份，切换为新的替换用户身份，切换为新的替换用户身份，切换为新的替换用户身份格式：格式：格式：格式：su - su - 用户名用户名用户名用户名 zhangsanlocalhost $ su -口令：口令：rootlocalhost # whoamiroot未指定用户时，缺

34、省未指定用户时，缺省切换为切换为rootrootlocalhost # su - zhangsanzhangsanlocalhost $ pwd/home/zhangsanrootlocalhost # su zhangsanzhangsanlocalhost root$ pwd/root未使用未使用“-”选项时，仍沿选项时，仍沿用切换前的用户环境用切换前的用户环境1515使用使用使用使用susu切换用户身份切换用户身份切换用户身份切换用户身份应用示例：应用示例：应用示例：应用示例：仅允许仅允许仅允许仅允许zhangsanzhangsan用户使用用户使用用户使用用户使用susu命令切换身份命令

35、切换身份命令切换身份命令切换身份rootlocalhost # vi /etc/pam.d/suauth required pam_wheel.so use_uidrootlocalhost # gpasswd -a zhangsan wheel教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程去掉此行行首的去掉此行行首的“#”1616使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限sudosudo机制机制机制机制用途：以可替换的其他用户身份执行命令，若未指定用途：以可替换的其他用户身份执行命令，若未指定用途：以可替

36、换的其他用户身份执行命令，若未指定用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为目标用户，默认将视为目标用户，默认将视为目标用户，默认将视为rootroot用户用户用户用户格式：格式：格式：格式：sudo -u sudo -u 用户名用户名用户名用户名 命令操作命令操作命令操作命令操作rootlocalhost # sudo -u zhangsan /bin/touch /tmp/sudotest.filerootlocalhost # ls -l /tmp/sudotest.file-rw-r-r- 1 zhangsan zhangsan 0 05-26 09:09 /t

37、mp/sudotest.file以以 zhangsan 用户身用户身份创建的文件属性份创建的文件属性1717sudosudo思考思考思考思考rootlocalhost #su chenrootlocalhost #su chenrootlocalhost $ sudo -u root /bin/touch rootlocalhost $ sudo -u root /bin/touch /tmp/suest.file/tmp/suest.file出现出现出现出现 chen is not in the sudoers file. chen is not in the sudoers file. 怎

38、么办？怎么办？怎么办？怎么办？1818解决办法解决办法解决办法解决办法VisudoVisudovi /etc/sudoersvi /etc/sudoers root ALL=(ALL) ALL root ALL=(ALL) ALL加入加入加入加入 chen ALL=(ALL) ALLchen ALL=(ALL) ALL1919使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限配置文件：配置文件：配置文件：配置文件：/etc/sudoers/etc/sudoers授权哪些用户可以通过授权哪些用户可以通过授权哪些用户可以通过授权哪些用户可以通过sudosudo方式执行

39、哪些命令方式执行哪些命令方式执行哪些命令方式执行哪些命令以下以下以下以下2 2种方法都可以编辑种方法都可以编辑种方法都可以编辑种方法都可以编辑sudoerssudoers文件文件文件文件VisudoVisudovi /etc/sudoersvi /etc/sudoers2020使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限在在在在sudoerssudoers文件中的基本配置格式文件中的基本配置格式文件中的基本配置格式文件中的基本配置格式用户用户用户用户 主机名列表主机名列表主机名列表主机名列表= =命令程序列表命令程序列表命令程序列表命令程序列表rootloc

40、alhost # grep root /etc/sudoersroot ALL=(ALL) ALL被授权的用户被授权的用户在哪些主机中使用在哪些主机中使用允许执行哪些命令允许执行哪些命令针对针对针对针对rootroot用户的用户的用户的用户的sudosudo配置特例配置特例配置特例配置特例允许以哪些用户的身份执允许以哪些用户的身份执行命令，缺省为行命令，缺省为root2121使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例1 1：需求描述：需求描述：需求描述：需求描述：pp 允许允许用户用户mikeymikey通过通过sudosu

41、do执行执行/sbin/sbin、/usr/bin/usr/bin目录下的所有命目录下的所有命令，但是禁止调用令，但是禁止调用ifconfigifconfig、vimvim命令命令pp 授权授权wheelwheel组的用户不需验证密码即可执行所有命令组的用户不需验证密码即可执行所有命令pp 为为sudosudo机制增加日志功能机制增加日志功能rootlocalhost # visudoDefaults logfile=/var/log/sudomikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim%wheel

42、ALL=(ALL) NOPASSWD: ALLrootlocalhost # vi /etc/syslog.conf local2.debug/var/log/sudo2222使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例1 1（续）：（续）：（续）：（续）：测试测试测试测试sudosudo配置的效果配置的效果配置的效果配置的效果pp 查看允许执行的命令列表（查看允许执行的命令列表（-l -l选项）选项）pp 通过通过sudosudo执行命令（执行命令（sudo sudo 命令行）命令行）pp 清除用户密码验证的时间戳（清除用户

43、密码验证的时间戳（-k-k）pp 重新校验密码（重新校验密码（-v-v）教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程2323使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限为为为为sudosudo配置项定义别名配置项定义别名配置项定义别名配置项定义别名关键字：关键字：关键字：关键字：User_AliasUser_Alias、Host_AliasHost_Alias、Cmnd_AliasCmnd_Alias在在在在sudosudo配置行中，可以调用已经定义的别名配置行中，可以调用已经定义的别名配置行中，可以调用已

44、经定义的别名配置行中，可以调用已经定义的别名rootlocalhost # visudoUser_Alias OPERATORS=jerry,tom,tsengyiaHost_Alias MAILSERVERS=mail,smtp,popCmnd_Alias SOFTWARE=/bin/rpm,/usr/bin/yumOPERATORS MAILSERVERS=SOFTWARE2424使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例2 2：设立组帐号设立组帐号设立组帐号设立组帐号“ “managers”managers”，授权组内

45、的各成员用户可，授权组内的各成员用户可，授权组内的各成员用户可，授权组内的各成员用户可以添加、删除、更改用户帐号以添加、删除、更改用户帐号以添加、删除、更改用户帐号以添加、删除、更改用户帐号推荐步骤：推荐步骤：推荐步骤：推荐步骤：pp 创建管理组帐号创建管理组帐号“ “managers”managers”pp 将管理员帐号（如将管理员帐号（如zhangsanzhangsan、lisilisi）加入到）加入到managersmanagers组组pp 配置配置sudosudo文件，针对文件，针对managersmanagers组放开对组放开对useradduseradd、userdeluserde

46、l等等用户管理命令的权限用户管理命令的权限pp 使用使用zhangsanzhangsan帐号登录后，验证是否可以添加、删除用户帐号登录后，验证是否可以添加、删除用户2525小结小结小结小结请思考：请思考：请思考：请思考：如何使系统用户定期（如如何使系统用户定期（如如何使系统用户定期（如如何使系统用户定期（如3 3个月）修改密码？个月）修改密码？个月）修改密码？个月）修改密码？使用使用使用使用susu命令时，是否带命令时，是否带命令时，是否带命令时，是否带“ “-”-”选项有何区别选项有何区别选项有何区别选项有何区别 ？sudosudo配置记录的基本格式是什么？配置记录的基本格式是什么？配置记录

47、的基本格式是什么？配置记录的基本格式是什么？如何通过如何通过如何通过如何通过sudosudo调用被授权执行的命令？调用被授权执行的命令？调用被授权执行的命令？调用被授权执行的命令？2626文件系统级安全控制文件系统级安全控制文件系统级安全控制文件系统级安全控制合理规划系统分区合理规划系统分区合理规划系统分区合理规划系统分区/boot/boot、/home/home、/var/var、/opt /opt 等建议单独分区等建议单独分区等建议单独分区等建议单独分区文件系统（分区）的挂载选项文件系统（分区）的挂载选项文件系统（分区）的挂载选项文件系统（分区）的挂载选项mountmount命令的命令的命

48、令的命令的 -o -o nosuidnosuid、-o -o noexecnoexec 选项选项选项选项锁定文件的锁定文件的锁定文件的锁定文件的i i节点节点节点节点chattrchattr命令（命令（命令（命令（+i +i 锁定、锁定、锁定、锁定、-i -i 解锁）解锁）解锁）解锁）lsattrlsattr命令（查看锁定情况）命令（查看锁定情况）命令（查看锁定情况）命令（查看锁定情况）2727安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务关闭不需要的系统服务关闭不需要的系统服务关闭不需要的系统服务关闭不需要的系统服务使用使用使用使用ntsysvnts

49、ysv、chkconfigchkconfig管理工具管理工具管理工具管理工具禁止普通用户执行禁止普通用户执行禁止普通用户执行禁止普通用户执行init.dinit.d目录中的脚本目录中的脚本目录中的脚本目录中的脚本限制限制限制限制“ “other”other”组的权限组的权限组的权限组的权限禁止普通用户执行控制台程序禁止普通用户执行控制台程序禁止普通用户执行控制台程序禁止普通用户执行控制台程序consolehelperconsolehelper控制台助手控制台助手控制台助手控制台助手配置目录：配置目录：配置目录：配置目录：/etc/security/console.apps/etc/securi

50、ty/console.apps/rootlocalhost # cd /etc/security/console.apps/rootlocalhost # tar zcpvf conpw.tgz poweroff halt reboot -remove转移对应的配置文件转移对应的配置文件2828安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务去除程序文件中非必需的去除程序文件中非必需的去除程序文件中非必需的去除程序文件中非必需的setset位权限位权限位权限位权限set uidset uid、set gidset gid的用途？有何隐患？的用途？有何隐患

51、？的用途？有何隐患？的用途？有何隐患？如何找出设置了如何找出设置了如何找出设置了如何找出设置了setset位权限的文件位权限的文件位权限的文件位权限的文件? ?rootlocalhost # ls -lh $(find / -type f -perm +6000)rootlocalhost # find / -type f -perm +6000 -exec ls -lh ;或者或者或者或者2929安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务应用示例：应用示例：应用示例：应用示例：监控系统中新增了哪些使用监控系统中新增了哪些使用监控系统中新增了哪些使

52、用监控系统中新增了哪些使用setset位权限的文件位权限的文件位权限的文件位权限的文件推荐步骤：推荐步骤：推荐步骤：推荐步骤：pp 建立系统正常状态下的建立系统正常状态下的suid/sgidsuid/sgid文件列表文件列表pp 查找当前系统中所有的查找当前系统中所有的suid/sgidsuid/sgid文件列表文件列表pp 比较前后结果，输出新增加的内容比较前后结果，输出新增加的内容pp 编写脚本文件实现比对功能编写脚本文件实现比对功能pp 可以结合可以结合croncron设置计划任务定期进行检查设置计划任务定期进行检查#!/bin/bashOLD_LIST=/etc/sfilelistfo

53、r i in find / -type f -a -perm +6000do grep -F $i $OLD_LIST /dev/null $? -ne 0 & ls -lh $idone查找现有的查找现有的suid/sgid文件列表文件列表对比原有的对比原有的suid/sgid文件列表文件列表3030开关机安全控制开关机安全控制开关机安全控制开关机安全控制服务器的物理安全控制服务器的物理安全控制服务器的物理安全控制服务器的物理安全控制调整调整调整调整BIOSBIOS引导设置引导设置引导设置引导设置修改启动顺序修改启动顺序修改启动顺序修改启动顺序设置管理密码设置管理密码设置管理密码设置管理密码

54、禁用禁用禁用禁用Ctrl+Alt+DelCtrl+Alt+Del重启热键重启热键重启热键重启热键修改修改修改修改/etc/inittab/etc/inittab文件，并执行文件，并执行文件，并执行文件，并执行“ “init q”init q”重载配置重载配置重载配置重载配置3131GRUBGRUB引导菜单加密引导菜单加密引导菜单加密引导菜单加密加密引导菜单的作用加密引导菜单的作用加密引导菜单的作用加密引导菜单的作用修改启动参数时需要验证密码修改启动参数时需要验证密码修改启动参数时需要验证密码修改启动参数时需要验证密码进入所选择的系统前需要验证密码进入所选择的系统前需要验证密码进入所选择的系统前

55、需要验证密码进入所选择的系统前需要验证密码在在在在grub.confgrub.conf文件中设置密码的方式文件中设置密码的方式文件中设置密码的方式文件中设置密码的方式password password 明文密码串明文密码串明文密码串明文密码串password password -md5-md5 加密密码串加密密码串加密密码串加密密码串密码设置行的位置密码设置行的位置密码设置行的位置密码设置行的位置全局部分（第一个全局部分（第一个全局部分（第一个全局部分（第一个“ “title”title”之前）之前）之前）之前）系统引导参数部分（每个系统引导参数部分（每个系统引导参数部分（每个系统引导参数部分

56、（每个“ “title”title”部分之后）部分之后）部分之后）部分之后）3232default=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword -md5 $1$Qq15d$bEjy8VeMCrNcIJCEESqyY/title Red Hat Enterprise Linux Server (2.6.18-8.el5) password 123456 root (hd0,0) GRUBGRUB引导菜单加密引导菜单加密引导菜单加密引导菜单加密grub.confgrub.conf文件中的加密配置行示例文件中的加密配置行示例文件中

57、的加密配置行示例文件中的加密配置行示例限制进入该系统限制进入该系统限制修改引导参数限制修改引导参数获得获得获得获得MD5MD5加密格式的密码字符串加密格式的密码字符串加密格式的密码字符串加密格式的密码字符串grub-md5-cryptgrub-md5-crypt教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程3333本地终端及登录控制本地终端及登录控制本地终端及登录控制本地终端及登录控制立即禁止普通用户登录立即禁止普通用户登录立即禁止普通用户登录立即禁止普通用户登录/etc/nologin/etc/nologin设置启用哪些设置启用哪些设置启用哪

58、些设置启用哪些ttytty终端终端终端终端/etc/inittab/etc/inittab控制允许控制允许控制允许控制允许rootroot用户登录的终端用户登录的终端用户登录的终端用户登录的终端/etc/securetty/etc/securetty更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息/etc/issue/etc/issue、 /etc/ # vi /etc/security/access.conf- : ALL EXCEPT root : tty1- : root : 192.168.1.0/

59、24 172.16.0.0/16本地终端及登录控制本地终端及登录控制本地终端及登录控制本地终端及登录控制pam_accesspam_access认证控制（限制本地登录）认证控制（限制本地登录）认证控制（限制本地登录）认证控制（限制本地登录）1. 1. 启用认证模块，修改如下文件：启用认证模块，修改如下文件：启用认证模块，修改如下文件：启用认证模块，修改如下文件：pp /etc/pam.d/etc/pam.d/loginlogin ( (本地登录本地登录) )pp /etc/pam.d/ /etc/pam.d/sshdsshd ( (远程登录远程登录) )2. 2. 添加认证配置，修改如下文件：

60、添加认证配置，修改如下文件：添加认证配置，修改如下文件：添加认证配置，修改如下文件：pp /etc/security/etc/security/access.confaccess.conf配置格式：配置格式： 权限权限:用户列表用户列表:登录地点登录地点rootlocalhost # vi /etc/pam.d/loginaccount required pam_access.so3535本章总结本章总结本章总结本章总结用户帐号安全用户帐号安全优化优化基本安全措施基本安全措施 开关机安全控制开关机安全控制 GRUB引导菜单加密引导菜单加密使用使用su切换用户身份切换用户身份终端及登录控制终端及

61、登录控制使用使用sudo提升执行权限提升执行权限系统安全常规优化系统安全常规优化文件和文件系文件和文件系统安全优化统安全优化系统引导和登系统引导和登录安全优化录安全优化文件系统级安全控制文件系统级安全控制安全使用应用程序和服务安全使用应用程序和服务BENET3.0BENET3.0BENET3.0第二学期课程第二学期课程第二学期课程第一章第一章第一章第一章 系统安全常规优化系统安全常规优化系统安全常规优化系统安全常规优化 上机部分上机部分3737实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限控制用户权限控制用户权限控制用户权限需求描述需求描

62、述需求描述需求描述su su 身份切换限制身份切换限制身份切换限制身份切换限制pp 允许远程管理用户允许远程管理用户radminradmin执行执行“ “su -”su -”命令切换到命令切换到rootroot用户用户pp 禁止其他所有用户使用禁止其他所有用户使用susu命令切换身份命令切换身份sudo sudo 执行权限切换限制执行权限切换限制执行权限切换限制执行权限切换限制pp zhangsan zhangsan 负责公司员工的帐号管理，允许其通过负责公司员工的帐号管理，允许其通过sudosudo方式添方式添加加/ /删除删除/ /用户及修改用户相关信息（包括密码），但是不允许用户及修改用

63、户相关信息（包括密码），但是不允许其修改其修改rootroot用户的密码等信息用户的密码等信息pp 允许允许lisilisi通过通过sudosudo方式执行方式执行/sbin/sbin、/usr/sbin/usr/sbin目录下所有命令，目录下所有命令，并且不需要密码验证并且不需要密码验证pp 任何用户通过任何用户通过sudosudo执行的每一条命令，以日志记录的形式写执行的每一条命令，以日志记录的形式写入到文件入到文件/var/log/sudo/var/log/sudo中中3838实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限控制用户权

64、限控制用户权限控制用户权限实现思路实现思路实现思路实现思路配置配置配置配置susu功能限制功能限制功能限制功能限制pp 启用启用PAMPAM设置设置“ “auth required pam_wheel.so use_uid” auth required pam_wheel.so use_uid” pp 将将radminradmin用户加入到用户加入到wheelwheel组组配置配置配置配置sudosudo功能限制功能限制功能限制功能限制pp 注意符号注意符号“*”“*”、“ “!” !”的灵活运用的灵活运用启用启用启用启用sudosudo日志支持日志支持日志支持日志支持pp visudovis

65、udo，“ “Defaults logfile = “/var/log/sudo”Defaults logfile = “/var/log/sudo”pp syslog.conf syslog.conf，“ “local2.debug /var/log/sudo”local2.debug /var/log/sudo”验证限制结果验证限制结果验证限制结果验证限制结果3939实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限控制用户权限控制用户权限控制用户权限学员练习学员练习学员练习学员练习4040分钟内完成分钟内完成4040实验案例实验案例实验

66、案例实验案例2 2：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固需求描述需求描述需求描述需求描述引导安全控制引导安全控制引导安全控制引导安全控制pp 禁止非授权用户使用系统启动盘从光盘引导系统禁止非授权用户使用系统启动盘从光盘引导系统pp 禁止非授权用户通过单用户模式引导进入系统禁止非授权用户通过单用户模式引导进入系统pp 防止普通用户获取防止普通用户获取grubgrub密码、防止密码、防止grub.confgrub.conf文件被无意中修文件被无意中修改或删除改或删除终端登录控制终端登录控制终端登录控制终端登录控制pp 在服务器本地仅开放在服

67、务器本地仅开放tty1tty1、tty2tty2控制台终端控制台终端pp rootroot用户只能从用户只能从tty1tty1登录，其他普通用户只能从登录，其他普通用户只能从tty2tty2登录登录屏蔽掉屏蔽掉屏蔽掉屏蔽掉Ctrl+Alt+DelCtrl+Alt+Del热键重启功能热键重启功能热键重启功能热键重启功能在使用在使用在使用在使用shellshell终端时，超过终端时，超过终端时，超过终端时，超过5 5分钟无操作则自动注销分钟无操作则自动注销分钟无操作则自动注销分钟无操作则自动注销4141实验案例实验案例实验案例实验案例2 2：系统引导和登录安全加固：系统引导和登录安全加固：系统引导

68、和登录安全加固：系统引导和登录安全加固实现思路实现思路实现思路实现思路设置系统引导及设置系统引导及设置系统引导及设置系统引导及grubgrub控制控制控制控制pp 为为BIOSBIOS设置密码设置密码pp 使用使用 grub-md5-crypt grub-md5-crypt 生成生成MD5MD5加密的密码字串加密的密码字串设置设置设置设置ttytty终端控制终端控制终端控制终端控制设置设置设置设置ShellShell自动注销（自动注销（自动注销（自动注销（TMOUTTMOUT环境变量）环境变量）环境变量）环境变量）验证实验结果验证实验结果验证实验结果验证实验结果4242实验案例实验案例实验案例实验案例2 2：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固学员练习学员练习学员练习学员练习4040分钟内完成分钟内完成4343