网络信息安全管理员培训之五:Linux安全配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全军信息安全研究中心 5 2019/2/25
针对远程用户获得特权文件的读写 权限的对策
密码攻击是主要的攻击方法,为此 需要增强系统管理员root和普通用户的 口令安全性,选择一个强的用户口令:
6个字符长度以上 至少包含一个大写字母、一个小写字母、一个 数字、一个普通字符复杂口令 口令与系统用户名、计算机名、硬件名称等均 无关 口令不是英文单词或英文缩写词 口令定期更换
17 2019/2/25
全军信息安全研究中心
必备的系统安全命令
chown:更改一个或多个文件或目录的属主和 属组。使用权限是超级用户。 chattr:修改ext2和ext3文件系统属性(attribute), 使用权限超级用户。 sudo:sudo是一种以限制配置文件中的命令为 基础,在有限时间内给用户使用,并且记录到 日志中的命令,权限是所有用户。 ps:ps显示瞬间进程 (process) 的动态,使用权 限是所有使用者。 who:who显示系统中有哪些用户登陆系统, 显示的资料包含了使用者ID、使用的登陆终端、 上线时间、呆滞时间、CPU占用,以及做了些 什么。 使用权限为所有用户。
日志审计配置
按时检查各种系统日志文件,包括一般 信息日志、网络连接日志、文件传输日 志以及用户登录日志等。在检查这些日 志时,要注意是否有不合常理的时间记 载。 RedHat Linux中提供了“logwatch”工具, 它可定期自动检查日志并发送邮件到管 理员信箱,配置方法通过修改 /etc/log.d/conf/ logwatch.conf文件实现。
22 2019/2/25
网址
全军信息安全研究中心
14 2019/2/25
全军信息安全研究中心
启用防火墙
启用防火墙等其他安全工具可有效地阻挡 外界的探测和入侵。RedHat Linux9.0自带有防 火墙“iptable”,可以在安装时设置和启用, iptable可使用命令行配置或利用GUI界面配置, 如下图GUI配置方法:
全军信息安全研究中心
15 2019/2/25
全军信息安全研究中心 12 2019/2/25
设定用户帐号的安全等级
在用户帐号之中,黑客最喜欢具有 root权限的帐号,这种超级用户有权修 改或删除各种系统设置,可以在系统中 畅行无阻。因此,在给任何帐号赋予 root权限之前,都必须仔细考虑。如果 一定要从远程登录为root权限,最好是 先以普通帐号登录,然后利用su命令升 级为超级用户。
全军信息安全研究中心 4 2019/2/25
针对本地用户获取非授权的文件的 读写权限的对策
主要攻击方法有:黑客诱骗合法用户告知 其机密信息或执行任务,有时黑客会假 装网络管理人员向用户发送邮件,要求 用户给他系统升级的密码 防范的主要方法:对于Linux服务器,最 好的办法是将所有shell帐号放置于一个 单独的机器上,也就是说,只在一台或 多台分配有shell访问的服务器上接受注 册。这可以使日志管理、访问控制管理 等安全问题管理更容易些
ftp://ftp.stanford.edu/general/securitytools/swatch/
http://violet.ibs.com.au/openssh/
19 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍(续一)
工具名称 Openssl Portsentry Tripwire 工具作用 提供加密的数据传送和认证 反扫描工具,监视自己的udp和 tcp端口 提供系统完整性检查 网址 http://www.openssl.org/ http://www.psionic.com/abacus/portse ntry/ http://www.tripwiresecurity.com
全军信息安全研究中心 6 2019/2/25
针对远程用户获得根权限的对策
这类主要攻击形式是TCP/IP劫持和 通信窃听 ,防范的方法包括:
(1)安全的拓扑结构。通信窃听只能在当前网 络段上进行数据捕获。这就意味着,将网络分 段工作进行得越细,窃听能够收集的信息就越 少。 (2)会话加密。这种方法的优点是明显的:即 使攻击者窃听到了数据,这些数据对他也是没 有用的。
全军信息安全研究中心 13 2019/2/25
增强安全防护工具
在Unix系统中,有一系列r字头的公用程序,即供远 程登录的服务程序,必须关闭这些服务。若确实有远 程维护等需要,可采用安全的远程登录,如SSH 。 SSH是安全套接层的简称,它是可以安全地用来取代 rlogin、rsh和rcp等公用程序的一套程序组。SSH采用 公开密钥技术对网络上两台主机之间的通信信息加密, 并且用其密钥充当身份验证的工具。 Linux系统下也有类似Windows系统的远程管理工具— —“远程桌面管理系统”。建议使用远程管理软件是 “Webmin”,目前的版本是1.020-1,可以到 http://www.Webmin.com下载,“Webmin” 是使用http 或者https的浏览器通过访问以http://IP:10000或者 https://IP:10000来管理系统的工具 。
18 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍
工具名称 Sxid Skey Logrotate Logcheck Swatch Ssh(openssh) 工具作用 检查系统中的suid,sgid以及没有 主人的文件 一次性口令工具 日志循环工具 日志管理工具 日志管理工具,比logcheck实时 提供安全的连接认证 网址 ftp://marcus.seva.net/pub/sxid/ ftp://ftp.cc.gatech.edu/ac121/linux/syst em/network/sunacm/other/skey ftp://ftp.redhat.com/pub/redhat http://www.psionic.com/abacus/logche ck/
网络信息安全管理员培训
解放军理工大学
全军信息安全研究中心
1 2019/2/25
培训五:Linux安全配置
对Linux系统的威胁与对策 Linux的安全设置 Linux系统安全工具介绍
全军信息安全研究中心
2 2019/2/25
对Linux系统的威胁与对策
针对Linux操作系统的威胁有很 多种类,下面主要从如下四个方面 讨论,给出相关对策:
全军信息安全研究中心
7 2019/2/25
Linux的安全设置
关闭不必要的服务 限制远程存取 隐藏重要资料 修补安全漏洞 采用安全工具 经常性的安全检查等 必备的安全配置命令
全军信息安全研究中心 8 2019/2/25
关闭不需要的服务
Linux使用/etc/inetd服务器程序和 /etc/inetd.conf参数文件控制Linux系统服 务的运行 取消不必要服务的第一步就是检查 /etc/inetd.conf文件,在不要的服务前加 上“#”号 在Redhat Linux操作系统中,还提供了 一种GUI界面配置Linux服务的操作方法, 如下页所示
Anti-sniff Gnupg Syslog-ng Scandns
Whisker
Cgi扫描器
21 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍(续三)
工具名称 Snoopy Linuxkernelp atch Krnsniff Iptable Imsafe Iplog Antiroute 工具作用 通过跟踪execve系统调用记录执 行的命令 内核的安全补丁,防止缓冲溢 出等 一个基于内核的监听模块 用来替代ipchains的包过滤防火 墙 通过跟踪系统调用来检测缓冲 溢出等问题 对来往的包进行日志记录 阻止和记录基于路由的跟踪
Freeswan
hostsentry
在linux实现VPN的工具
基于主机的入侵检测,将连接 记入日志 Linux发行版自带的包过滤形防 火墙
http://www.freeswan.org/
Ipchains
全军信息安全研究中心
20 2019/2/25
Linux系统安全工具介绍(续二)
工具名称 CFS和TCFS 工具作用 密码文件系统和透明的密码文 件系统实现目录下所有文件加 密,基于NFS 反嗅探工具,检查网络中是否 有嗅探器 对单个文件进行加密以及创建 数字签名 替代syslog的日志文件系统 进行dns检查追踪的工具 网址
服务拒绝攻击(DoS) 本地用户获取非授权的文件的读写权限 远程用户获得特权文件的读写权限 远程用户获得根权限
3 2019/2/25
全军信息安全研究中心
Leabharlann Baidu
针对服务拒绝攻击的对策
个人主机加强保护 加强对服务器的管理 安装验证软件和过滤功能 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的timeout时间 及时更新系统补丁
全军信息安全研究中心 16 2019/2/25
必备的系统安全命令
passwd:passwd命令原来修改账户的登陆密码,使用 权限是所有用户。 su: su的作用是变更为其它使用者的身份,超级用户 除外,需要键入该使用者的密码。 umask:umask设置用户文件和目录的文件创建缺省屏 蔽值,若将此命令放入profile文件,就可控制该用户后 续所建文件的存取许可。它告诉系统在创建文件时不 给谁存取许可。使用权限是所有用户。 chgrp:chgrp表示修改一个或多个文件或目录所属的 组。使用权限是超级用户。 chmod:chmod命令是非常重要的,用于改变文件或目 录的访问权限,用户可以用它控制文件或目录的访问 权限,使用权限是超级用户。
全军信息安全研究中心 9 2019/2/25
关闭不需要的服务(续)
全军信息安全研究中心
10 2019/2/25
关闭不需要的服务(续)
全军信息安全研究中心
11 2019/2/25
Linux的口令安全
安全的口令设置应遵循以下两点: 应当遵循字母、数字、大小写(因为 Linux对大小写是有区分)混合使用的 规则。 使用象“#”、“%”、“$”等特殊字符增 加密码的复杂性。例如采用"countbak" 一词,在它后面添加“#$” (countbak#$),这样你就拥有了一个 相当有效的密码。
针对远程用户获得特权文件的读写 权限的对策
密码攻击是主要的攻击方法,为此 需要增强系统管理员root和普通用户的 口令安全性,选择一个强的用户口令:
6个字符长度以上 至少包含一个大写字母、一个小写字母、一个 数字、一个普通字符复杂口令 口令与系统用户名、计算机名、硬件名称等均 无关 口令不是英文单词或英文缩写词 口令定期更换
17 2019/2/25
全军信息安全研究中心
必备的系统安全命令
chown:更改一个或多个文件或目录的属主和 属组。使用权限是超级用户。 chattr:修改ext2和ext3文件系统属性(attribute), 使用权限超级用户。 sudo:sudo是一种以限制配置文件中的命令为 基础,在有限时间内给用户使用,并且记录到 日志中的命令,权限是所有用户。 ps:ps显示瞬间进程 (process) 的动态,使用权 限是所有使用者。 who:who显示系统中有哪些用户登陆系统, 显示的资料包含了使用者ID、使用的登陆终端、 上线时间、呆滞时间、CPU占用,以及做了些 什么。 使用权限为所有用户。
日志审计配置
按时检查各种系统日志文件,包括一般 信息日志、网络连接日志、文件传输日 志以及用户登录日志等。在检查这些日 志时,要注意是否有不合常理的时间记 载。 RedHat Linux中提供了“logwatch”工具, 它可定期自动检查日志并发送邮件到管 理员信箱,配置方法通过修改 /etc/log.d/conf/ logwatch.conf文件实现。
22 2019/2/25
网址
全军信息安全研究中心
14 2019/2/25
全军信息安全研究中心
启用防火墙
启用防火墙等其他安全工具可有效地阻挡 外界的探测和入侵。RedHat Linux9.0自带有防 火墙“iptable”,可以在安装时设置和启用, iptable可使用命令行配置或利用GUI界面配置, 如下图GUI配置方法:
全军信息安全研究中心
15 2019/2/25
全军信息安全研究中心 12 2019/2/25
设定用户帐号的安全等级
在用户帐号之中,黑客最喜欢具有 root权限的帐号,这种超级用户有权修 改或删除各种系统设置,可以在系统中 畅行无阻。因此,在给任何帐号赋予 root权限之前,都必须仔细考虑。如果 一定要从远程登录为root权限,最好是 先以普通帐号登录,然后利用su命令升 级为超级用户。
全军信息安全研究中心 4 2019/2/25
针对本地用户获取非授权的文件的 读写权限的对策
主要攻击方法有:黑客诱骗合法用户告知 其机密信息或执行任务,有时黑客会假 装网络管理人员向用户发送邮件,要求 用户给他系统升级的密码 防范的主要方法:对于Linux服务器,最 好的办法是将所有shell帐号放置于一个 单独的机器上,也就是说,只在一台或 多台分配有shell访问的服务器上接受注 册。这可以使日志管理、访问控制管理 等安全问题管理更容易些
ftp://ftp.stanford.edu/general/securitytools/swatch/
http://violet.ibs.com.au/openssh/
19 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍(续一)
工具名称 Openssl Portsentry Tripwire 工具作用 提供加密的数据传送和认证 反扫描工具,监视自己的udp和 tcp端口 提供系统完整性检查 网址 http://www.openssl.org/ http://www.psionic.com/abacus/portse ntry/ http://www.tripwiresecurity.com
全军信息安全研究中心 6 2019/2/25
针对远程用户获得根权限的对策
这类主要攻击形式是TCP/IP劫持和 通信窃听 ,防范的方法包括:
(1)安全的拓扑结构。通信窃听只能在当前网 络段上进行数据捕获。这就意味着,将网络分 段工作进行得越细,窃听能够收集的信息就越 少。 (2)会话加密。这种方法的优点是明显的:即 使攻击者窃听到了数据,这些数据对他也是没 有用的。
全军信息安全研究中心 13 2019/2/25
增强安全防护工具
在Unix系统中,有一系列r字头的公用程序,即供远 程登录的服务程序,必须关闭这些服务。若确实有远 程维护等需要,可采用安全的远程登录,如SSH 。 SSH是安全套接层的简称,它是可以安全地用来取代 rlogin、rsh和rcp等公用程序的一套程序组。SSH采用 公开密钥技术对网络上两台主机之间的通信信息加密, 并且用其密钥充当身份验证的工具。 Linux系统下也有类似Windows系统的远程管理工具— —“远程桌面管理系统”。建议使用远程管理软件是 “Webmin”,目前的版本是1.020-1,可以到 http://www.Webmin.com下载,“Webmin” 是使用http 或者https的浏览器通过访问以http://IP:10000或者 https://IP:10000来管理系统的工具 。
18 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍
工具名称 Sxid Skey Logrotate Logcheck Swatch Ssh(openssh) 工具作用 检查系统中的suid,sgid以及没有 主人的文件 一次性口令工具 日志循环工具 日志管理工具 日志管理工具,比logcheck实时 提供安全的连接认证 网址 ftp://marcus.seva.net/pub/sxid/ ftp://ftp.cc.gatech.edu/ac121/linux/syst em/network/sunacm/other/skey ftp://ftp.redhat.com/pub/redhat http://www.psionic.com/abacus/logche ck/
网络信息安全管理员培训
解放军理工大学
全军信息安全研究中心
1 2019/2/25
培训五:Linux安全配置
对Linux系统的威胁与对策 Linux的安全设置 Linux系统安全工具介绍
全军信息安全研究中心
2 2019/2/25
对Linux系统的威胁与对策
针对Linux操作系统的威胁有很 多种类,下面主要从如下四个方面 讨论,给出相关对策:
全军信息安全研究中心
7 2019/2/25
Linux的安全设置
关闭不必要的服务 限制远程存取 隐藏重要资料 修补安全漏洞 采用安全工具 经常性的安全检查等 必备的安全配置命令
全军信息安全研究中心 8 2019/2/25
关闭不需要的服务
Linux使用/etc/inetd服务器程序和 /etc/inetd.conf参数文件控制Linux系统服 务的运行 取消不必要服务的第一步就是检查 /etc/inetd.conf文件,在不要的服务前加 上“#”号 在Redhat Linux操作系统中,还提供了 一种GUI界面配置Linux服务的操作方法, 如下页所示
Anti-sniff Gnupg Syslog-ng Scandns
Whisker
Cgi扫描器
21 2019/2/25
全军信息安全研究中心
Linux系统安全工具介绍(续三)
工具名称 Snoopy Linuxkernelp atch Krnsniff Iptable Imsafe Iplog Antiroute 工具作用 通过跟踪execve系统调用记录执 行的命令 内核的安全补丁,防止缓冲溢 出等 一个基于内核的监听模块 用来替代ipchains的包过滤防火 墙 通过跟踪系统调用来检测缓冲 溢出等问题 对来往的包进行日志记录 阻止和记录基于路由的跟踪
Freeswan
hostsentry
在linux实现VPN的工具
基于主机的入侵检测,将连接 记入日志 Linux发行版自带的包过滤形防 火墙
http://www.freeswan.org/
Ipchains
全军信息安全研究中心
20 2019/2/25
Linux系统安全工具介绍(续二)
工具名称 CFS和TCFS 工具作用 密码文件系统和透明的密码文 件系统实现目录下所有文件加 密,基于NFS 反嗅探工具,检查网络中是否 有嗅探器 对单个文件进行加密以及创建 数字签名 替代syslog的日志文件系统 进行dns检查追踪的工具 网址
服务拒绝攻击(DoS) 本地用户获取非授权的文件的读写权限 远程用户获得特权文件的读写权限 远程用户获得根权限
3 2019/2/25
全军信息安全研究中心
Leabharlann Baidu
针对服务拒绝攻击的对策
个人主机加强保护 加强对服务器的管理 安装验证软件和过滤功能 关闭不必要的服务 限制同时打开的Syn半连接数目 缩短Syn半连接的timeout时间 及时更新系统补丁
全军信息安全研究中心 16 2019/2/25
必备的系统安全命令
passwd:passwd命令原来修改账户的登陆密码,使用 权限是所有用户。 su: su的作用是变更为其它使用者的身份,超级用户 除外,需要键入该使用者的密码。 umask:umask设置用户文件和目录的文件创建缺省屏 蔽值,若将此命令放入profile文件,就可控制该用户后 续所建文件的存取许可。它告诉系统在创建文件时不 给谁存取许可。使用权限是所有用户。 chgrp:chgrp表示修改一个或多个文件或目录所属的 组。使用权限是超级用户。 chmod:chmod命令是非常重要的,用于改变文件或目 录的访问权限,用户可以用它控制文件或目录的访问 权限,使用权限是超级用户。
全军信息安全研究中心 9 2019/2/25
关闭不需要的服务(续)
全军信息安全研究中心
10 2019/2/25
关闭不需要的服务(续)
全军信息安全研究中心
11 2019/2/25
Linux的口令安全
安全的口令设置应遵循以下两点: 应当遵循字母、数字、大小写(因为 Linux对大小写是有区分)混合使用的 规则。 使用象“#”、“%”、“$”等特殊字符增 加密码的复杂性。例如采用"countbak" 一词,在它后面添加“#$” (countbak#$),这样你就拥有了一个 相当有效的密码。