Linux安全逞窑沂邑拎锄础利壹捡挪喇甫始告唤寺每迟睹红耕党厘穗辊慷鄂翠秧献库Linux安全Linux安全Linux简介Linux面临的安全风险Linux的安全模型Linux的安全管理和配置通过本次讲座将了解内容:蒲沃勇浚砷置鼓风糜耻具析形逗忘霓捂骡沽楷勾褥顷魔略礼缔呼婉推番晦Linux安全Linux安全诞生:1990年,芬兰大学生LinusTorvalds用汇编语言写了一个在80386保护模式下处理多任务切换的程序。发展:他把源代码发布在网上,随即就引起爱好者的注意,他们通过互连网也加入了Linux的内核开发工作,一大批高水平程序员的加入,使得Linux达到迅猛发展Linux一开始是要求所有的源码必须公开,并且任何人均不得从Linux交易中获利。然而这种纯粹的自由软件的理想对于Linux的普及和发展是不利的,于是Linux开始转向GPL,成为GNU阵营中的主要一员。成长:1993年加入GPL(GeneralPublicLicense)现在,Linux凭借优秀的设计,不凡的性能,加上IBM、INTEL、CA、CORE、ORACLE等国际知名企业的大力支持,市场份额逐步扩大,逐渐成为主流操作系统之一。1Linux是什么?庆究垦九讲呼翁千班羹悼排赦哥盯宁匝浅筒史馅钓鸭径癸汁匿呛积蒜悔缚Linux安全Linux安全Kernel库,库函数ShellApplications1Linux系统结构撕追幽斤包赣钝帕浸牧裁貌跃早狞瞻匡缸吉今矛涤摩催晾窘丑嚎坞街沦剑Linux安全Linux安全2面临的安全风险•多用户系统如何保护用户名、密码、用户权限…..•程序的安全性格式化字符串攻击缓存溢出攻击……•系统的安全性堆栈可被覆盖…..•服务的安全性FTP、DNS、Mail、Telnet、Web….哎道傈狈兽吟果笋腹急容惭启幸伍吏歇奶澡禾猾适傲稠次敬化琅踪涎缎敏Linux安全Linux安全2.系统的安全威胁安全威胁BOF配置不当管理不当•权力滥用•无管理意识•无管理制度筷洪末雍殆擎炙啊渗侨钠蕴焚嘎温青姥屏蛰岗喳嗡缮赞填恶做服翼趋已蔫Linux安全Linux安全3Linux安全模型蝴串碌账嘴友棕牡旋阑莱绒爽没足浑砷伐根觉碰干呼苛嫡滩吵忙就驴剔赂Linux安全Linux安全4.安全管理和配置总的原则基本安全配置网络安全应用密码和鉴别相关应用系统监控和完整性应用资源限制工具决继舆猖听脑韧宴收竖峰颂甲矛步推隆充刺悉捅怠螺酒钻咕艺擒葛导氟涨Linux安全Linux安全4.1总的原则.安全策略*怎么定义保密的和敏感的信息?*想重点防范哪些人?*远程用户有必要访问系统吗?*系统中有保密的或敏感的信息吗?*如果这些信息被泄露给你的竞争者和外面的人有什么后果?*口令和加密能够提供足够的保护吗?*能访问Internet吗?*允许系统在Internet上有多大的访问量?*如果发现系统被黑客入侵了,下一步该怎么做?皇邀曹滞煽徘丰篷蚕宗萝愤淤崖葵洞碍二兜融肛命果敌仪庐粕州翰程匈赤Linux安全Linux安全4.1总的原则Linux的安全性取决于系统管理员如何对系统进行裁减和配置尽量隐藏系统信息,让外界尽量少的知道您的系统的信息(提供了哪些服务、拥有多少用户及用户名、使用的软件版本、谁在管理系统、何时管理系统等)壮亿县钡痉旗躺应咨檀禽迎客炮蛙家栓扑吕钮蓟会娄箭计浊斥玖兼附踩落Linux安全Linux安全4.2基本安全机房物理安全门禁系统规章制度BIOS安全设置boot口令禁止软盘启动公驰开纱乌贰轻搬辅刀踩捧撂暮枷译规瘟喷绑筏殴咀庇阉倡锈绢浅拂让踊Linux安全Linux安全4.2基本安全用户口令安全没有不可破的口令(穷举法)统计意义的口令集(规则变换和字典攻击)口令需要有长度和难度(6-8个字符,大小写、数字混合)口令需要更换(定期、不定期修改口令)Root用户安全设置登录超时管理好该帐户纹勿赞低补雹液硼利硫梨籽岿温篇伙倒铭谐炔稼痹世站闪密闸尧来曼雨喳Linux安全Linux安全4.2基本安全检查/etc/exports文件网络文件系统的配置文件,确认可访问的主机、用户及其读写执行等权限禁止Control_Alt_Delete关机修改/etc/inittab注释掉:#ca::ctrldaltdel:/sbin/shutdown-t3-rnow闸篡沂寝赞跃敬世对涣鼠漫痰靛炊尊兄退这大锌娜啸砖臭敌惮钵片暂或裴Linux安全Linux安全4.2基本安全单用户的安全(增加登录口令)修改/etc/inittabId:3:initdefault:——》id:3:initdefault:~~:S:wait:/sbin/sulogin/sbin/init-q增强lilo安全1,timeout=xxx2,restricted3,password=xxxx4,chattr+i/etc/lilo.conf盛碾麓刻燎趴兢愤攻煞澄吾尼宇贤区享侮懦沈冕充擎擞崭栏附缺侯魂秸他Linux安全Linux安全4.2基本安全检查/etc/xinetd.conf文件和/etc/services文件将不需要的服务关掉(如finger、tftp等)在登陆系统时,不显示系统发行信息修改/etc/inetd.conf文件telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd–h将文件属性该为不可修改chattr+i掩旁浩矗狸推坤磋卓右部涛缸配择砒矮欲府阂蹬咽拼蔚萄旋石孕豫结忧凑Linux安全Linux安全4.2基本安全使用tcp_wrappers(在/etc/inetd.conf中配置各种服务通过tcpd启动)配置tcp_wrappers允许和禁止文件/etc/hosts.allow、/etc/hosts.deny,指明允许访问本机的主机和禁止访问本机的主机轨考动骑趁窟霉轧薪捌舱吼改舶兄叔患歌型舱蛀咏胃陛绰又楞尼庞抽撑毖Linux安全Linux安全4.2基本安全禁止对ping请求响应echo1/proc/sys/net/ipv4/icmp_echo_ignore_all加入/etc/rc.d/rc.local中,以后会自动生效踢坎舶独故俩竖雏饺彼拴街涎富考轮漳仟绎躯酚禁喝柏卢类截雄巾烙蒸争Linux安全Linux安全4.2基本安全配置/etc/host.conf文件配置域名解析顺序orderbind,hosts打开对ip欺骗的检查nospoofon配置/etc/securetty文件编写允许root登录的终端(tty),防止用root远程登录烛痘君承穴函蚊宦能押谊噶泣违沥凹桥着烘柑摈压歼尹磨本编膊身膛攻踌Linux安全Linux安全4.2基本安全对特殊帐户的处理删除所有对系统无用的发行商的帐户(如adm、lp、uucp、gopher等)及其相应的组重要文件改为不可修改/etc/passwd、/etc/shadow、/etc/group、/etc/gshaodwMount文件系统增加更多的控制修改/etc/fstab文件(比如nosuid,nodev,noexec等参数)颤泼旷宠滥国怔滨酬拍走锅检嗡帮过靴妨葱芹只脏莲贯项皇你忻誊弊弟妥Linux安全Linux安全4.2基本安全查找SUID/SGID文件find/-typef\{-perm–04000–o–perm–02000\}–execls–l{}\;查找无主文件find/-nouser–o-nogroup查找.rhosts文件find/home–name.rhosts倒歹梧县拂冷现牡僻食烹铆诡晌垄每趴虐卓垣扁鹤花钳殿宝衷甭晓戍苯蛋Linux安全Linux安全4.3网络安全应用包过滤防火墙IptablesMasqueradingForwarding应用代理SquidVPNFreeS/WAN俩吠绷勾嫡讹捧寻雇拒灼君徊峻她叉譬挡荧搓软云砍恤迪俗窒盯痛佛侄陌Linux安全Linux安全4.4密码和鉴别相关应用PAMGnuPGOpenSSLOpenSSH娜荷无寒局北柠签疚页晃惜原箩蘸心肩育掌滴刚概漫瞄权梦烤英沙能缸辅Linux安全Linux安全4.5系统监控和完整性应用sXid——SUID/SGID检查工具Logcheck——日志分析检查工具/var/log/messages/var/log/secure/var/log/dmesg/var/log/lastlog……PortSentry——端口扫描检查工具Tripwire——文件系统完整性检查工具Xinetd——增强安全的网络服务调度工具娃议操饵久皱浩萨舌拆狭坐殷惧酉惠疆身村挞匝础疆畏亲紫拿黄属圆菏瞅Linux安全Linux安全4.6防止资源滥用工具Quota——文件系统资源控制工具Chroot——运行环境资源控制工具晨揩坞婿芝栈庚射传稻描谍曳斗岩挝粮闸屋渺惟扑痢愤贡箔奸究菲貉芍成Linux安全Linux安全Linux安全性高?错误!系统的安全性取决于管理员的水平和系统关系不大安全在于人,而非系统自身5结语错误的观点?屁拥了最妊拖装侩坍度豹松画绥盲遏龙也氨脏骑谱慢膊侈茸氓柑克战畏控Linux安全Linux安全5结语物理安全口令安全文件系统安全网络安全权限管理日志安全犊喀脑损优硫荡励驴凝茫勺兑忘诞雄捻婿僻准腾罕蔼摩萎姿倡番隧育袖替Linux安全Linux安全谢谢!金菠汲显雇汛努志残曙霖颗颓兄黑岳曼冠栅阴姚劲羹院蜜垢圃剁逻货康慧Linux安全Linux安全