Linux系统安全基础

安全设置(三)
Linux系统默认最小口令长度为5，最好将默认最小口令长度改为8
修改/etc/login.defs 文件 PASS_MIN_LEN 5 PASS_MAX_DAYS 30 PASS_MIN_DAYS 10 PASS_WARE_AGE 7
慎用root帐号
/etc/securetty
net.ipv4.conf.all.accept_redirects=0 启动不利错误消息的保护
net.ipv4.icmp_ignore_bogus_error_responses = 1 启动IP欺诈保护
net.ipv4.conf.all.rp_filter = 1 Log欺诈包，源路由包和重定
配置检查：tcpdchk
PAM
使得Linux上各种应用程序的认证工作独立出来，易于 管理配置
login su sudo
/etc/pam.d/
/lib/security
PAM
PAM-aware应用程序首先调用libpam.so来进行认证 libpam.so通过检查应用程序各自的配置来调用其余
限制用户对系统资源使用，避免拒绝服务（DOS）攻击
1、/etc/security/limits.conf * hard core 0 * hard rss 5000 * hard nproc 20
２、/etc/pam.d/login session required /lib/security/pam_limits.so
需要的库/模块 pam配置文件“/etc/pam.d/<service>”条目字段
module-type control-flag module-path arguments
module-type
auth 用户身份认证信息，例如口令 account 授权，用户帐户的信息管理，如口令时效 session 用户环境信息修改 password 通常包含一个auth模块，负责更新身份认证信息，如口令
慎用telnet服务
/etc/xinetd.d/telnet
修改top命令的权限,此命令任何用户都可以使用,并且非常占用系 统资源,若多个用户使用,后果可想而知.
TCP_WRAPPERS
TCP_WRAPPERS由两个文件控制
“/etc/hosts.allow” 允许访问的机器/服务 “/etc/hosts.deny” 禁止访问的机器/服务
Linux系统的安全性。 三个重要的选项设置。
加入timeout=00 限制多重引导 加入restricted
对单用户模式登陆,LILO引导加上口令保护 加入password=
单用单用户模式启动Linux系统时，系统要求用户输入口令
修改文件权限 chmod 600 /etc/lilo.conf
control-flag
required 该模块必须返回成功，且堆栈中所有其余模块仍将执行。 requisite 失败将中止所有模块执行，立即返回结束。 optional 不是必须的，可忽略。 sufficient 如果该模块成功，堆栈中所有模块可忽略，并返回成功。
Lilo安全
LILO是Linux上一个多功能的引导程序。 wenku.baidu.com通过“/etc/lilo.conf”可以配置或提高LILO程序以及
～/.bash_history，该文件可保存 1000个用户曾经输 入过的命令
安全隐患：用户可能会在不该输入口令的地方输入了口令， 而输入的口令会在“.bash_history”文件中保存下来
修改“etc/profile”文件，减少保存命令数 HISTFILESIZE＝20 HISTSIZE＝20
禁止SUID程序
chmod a-s /usr/bin/chage
特殊文件
异常和隐含文件
“…”、 “.. ”、 “.. ^G ”
任何人都有写权限的文件和目录
find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {} ;
无主文件
find / -nouser -o -nogroup
/etc/securetty文件
/etc/securetty控制root用户登录位置 文件列表中的设备位置都是允许登录的 通过屏蔽/删除一些设备可以加强安全性 没有该文件表示允许root访问任何设备，这是很危险的 没有pts * 形式记录项表示禁止root用户在网络上登陆
安全设置(六)
取消登陆时系统显示信息
/etc/issue /etc/issue.net /etc/rc.d/rc.local
取消系统对ping的响应
安全设置(四)
内核参数调节“/proc/sys” 和“etc/sysctl.conf”
取消系统对ping响应 net.ipv4.icmp_echo_ignore_all =1
Linux系统安全基础
龚关 gong.guan@gd-linux.com
Linux系统安全基础
授课内容
概述 安全策略 安全设置 TCP_WRAPPERS PAM 安全工具
授课目标
了解linux安全知识 熟悉linux的安全配置 了解linux安全工具
概述
系统脆弱性与安全隐患
取消系统对广播消息的应答
net.ipv4.icmp_echo_ignore_ broadcast =1 路由协议
net.ipv4. conf.allaccept_source_route=0 启动TCP SYN Cookie Protection
net.ipv4.tcp_syncookies=1 取消ICMP重定向
find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {};
一些建议禁止的SUID程序
chage、wall、gpasswd、chfn、chsh、newgrp、write traceroute、utemper、mount、umount、ping、netreport
每次启动的时候都检查一下BIOS，这样可以提高系统的安全性。 禁止从软盘启动，可以阻止别人用特殊的软盘启动你的计算机； 给BIOS加上密码，防止有人恶意改变BIOS的参数，比如：允许从
软盘启动或不用输入口令就可以引导计算机。
无法破解的口令是不存在的，只要给足时间和资源
选择口令的建议： 不允许无口令帐号存在 口令至少包含6个字符，最好包含一个以上的数字或特殊字符 不要使用名字、生日、电话号码等个人信息 使用口令有效期和shadow文件 使用PAM（嵌入式认证模块）
SUID/SGID程序
一个运行中的普通程序为运行该程序的用户所拥有， 但运行的suid/guid程序为文件所有者拥有，运行中的 程序在运行期间拥有文件所有者的全部权限。
ls –l 中出现s的程序
-r-s--x--x 1 root root 16336 04-03-12 passw
黑客常常利用SUID程序，故意留下一个SUID的程序作 为下次进入系统的后门。查找s程序命令：
基本语法：
Daemon_list: client_list [:option]
访问控制检查步骤
如果在/etc/hosts.allow文件中有匹配的项（daemon, client） 则允许访问
ftp:192.168.10. gdlc.com 否则，查看/etc/hosts.deny，如果找到匹配的项，则访问被禁止 ALL: ALL@ALL, PARANOID 否则，访问默认被允许
可信主机文件
$HOME/.rhosts、 $HOME/.netrc、/etc/hosts.equiv
安全工具
系统监控程序：Sxid 一次性口令工具：S/key 日志管理工具：logrotate、swatch、logcheck 系统完整性检查的工具：tripwire 安全连接认证：OpenSSH 数据加密传输认证：OpenSSL 反扫描工具：Portsentry 基于主机的入侵检测：hostsentry 基于内核的入侵检测：LIDS 基于内核的监听模块：krnsniff 包过滤防火墙：ipchains、iptables 基于内核的包过滤：netfilter
安全设置(一)
尽量减少系统对外界暴露的信息
finger、ping、屏蔽登陆提示信息等
理解日志信息，了解系统运行情况
logrotate、swatch、logcheck
限制SUID程序
普通用户可以以root身份运行的程序 如：passwd、chage
安全设置(二)
禁止从软盘启动，并且给BIOS加上密码
特洛伊木马 口令破解 文件许可和路径设置 SUID程序和脚本 可信主机文件 缓冲区溢出 扫描与嗅探 电子欺诈 TCP/IP攻击 拒绝服务(DOS)攻击
安全策略
必须有一个安全策略，如何制定一个安全策略完全依 赖于你对于安全的定义
你如何定义保密的和敏感的信息？ 系统中有保密的或敏感的信息吗？ 你想重点防范哪些人？ 远程用户有必要访问你的系统吗？ 如果这些信息被泄露给竞争者和外界有什么后果？ 口令和加密能够提供足够的保护吗？ 你想访问Internet吗？ 你允许系统在Internet上有多大的访问量？ 如果发现系统被非法入侵了，下一步该怎么做？
安全设置(七)
修改reboot、shutdown、init命令的权限在默认情况下，以上命 令任何用户都有执行的权限，即任何用户都可以在远程关机。
chmod 750 /bin/reboot
修改/etc/inittab文件，禁止ctrl+del+alt三个按健。
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
net.ipv4.conf.all.log_martians = 1
安全设置(五)
/etc/exports文件
在服务器上装NFS服务是会有安全隐患 如果通过NFS共享文件，需要配置
不要用通配符 不允许对根目录有写权限 尽可能只给只读权限 /dir/to/export host1.mydomain.com(ro,root_squash)