Linux 安全01-v1.0

BENET3.0第二学期课程Linux网关及安全应用2课程目标针对Linux服务器操作系统进行常规安全加固通过部署防火墙、代理等应用构建Linux网关系统检测服务器的安全漏洞，实施远程访问控制监测服务器运行性能、局域网主机的网络流量3课程结构第一部分第二部分第三部分优化服务器系统安全用户帐号安全管理、文件及文件系统权限安全、进程/程序安全的使用、系统引导和终端登录安全构建Linux网关iptables防火墙的过滤策略、网关应用策略、squid代理服务器及用户上网控制网络安全应用与监测常用扫描和嗅探工具的使用、服务器漏洞检测、远程登录管理及访问控制、监控服务器性能和流量、监控局域网流量第1章第2～4章第5～6章BENET3.0第二学期课程第一章系统安全常规优化——理论部分5技能展示会加强用户帐号安全的常见措施会加强文件系统安全的常见措施会加强系统引导和登录安全的常见措施6本章结构用户帐号安全优化基本安全措施开关机安全控制GRUB引导菜单加密使用su切换用户身份终端及登录控制使用sudo提升执行权限系统安全常规优化文件和文件系统安全优化系统引导和登录安全优化文件系统级安全控制安全使用应用程序和服务7用户帐号安全优化帐号安全基本措施删除不使用的帐号、禁用暂时不使用的帐号检查程序用户的登录Shell是否异常强制用户定期修改密码（设置密码有效期）/etc/login.defs文件、chage命令增强普通用户的密码强度/etc/pam.d/system-auth文件中的minlen参数减少记录命令历史的条数环境变量HISTSIZE设置在命令行界面中超时自动注销环境变量TMOUT教员演示操作过程8使用su切换用户身份su命令用途：SubstituteUser，切换为新的替换用户身份格式：su[-][用户名][zhangsan@localhost~]$su-口令：[root@localhost~]#whoamiroot未指定用户时，缺省切换为root[root@localhost~]#su-zhangsan[zhangsan@localhost~]$pwd/home/zhangsan[root@localhost~]#suzhangsan[zhangsan@localhostroot]$pwd/root未使用“-”选项时，仍沿用原来用户的环境9使用su切换用户身份应用示例：仅允许zhangsan用户使用su命令切换身份[root@localhost~]#vi/etc/pam.d/su……authrequiredpam_wheel.souse_uid……[root@localhost~]#gpasswd-azhangsanwheel教员演示操作过程去掉此行行首的“#”10使用sudo提升执行权限sudo机制用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户格式：sudo[-u用户名]命令操作[root@localhost~]#sudo-uzhangsan/bin/touch/tmp/sudotest.file[root@localhost~]#ls-l/tmp/sudotest.file-rw-r--r--1zhangsanzhangsan005-2609:09/tmp/sudotest.file以zhangsan用户身份创建的文件属性11使用sudo提升执行权限配置文件：/etc/sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi/etc/sudoers12使用sudo提升执行权限在sudoers文件中的基本配置格式用户主机名列表=命令程序列表[root@localhost~]#grep^root/etc/sudoersrootALL=(ALL)ALL被授权的用户在哪些主机中使用允许执行哪些命令针对root用户的sudo配置特例允许以哪些用户的身份执行命令，缺省为root13使用sudo提升执行权限应用示例1：需求描述：允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令授权wheel组的用户不需验证密码即可执行所有命令为sudo机制增加日志功能[root@localhost~]#visudoDefaultslogfile=/var/log/sudo……mikeylocalhost=/sbin/*,/usr/bin/*,!/sbin/ifconfigeth0,!/usr/bin/vim%wheelALL=(ALL)NOPASSWD:ALL[root@localhost~]#vi/etc/syslog.conflocal2.debug/var/log/sudo14使用sudo提升执行权限应用示例1（续）：测试sudo配置的效果查看允许执行的命令列表（-l选项）通过sudo执行命令（sudo命令行）清除用户密码验证的时间戳（-k）重新校验密码（-v）教员演示操作过程15使用sudo提升执行权限为sudo配置项定义别名关键字：User_Alias、Host_Alias、Cmnd_Alias在sudo配置行中，可以调用已经定义的别名[root@localhost~]#visudo……User_AliasOPERATORS=jerry,tom,tsengyiaHost_AliasMAILSERVERS=mail,smtp,popCmnd_AliasSOFTWARE=/bin/rpm,/usr/bin/yumOPERATORSMAILSERVERS=SOFTWARE16使用sudo提升执行权限应用示例2：设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号推荐步骤：创建管理组帐号“managers”将管理员帐号（如zhangsan、lisi）加入到managers组配置sudo文件，针对managers组放开对useradd、userdel等用户管理命令的权限使用zhangsan帐号登录后，验证是否可以添加、删除用户教员演示操作过程17小结请思考：如何使系统用户定期（如3个月）修改密码？使用su命令时，是否带“-”选项有何区别？sudo配置记录的基本格式是什么？如何通过sudo调用被授权执行的命令？18文件系统级安全控制合理规划系统分区/boot、/home、/var、/opt等建议单独分区文件系统（分区）的挂载选项mount命令的-onosuid、-onoexec选项锁定文件的i节点chattr命令、lsattr命令教员演示操作过程19安全使用应用程序和服务关闭不需要的系统服务使用ntsysv、chkconfig管理工具禁止普通用户执行init.d目录中的脚本限制“other”组的权限禁止普通用户执行控制台程序consolehelper控制台助手配置目录：/etc/security/console.apps/[root@localhost~]#cd/etc/security/console.apps/[root@localhost~]#tarzcpvfconpw.tgzpoweroffhaltreboot--remove转移对应的配置文件20安全使用应用程序和服务去除程序文件中非必需的set位权限setuid、setgid的用途？有何隐患？如何找出设置了set位权限的文件?[root@localhost~]#ls-lh$(find/-typef-perm+6000)[root@localhost~]#find/-typef-perm+6000-execls-lh{}\;或者21安全使用应用程序和服务应用示例：监控系统中新增了哪些使用set位权限的文件推荐步骤：建立系统正常状态下的suid/sgid文件列表查找当前系统中所有的suid/sgid文件列表比较前后结果，输出新增加的内容编写脚本文件实现比对功能可以结合cron设置计划任务定期进行检查#!/bin/bashOLD_LIST=/etc/sfilelistforiin`find/-typef-a-perm+6000`dogrep-F$i$OLD_LIST/dev/null[$?-ne0]&&ls-lh$idonesuid/sgid文件列表比对教员演示操作过程22开关机安全控制服务器的物理安全控制调整BIOS引导设置修改启动顺序设置管理密码禁用Ctrl+Alt+Del重启热键修改/etc/inittab文件，并执行“initq”重载配置23GRUB引导菜单加密加密引导菜单的作用修改启动参数时需要验证密码进入所选择的系统前需要验证密码在grub.conf文件中设置密码的方式password明文密码串password--md5加密密码串密码设置行的位置全局部分（第一个“title”之前）系统引导参数部分（每个“title”部分之后）24default=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword--md5$1$Qq15d$bEjy8VeMCrNcIJCEESqyY/titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)password123456root(hd0,0)……GRUB引导菜单加密grub.conf文件中的加密配置行示例限制进入该系统限制修改引导参数获得MD5加密格式的密码字符串grub-md5-crypt教员演示操作过程25本地终端及登录控制立即禁止普通用户登录/etc/nologin设置启用哪些tty终端/etc/inittab控制允许root用户登录的终端/etc/securetty更改系统登录提示，隐藏系统版本信息/etc/issue、/etc/issue.net26[root@localhost~]#vi/etc/security/access.conf……-:ALLEXCEPTroot:tty1-:root:192.168.1.0/24172.16.0.0/8本地终端及登录控制pam_access认证控制配置文件：/etc/pam.d/loginaccountrequiredpam_access.so配置文件：/etc/security/access.conf权限用户来源禁止普通用户从tty1终端登录禁止root用户从指定网段远程登录27本章总结用户帐号安全优化基本安全措施开关机安全控制GRUB引导菜单加密使用su切换用户身份终端及登录控制使用sudo提升执行权限系统安全常规优化文件和文件系统安全优化系统引导和登录安全优化文件系统级安全控制安全使用应用程序和服务BENET3.0第二学期课程第一章系统安全常规优化——上机部分29实验案例1：使用su/sudo控制用户权限需求描述su身份切换限制允许远程管理用户radmin执行“su-”命令切换到root用户禁止其他所有用户使用su命令切换身份sudo执行权限切换限制zhangsan负责公司员工的帐号管理，允许其通过sudo方式添加/删除/用户及修改用户相关信息（包括密码），但是不允许其修改root用户的密码等信息允许lisi通过sudo方式执行/sbin、/usr/sbin目录下所有命令，并且不需要密码验证任何用户通过sudo执行的每一条命令，以日志记录的形式写入到文件/var/log/sudo中30实验案例1：使用su/sudo控制用户权限实现思路配置su功能限制启用PAM设置“authrequiredpam_wheel.souse_uid”将radmin用户加入到wheel组配置sudo功能限制注意符号“*”、“!”的灵活运用启用sudo日志支持visudo，“Defaultslogfile=“/var/log/sudo”syslog.conf，“local2.debug/var/log/sudo”验证限制结果31实验案例1：使用su/sudo控制用户权限学员练