《操作系统安全》第十章Linux系统安全增强
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow
执行上述命令后,passwd、shadow、group和gshadow四 个文件将不能修改,不能被删除和重新命名,不能创建指向该 文件的链接,不能向该文件添加数据,仅仅超级用户能够设置 和清除这个属性。
精选ppt
5
2. 系统帐号的增加、删除和移走
(1) 增加用户
增加用户有三个过程: 在/etc/passwd文件中写入新用户的入口项; 为新登录用户建立一个HOME目录; 在/etc/group中为新用户增加一个入口项。
精选ppt
6
在/etc/passwd文件中写入新的入口项时,口令部分可 先设置为NOLOGIN,以免有人做为此新用户登录。在 修改文件前,应mkdir /etc/ptmp,以免他人同时修 改此文件。新用户一般独立为一个新组,GID号与UID 号相同(除非他要加入目前已存在的一个新组),UID号 必须和其他人不同,HOME目录一般设置在/usr或 /home目录下建立一个以用户登录名为名称的目录做
精选ppt
12
口令文件保护是系统安全设置的一个非常重要内容,系统管理 员应更改其属性,防止非授权用户获取口令文件。对于UNIX 系统,口令文件主要有用户和组账号口令文件,用于保持所有 用户的口令。对于LINUX系统,通过chattr命令可以改变口令 文件的属性。如:
# chattr +i /etc/passwd
wk.baidu.com
精选ppt
8
(3)将用户移到另一个系统
这是一个复杂的问题,不只是拷贝用户的文件和用户在 /etc/passwd文件中的入口项。首先一个问题是用户的UID和 GID可能已经用于另一个系统,若是出现这种情况,必须给要移 的用户分配另外的UID和GID,如果改变了用户的UID和GID,则 必须搜索该用户的全部文件,将文件的原UID和GID改成新的 UID和GID。
精选ppt
11
安装完Linux系统之后默认的最小口令长度为5。 这就是说一个新的用户可以访问服务器,那么他的 口令必须多于5字符。但是这样是不够安全的,最 好口令的长度能够大于8。可以强制用户使用8个 字符以上的口令。编辑“/etc/login.defs”文件, 把最小口令长度由5改成8。找到PASS_MIN_LEN 5 这一行,改为:PASS_MIN_LEN 8 。 “login.defs”是很重要的配置文件。可以在这个 文件中设定一些其它的安全策略,比如:口令的有 效期。
精选ppt
13
4.禁止Ctrl+Alt+Delete三键重启系统
我们平时用习惯了windows机器,可能在linux下也 习惯的按下Ctrl+Alt+Delete三键,导致linux系统 重新启动.以下是屏蔽这三键的方法,防止误操作导 致重启:
精选ppt
9
3. 口令设置及加密文件的保护
口令的安全是Linux安全的一个基本安全设置。许多人 都把所有的东西保存在计算机上,防止别人查看这些信 息的方法就是用口令把计算机保护起来。没有什么东西 是绝对安全的。与常识相反的是:无法破解的口令是不 存在的。只要给足时间和资源,所有的口令都能用社会 工程(social engineering)或强行计算的方法猜出来。 通过社会工程或其它方法获得服务器的口令是最简单和 最流行的入侵服务器的方法。
用find命令可以完成这一修改:
find . -user olduid -exec chown newuid {} ;
find . -group oldgid -exec chgrp newgid {} ;
也许还要为用户移走其它一些文件:
/usr/mail/user和/usr/spool/cron/crontabs/user。
为其主目录.
精选ppt
7
(2) 删除用户
删除用户与加用户的工作正好相反,首先在 /etc/passwd和/etc/group文件中删除用 户的入口项,然后删除用户的HOME目录和 所有文件.rm -r /usr/loginname 删除整 个目录树。如果用户在 /usr/spool/cron/crontabs中有crontab 文件,也应当删除。
精选ppt
10
建议用下面的规则选择有效的口令: (1)口令至少要有6个字符,最好包含一个以上
的数字或特殊字符; (2)口令不能太简单,所谓的简单就是很容易猜
出来,也就是用自己的名字,电话号码、生日、职 业或者其它个人信息作为口令; (3)口令必须是有有效期的,在一段时间之后就 要更换口令; (4)口令在这种情况下必须作废或者重新设定: 如果发现有人试图猜测你的口令,而且已经试过很 多次了。
第10章 Linux系统安全增强
精选ppt
1
第一部分 教学组织
一、目的要求
1.掌握Linux操作系统安全设置基本技巧。 2.了解Linux日志系统、掌握常用审计工具的使用。 3.理解入侵检测基本过程并且掌握常用的入侵检测方法和工具。
二、工具器材
1.Red Hat Enterprise Linux7.0或以上操作系统。 2.syslog_ng工具或其他日志工具。 3.入侵检测工具Snort
精选ppt
2
第二部分 教学内容
本章主要介绍Linux系统安全设置技巧、日 志和审计工具的使用和入侵检测工具及使用, 从而更有效增强了Linux系统安全。
精选ppt
3
10.1 系统安全设置技巧
10.1.1 启动和登录安全性设置
1. BIOS安全,设定引导口令 2. 系统帐号的增加、删除和移走 3. 口令设置及加密文件的保护 4.禁止Ctrl+Alt+Delete三键重启系统 5.限制使用su命令 6.删减登录信息
精选ppt
4
1. BIOS安全,设定引导口令
禁止从软盘启动,并且给BIOS加上密码。 每次启动的时候都手工检查一下BIOS,这 样可以提高系统的安全性。禁止从软盘启动, 可以阻止别人用特殊的软盘启动你的计计算 机;给BIOS加上密码,可以防止有人改变 BIOS的参数,比如:允许从软盘启动或不 用输入口令就可以引导计算机。
# chattr +i /etc/group
# chattr +i /etc/gshadow
执行上述命令后,passwd、shadow、group和gshadow四 个文件将不能修改,不能被删除和重新命名,不能创建指向该 文件的链接,不能向该文件添加数据,仅仅超级用户能够设置 和清除这个属性。
精选ppt
5
2. 系统帐号的增加、删除和移走
(1) 增加用户
增加用户有三个过程: 在/etc/passwd文件中写入新用户的入口项; 为新登录用户建立一个HOME目录; 在/etc/group中为新用户增加一个入口项。
精选ppt
6
在/etc/passwd文件中写入新的入口项时,口令部分可 先设置为NOLOGIN,以免有人做为此新用户登录。在 修改文件前,应mkdir /etc/ptmp,以免他人同时修 改此文件。新用户一般独立为一个新组,GID号与UID 号相同(除非他要加入目前已存在的一个新组),UID号 必须和其他人不同,HOME目录一般设置在/usr或 /home目录下建立一个以用户登录名为名称的目录做
精选ppt
12
口令文件保护是系统安全设置的一个非常重要内容,系统管理 员应更改其属性,防止非授权用户获取口令文件。对于UNIX 系统,口令文件主要有用户和组账号口令文件,用于保持所有 用户的口令。对于LINUX系统,通过chattr命令可以改变口令 文件的属性。如:
# chattr +i /etc/passwd
wk.baidu.com
精选ppt
8
(3)将用户移到另一个系统
这是一个复杂的问题,不只是拷贝用户的文件和用户在 /etc/passwd文件中的入口项。首先一个问题是用户的UID和 GID可能已经用于另一个系统,若是出现这种情况,必须给要移 的用户分配另外的UID和GID,如果改变了用户的UID和GID,则 必须搜索该用户的全部文件,将文件的原UID和GID改成新的 UID和GID。
精选ppt
11
安装完Linux系统之后默认的最小口令长度为5。 这就是说一个新的用户可以访问服务器,那么他的 口令必须多于5字符。但是这样是不够安全的,最 好口令的长度能够大于8。可以强制用户使用8个 字符以上的口令。编辑“/etc/login.defs”文件, 把最小口令长度由5改成8。找到PASS_MIN_LEN 5 这一行,改为:PASS_MIN_LEN 8 。 “login.defs”是很重要的配置文件。可以在这个 文件中设定一些其它的安全策略,比如:口令的有 效期。
精选ppt
13
4.禁止Ctrl+Alt+Delete三键重启系统
我们平时用习惯了windows机器,可能在linux下也 习惯的按下Ctrl+Alt+Delete三键,导致linux系统 重新启动.以下是屏蔽这三键的方法,防止误操作导 致重启:
精选ppt
9
3. 口令设置及加密文件的保护
口令的安全是Linux安全的一个基本安全设置。许多人 都把所有的东西保存在计算机上,防止别人查看这些信 息的方法就是用口令把计算机保护起来。没有什么东西 是绝对安全的。与常识相反的是:无法破解的口令是不 存在的。只要给足时间和资源,所有的口令都能用社会 工程(social engineering)或强行计算的方法猜出来。 通过社会工程或其它方法获得服务器的口令是最简单和 最流行的入侵服务器的方法。
用find命令可以完成这一修改:
find . -user olduid -exec chown newuid {} ;
find . -group oldgid -exec chgrp newgid {} ;
也许还要为用户移走其它一些文件:
/usr/mail/user和/usr/spool/cron/crontabs/user。
为其主目录.
精选ppt
7
(2) 删除用户
删除用户与加用户的工作正好相反,首先在 /etc/passwd和/etc/group文件中删除用 户的入口项,然后删除用户的HOME目录和 所有文件.rm -r /usr/loginname 删除整 个目录树。如果用户在 /usr/spool/cron/crontabs中有crontab 文件,也应当删除。
精选ppt
10
建议用下面的规则选择有效的口令: (1)口令至少要有6个字符,最好包含一个以上
的数字或特殊字符; (2)口令不能太简单,所谓的简单就是很容易猜
出来,也就是用自己的名字,电话号码、生日、职 业或者其它个人信息作为口令; (3)口令必须是有有效期的,在一段时间之后就 要更换口令; (4)口令在这种情况下必须作废或者重新设定: 如果发现有人试图猜测你的口令,而且已经试过很 多次了。
第10章 Linux系统安全增强
精选ppt
1
第一部分 教学组织
一、目的要求
1.掌握Linux操作系统安全设置基本技巧。 2.了解Linux日志系统、掌握常用审计工具的使用。 3.理解入侵检测基本过程并且掌握常用的入侵检测方法和工具。
二、工具器材
1.Red Hat Enterprise Linux7.0或以上操作系统。 2.syslog_ng工具或其他日志工具。 3.入侵检测工具Snort
精选ppt
2
第二部分 教学内容
本章主要介绍Linux系统安全设置技巧、日 志和审计工具的使用和入侵检测工具及使用, 从而更有效增强了Linux系统安全。
精选ppt
3
10.1 系统安全设置技巧
10.1.1 启动和登录安全性设置
1. BIOS安全,设定引导口令 2. 系统帐号的增加、删除和移走 3. 口令设置及加密文件的保护 4.禁止Ctrl+Alt+Delete三键重启系统 5.限制使用su命令 6.删减登录信息
精选ppt
4
1. BIOS安全,设定引导口令
禁止从软盘启动,并且给BIOS加上密码。 每次启动的时候都手工检查一下BIOS,这 样可以提高系统的安全性。禁止从软盘启动, 可以阻止别人用特殊的软盘启动你的计计算 机;给BIOS加上密码,可以防止有人改变 BIOS的参数,比如:允许从软盘启动或不 用输入口令就可以引导计算机。