腾讯内部培训资料-Linux 安全基础

在无线访问点和预配 置的安全服务器设备 中最常见。 CIPE（请参阅第 6 章 ）包含一个用于示 范的静态密钥，在转 入生产环境前，这个 密钥必须被改变。
Q&A
谢谢！！
美国国防部国家计算机安全中心: :
安全的系统会利用一些专门的安全特性来控制对信息的访 问，只有经过适当授权的人，或者以这些人的名义进行的 进程可以读、写、创建和删除这些信息。
公安部:
计算机安全是指计算机资产安全，即计算机信息系统资源 和信息资源不受自然和人为有害因素的威胁和危害
安全标准
安全标准
保密性 — 保密信息必须只能够被一组预先限定的人员存 取。对这类信息的未经授权的传输和使用应该被严格限制。 例如，信息保密性会确保顾客的个人和财务信息不被未经 授权的人员获取以用于窃取身份或信用卡贪污之类的不良 企图。 完整性 — 信息不应该被能够导致它不完整或不正确的方 式改变。未经授权的用户不应该具备修改或破坏保密信息 的能力。 可用性 — 信息应该能够被授权的用户在任何需要的时候 都可以被存取。可用性是信息能够在规定的时间范围内、 按照规定的频率而能够被获取的保证。这通常是按照百分 比来衡量的，并且被网络服务器提供者和他们的企业客户 使用的服务级别协议（SLA）正式达成协议。
安全控制
物理控制
闭路监控照相机,动作或热像报警系统,警卫人员,照片证件,锁，生 物测定
技术控制
加密,智能卡,网络验证,访问存取控制列表（ACL）,文件完好性审查 软件
管理控制
培训和警惕性,灾难预备和恢复计划,人员招聘和分工策略,人员注 册和记录
服务器安全的威胁
未用的服务和打开的端口 未打补丁的服务 管理疏忽 带有固有不安全因素的服务
如何配置安全的Linux系统
安全更新 工作站安全 服务器安全 防火墙
安全更新
手动安装 1.通过安全Βιβλιοθήκη Baidu站发现有漏洞的软件及修正包的下载 地址 2.下载软件包并校验软件包的完整性 3. 安装软件包并测试 自动安装 使用Redhat NetWork,Suse Zenworks
工作站安全
BIOS 和引导装载程序的安全性
安全性的测试
弱点测定
“由外向里看”（Outside looking in） “由里向外看”（inside looking around）
评测目标的确定 评估工具 nmap 端口 Nessus 弱点漏洞 Nikto CGI 审核物理安全性、人员安全审查
入侵和事件响应
入侵检测 (IDS) knowledge-based behavioral host-based network-based
事件响应
制定时间响应计划 执行步骤
停止或减小事件影响的立即措施 事件调查 受影响的资源的恢复 向适当途径报告事件
常见的漏洞和攻击
漏洞利用 空白或默认 口令 描述 把管理性口令留为空白或 使用产品生产商所设置的 默认口令。 虽然某些运行在 Linux 上的服务包含默认 管理口令 （红帽企业 Linux 中并不包含） 这种行为在 ， 硬件（如路由器和防火墙） 中最常见。 备注 在路由器、防火墙、 VPN 和网络连接的 贮存设备（NAS）中 最常见。 在许多过时了的操作 系统，特别是附带服 务的 OS，如 UNIX 和 Windows 中也很 常见。 管理员有时会在匆忙 间创建一个有特权的 用户而把口令留为空 白。这就会成为发现 了这个用户帐户的入 侵者的完美入口。 默认共享密 钥 安全服务有时会把用于开 发或评估测试目的的默认 安全密钥打入软件包内。 如 果这些密钥不经改变而被 用于互联网上的生产环境， 那么任何拥有同样的默认 密钥的用户都可以使用那 个共享密钥资源， 以及其中 的保密信息。
保护 NFS 的安全
不要使用 no_root_squash
服务器安全
校验哪些端口正在监听
使用 nmap 之类的端口扫描器来检查哪些端口正在监听网络 netstat –anp lsof -i
防火墙
防火墙工作方式 NAT 分组过滤器 代理 注意事项 在处理添加的规则时，REJECT（拒绝）目标和 DROP（放弃）目 标这两种行动有所不同。REJECT 会拒绝目标分组的进入，并给 企图连接服务的用户返回一个 connection refused 的错误消息。 DROP 会放弃分组，而对用户不发出任何警告。管理员可酌情考 虑如何使用这些目标。不过，为了避免导致用户由于迷惑不解而 不停试图连接的情况的发生，推荐你使用 REJECT 目标。
Linux 系统安全基础
Agenda
安全问题概述 服务器安全的威胁 如何配置安全的Linux系统 安全性的测试 入侵和事件响应 常见的漏洞和攻击 Q&A
安全问题概述
什么是计算机安全？ 安全标准 安全控制
什么是计算机安全？
国际标准化委员会:
为数据处理系统和采取的技术的和管理的安全保护，保护 计算机硬件、软件、数据不因偶然的或恶意的原因而遭到 破坏、更改、显露
经安全强化的通信工具
ssh — 一个安全远程控制台存取客户。 scp — 一个安全远程复制命令。 sftp — 一个允许不互动文件传输会话的伪 ftp 客户。
服务器安全
使用TCP wrappers维护服务安全 保护 Portmap 的安全性
使用TCP wrappers保护 使用iptables 保护 iptables
设置BIOS和Lilo 口令 防止对 BIOS 设置的改变 防止系统被引导 防止进入单用户模式 防止进入非安全的操作系统
口令安全
设置有使用期限复杂的密码
管理控制
禁止根存取权限，限制根存取权限
可用的网络服务
不安全服务rlogin,rsh,telnet等采用ssh 替代 ftp 采用sftp 替代 不在公网上使用nfs,samba,如需要使用请放置在防火墙里面
防火墙
iptables 和连接跟踪 NEW — 请求新连接的分组，如 HTTP 请求。 ESTABLISHED — 属于当前连接的一部分的分 组。 RELATED — 请求新连接的分组，但是它也是 当前连接的一部分，如消极 FTP 连接，其连接 端口是 20，但是其传输端口却是 1024 以上的 未使用端口。 INVALID — 不属于连接跟踪表内任何连接的 分组