LINUX系统的安全加固-中国科技网

ຫໍສະໝຸດ Baidu 目录
1 3
启动安全设置 帐户安全设置 系统安全设置 日志安全设置
2
3 4
启动安全设置
LILO引导
LILO安装命令（/sbin/lilo）读取其配置文件（/etc/lilo.conf）,按照 其中的参数将特定的LILO写入系统引导区。
GRUB引导
它允许位于主引导记录区中特定的指令来装载一个GRUB菜单或是 GRUB的命令环境。这使得用户能够开始操作系统的选择，在内核引 导时传递特定指令给内核，或是在内核引导前确定一些系统参数。
启动安全设置
LILO引导、GRUB引导的单用户模式
引导启动后出现boot:提示时，使用一个特殊的 命令，如 linuxsingle或linux 1，就能进入Linux单用 户模式（Single-User mode）。 单用户模式的用户拥有root权限，其进入系统后， 可编辑/etc/passwd 文件，去掉root一行中的x 即可 在下次登录时无需密码使用root帐户。
帐户安全设置
PAM的文件

/usr/lib/libpam.so.* PAM核心库 /etc/pam.d/ PAM配置文件


/lib/security/pam_*.so 可动态加载的PAM服务模块
Pam_unix.so 该模块的主要功能是禁止为密码为空的用户提供服务 Pam_permit.so 总是无条件地使认证成功 Pam_deny.so 总是无条件地使认证失败,通常该模块被用来作为缺省的验证规则 Pam_cracklib.so 该模块对用户密码提供强健性检测
LINUX系统的安全加固
中国科技网网络中心 安全部 高鹏
中国科学院计算机网络信息中心 中国科技网网络中心 www.cstnet.cn All rights reserved
前言
Linux系统凭借其稳定且源代码公开的特性，在互 联网络上的应用已经越来越多。 当前，随着各式网络攻击、病毒威胁的不断增多， Linux系统的安全性也被愈发重视。因此，Linux系统 的加固已成为网络管理员、普通用户迫在眉睫所需进 行的工作。





每个文件由如下格式的文本行所构成： module-type control-flag module-path arguments module-type 模块类型有四种：auth、account、session、password， 即对应PAM所支持的四种管理方式。同一个服务可以调用多个 PAM 模块进行认证，这些模块构成一个stack。 control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的 成功或失败情况。它有四种可能的值：required，requisite， sufficient，optional。 module-path 用来指明本模块对应的程序文件的路径名，一般采用绝 对路径，如果没有给出绝对路径，默认该文件在目录/usr/lib/security 下 面。 arguments 是用来传递给该模块的参数
生成MD5密码
写入配置文件
目录
1 3
启动安全设置 帐户安全设置 系统安全设置 日志安全设置
2
3 4
帐户安全设置
嵌入式认证模块---PAM介绍
PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证 机制。它通过提供一些动态链接库和一套统一的API，将系统提供的 服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要 给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于 向系统中添加新的认证手段。 PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、 SunOS、HP-UX 9.0等。
设置权限
## chatter /etc/lilo.conf chmod+i 600 /etc/lilo.conf # /sbin/lilo -v
改变属性
启动安全设置
Grub引导的口令设置
进入GRUB编辑模式
将加密的密码添加到 启动系统后出现 /boot/grub/grub.conf GRUB引导画面 输入md5crypt ，按<C> 键进入命令行方式 中的password 一行
帐户安全设置
PAM的配置 control-flag 的四种取值
required：表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕， PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户 验证成功，所有的模块都会返回成功信息。 requisite：如果特定的模块对用户的验证失败，PAM马上返回一个错误信息，把 控制权交回应用程序，不再执行其他模块进行验证。 sufficient：表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证 成功信息，把控制权交回应用程序。后面的层叠模块即使使用requisite或者 required控制标志，也不再执行。如果验证失败，sufficient的作用和optional相同。 optional：表示即使本行指定的模块验证失败，也允许用户享受应用程序提供的 服务。使用这个标志，PAM框架会忽略这个模块产生的验证错误，继续顺序执行 下一个层叠模块。

帐户安全设置
PAM的配置

/etc/pam.d/目录下的每个文件的名字对应服务名 例如ftp服务对应文件/etc/pam.d/ftp 如果名为xxxx的服务所对应的配置文件 /etc/pam.d/xxxx不 存 在，则该服务将使用默认的配置文件/etc/pam.d/other

帐户安全设置
PAM的配置
帐户安全设置
嵌入式认证模块---PAM介绍
帐户安全设置
PAM支持的四种管理方式



认证管理（authentication management） 主要是接受用户名和密码，进而对该用户的密码进行认证， 并负责设置用户的一些秘密信息。 帐户管理（account management） 主要是检查帐户是否被允许登录系统，帐号是否已经过期， 帐号的登录是否有时间段的限制等等。 密码管理（password management） 主要是用来修改用户的密码。 会话管理（session management） 主要是提供对会话的管理和记账（accounting）。
启动安全设置
LILO引导单用户模式的口令设置
添加密码
编辑配置文件 lilo.conf(vim /etc/lilo.conf ) 防止 root 误操作，可使 /etc/lilo.conf 文件 因为 /etc/lilo.conf文件中包含明文密码 属性变为不可改，并更新 LILO。 所以要把它设置成root权限读取。