Linux安全加固.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 8/37
PAM的框架结构
Page 9/37
PAM支持的四种管理方式
❖ 认证管理(authentication management) 主要是接受用户名和密码,进而对该用户的密码进行认证 ,并负责设置用户的一些秘密信息。
❖ 帐户管理(account management) 主要是检查帐户是否被允许登录系统,帐号是否已经过期 ,帐号的登录是否有时间段的限制等等。
Linux安全加固
Version 2.0
主题提纲
GRUB的使用 用户密码策略
PAM应用 Sudo应用
Page 2/37
GRUB的定义
❖GNU GRUB(GRand Unified Bootloader)是一个 将引导装载程序安装到主引导记录的程序,主引 导记录是位于一个硬盘开始的扇区。它允许位于 主引导记录区中特定的指令来装载一个GRUB菜 单或是GRUB的命令环境。这使得用户能够开始 操作系统的选择,在内核引导时传递特定指令给 内核,或是在内核引导前确定一些系统参数(如 可用的RAM大小)。
❖ control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的 成功或失败情况。它有四种可能的 值:required,requisite, sufficient,optional。
❖ module-path 用来指明本模块对应的程序文件的路径名,一般采用绝 对路径,如果没有给出绝对路径,默认该文件在目录 /usr/lib/security下 面。
❖ 密码管理(password management) 主要是用来修改用户的密码。
❖ 会话管理(session management) 主要是提供对会话的管理和记账(accounting)。
Page 10/37
PAM的文件
❖/usr/lib/libpam.so.* PAM核心库 ❖/etc/pam.d/ PAM配置文件 ❖/lib/security/pam_*.so 可动态加载的PAM服务
❖ arguments 是用来传递给该模块的参数
Page 13/37
常用认证模块
❖ Pam_unix.so
该模块的主要功能是禁止密码为空的用户提供服务
❖ Pam_permit.so
总是无条件地使认证成功
❖ Pam_deny.so
总是无条件地使认证失败,通常该模块被用来作为缺省的验证规则
❖ Pam_cracklib.so
Page 3/37
设备名称
❖ 系统的第一个硬盘驱动器被GRUB称为(hd0) ❖ 第一个硬盘的第一个分区被称为(hd0,0) ❖ 第二个硬盘驱动器上的第5个分区被称为(hd1,4) ❖ 系统使用IDE硬盘或SCSI硬盘,都没有关系。所
有的硬盘都是用hd开始。软盘用fd开头
Page 4/37
❖ 菜单接口 ❖ 菜单项目编辑器接口 ❖ 命令行接口
Page 6/37
Linux安全设置9-2
❖ 修改默认root密码长度 ❖ /etc/pam.d/system-auth中配置:
password requisite /lib/security/$ISA/pam_c racklib.so retry=3 minlen=10 lcredit=-1 ucred it=-1 dcredit=-1 ocredit=-1) 默认lcredit ucredit dcredit ocredit 为1 ❖lcredit(代表小写字母) ucredit(代表大写字母) dcredit(代表数字) ocredit(代表符号)
account account account
required /lib/security/$ISA/pam_unix.so sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet required /lib/security/$ISA/pam_permit.so
该模块对用户密码提供强健性检测
Page 14/37
实例演示
❖ /etc/pam.d/system-auth
auth auth auth
required /lib/security/$ISA/pam_env.so sufficient /lib/security/$ISA/pam_unix.so likeauth nullok required /lib/security/$ISA/pam_deny.so
GRUB的接口
Page 5/37
Fra Baidu bibliotekinux安全设置9-1
❖ 使用GRUB口令
▪ 编辑 /boot/grub/grub.conf,加入以下语句 password 12345 password - -md5 $1$b347J/$n4ZBhcSGf7U75Am6iw/dX0
使用grub-md5-crypt,生成加密密码
模块
Page 11/37
PAM的配置
❖ /etc/pam.d/目录下的每个文件的名字对应服务名 例如ftp服务对应文件/etc/pam.d/ftp
❖ 如果名为xxxx的服务所对应的配置文件 /etc/pam.d/xxxx不存 在,则该服务将使用默认 的配置文件/etc/pam.d/other
Page 12/37
PAM的配置
❖ 每个文件由如下格式的文本行所构成:
module-type control-flag module-path arguments
❖ module-type 模块类型有四种:auth、account、session、 password,即对应PAM所支持的四种管理方式。同一个服务可以调 用多个 PAM模块进行认证,这些模块构成一个stack。
Page 7/37
PAM介绍
❖PAM(Pluggable Authentication Modules ) 是由Sun提出的一种认证机制。它通过提供一些 动态链接库和一套统一的API,将系统提供的服 务和该服务的认证方式分开,使得系统管理员可 以灵活地根据需要给不同的服务配置不同的认证 方式而无需更改服务程序,同时也便于向系 统中 添加新的认证手段。 PAM最初是集成在Solaris中,目前已移植到其它 系统中,如Linux、SunOS、HP-UX 9.0等。
PAM的框架结构
Page 9/37
PAM支持的四种管理方式
❖ 认证管理(authentication management) 主要是接受用户名和密码,进而对该用户的密码进行认证 ,并负责设置用户的一些秘密信息。
❖ 帐户管理(account management) 主要是检查帐户是否被允许登录系统,帐号是否已经过期 ,帐号的登录是否有时间段的限制等等。
Linux安全加固
Version 2.0
主题提纲
GRUB的使用 用户密码策略
PAM应用 Sudo应用
Page 2/37
GRUB的定义
❖GNU GRUB(GRand Unified Bootloader)是一个 将引导装载程序安装到主引导记录的程序,主引 导记录是位于一个硬盘开始的扇区。它允许位于 主引导记录区中特定的指令来装载一个GRUB菜 单或是GRUB的命令环境。这使得用户能够开始 操作系统的选择,在内核引导时传递特定指令给 内核,或是在内核引导前确定一些系统参数(如 可用的RAM大小)。
❖ control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的 成功或失败情况。它有四种可能的 值:required,requisite, sufficient,optional。
❖ module-path 用来指明本模块对应的程序文件的路径名,一般采用绝 对路径,如果没有给出绝对路径,默认该文件在目录 /usr/lib/security下 面。
❖ 密码管理(password management) 主要是用来修改用户的密码。
❖ 会话管理(session management) 主要是提供对会话的管理和记账(accounting)。
Page 10/37
PAM的文件
❖/usr/lib/libpam.so.* PAM核心库 ❖/etc/pam.d/ PAM配置文件 ❖/lib/security/pam_*.so 可动态加载的PAM服务
❖ arguments 是用来传递给该模块的参数
Page 13/37
常用认证模块
❖ Pam_unix.so
该模块的主要功能是禁止密码为空的用户提供服务
❖ Pam_permit.so
总是无条件地使认证成功
❖ Pam_deny.so
总是无条件地使认证失败,通常该模块被用来作为缺省的验证规则
❖ Pam_cracklib.so
Page 3/37
设备名称
❖ 系统的第一个硬盘驱动器被GRUB称为(hd0) ❖ 第一个硬盘的第一个分区被称为(hd0,0) ❖ 第二个硬盘驱动器上的第5个分区被称为(hd1,4) ❖ 系统使用IDE硬盘或SCSI硬盘,都没有关系。所
有的硬盘都是用hd开始。软盘用fd开头
Page 4/37
❖ 菜单接口 ❖ 菜单项目编辑器接口 ❖ 命令行接口
Page 6/37
Linux安全设置9-2
❖ 修改默认root密码长度 ❖ /etc/pam.d/system-auth中配置:
password requisite /lib/security/$ISA/pam_c racklib.so retry=3 minlen=10 lcredit=-1 ucred it=-1 dcredit=-1 ocredit=-1) 默认lcredit ucredit dcredit ocredit 为1 ❖lcredit(代表小写字母) ucredit(代表大写字母) dcredit(代表数字) ocredit(代表符号)
account account account
required /lib/security/$ISA/pam_unix.so sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet required /lib/security/$ISA/pam_permit.so
该模块对用户密码提供强健性检测
Page 14/37
实例演示
❖ /etc/pam.d/system-auth
auth auth auth
required /lib/security/$ISA/pam_env.so sufficient /lib/security/$ISA/pam_unix.so likeauth nullok required /lib/security/$ISA/pam_deny.so
GRUB的接口
Page 5/37
Fra Baidu bibliotekinux安全设置9-1
❖ 使用GRUB口令
▪ 编辑 /boot/grub/grub.conf,加入以下语句 password 12345 password - -md5 $1$b347J/$n4ZBhcSGf7U75Am6iw/dX0
使用grub-md5-crypt,生成加密密码
模块
Page 11/37
PAM的配置
❖ /etc/pam.d/目录下的每个文件的名字对应服务名 例如ftp服务对应文件/etc/pam.d/ftp
❖ 如果名为xxxx的服务所对应的配置文件 /etc/pam.d/xxxx不存 在,则该服务将使用默认 的配置文件/etc/pam.d/other
Page 12/37
PAM的配置
❖ 每个文件由如下格式的文本行所构成:
module-type control-flag module-path arguments
❖ module-type 模块类型有四种:auth、account、session、 password,即对应PAM所支持的四种管理方式。同一个服务可以调 用多个 PAM模块进行认证,这些模块构成一个stack。
Page 7/37
PAM介绍
❖PAM(Pluggable Authentication Modules ) 是由Sun提出的一种认证机制。它通过提供一些 动态链接库和一套统一的API,将系统提供的服 务和该服务的认证方式分开,使得系统管理员可 以灵活地根据需要给不同的服务配置不同的认证 方式而无需更改服务程序,同时也便于向系 统中 添加新的认证手段。 PAM最初是集成在Solaris中,目前已移植到其它 系统中,如Linux、SunOS、HP-UX 9.0等。