腾讯内部培训资料-Linux_安全基础

Linux系统安全基础Agenda安全问题概述服务器安全的威胁如何配置安全的Linux系统安全性的测试入侵和事件响应常见的漏洞和攻击Q&A安全问题概述什么是计算机安全？安全标准安全控制什么是计算机安全？国际标准化委员会:为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露美国国防部国家计算机安全中心:安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。公安部:计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害安全标准安全标准保密性—保密信息必须只能够被一组预先限定的人员存取。对这类信息的未经授权的传输和使用应该被严格限制。例如，信息保密性会确保顾客的个人和财务信息不被未经授权的人员获取以用于窃取身份或信用卡贪污之类的不良企图。完整性—信息不应该被能够导致它不完整或不正确的方式改变。未经授权的用户不应该具备修改或破坏保密信息的能力。可用性—信息应该能够被授权的用户在任何需要的时候都可以被存取。可用性是信息能够在规定的时间范围内、按照规定的频率而能够被获取的保证。这通常是按照百分比来衡量的，并且被网络服务器提供者和他们的企业客户使用的服务级别协议（SLA）正式达成协议。安全控制物理控制闭路监控照相机,动作或热像报警系统,警卫人员,照片证件,锁，生物测定技术控制加密,智能卡,网络验证,访问存取控制列表（ACL）,文件完好性审查软件管理控制培训和警惕性,灾难预备和恢复计划,人员招聘和分工策略,人员注册和记录服务器安全的威胁未用的服务和打开的端口未打补丁的服务管理疏忽带有固有不安全因素的服务如何配置安全的Linux系统安全更新工作站安全服务器安全防火墙安全更新手动安装1.通过安全网站发现有漏洞的软件及修正包的下载地址2.下载软件包并校验软件包的完整性3.安装软件包并测试自动安装使用RedhatNetWork,SuseZenworks工作站安全BIOS和引导装载程序的安全性设置BIOS和Lilo口令防止对BIOS设置的改变防止系统被引导防止进入单用户模式防止进入非安全的操作系统口令安全设置有使用期限复杂的密码管理控制禁止根存取权限，限制根存取权限可用的网络服务不安全服务rlogin,rsh,telnet等采用ssh替代ftp采用sftp替代不在公网上使用nfs,samba,如需要使用请放置在防火墙里面经安全强化的通信工具ssh—一个安全远程控制台存取客户。scp—一个安全远程复制命令。sftp—一个允许不互动文件传输会话的伪ftp客户。服务器安全使用TCPwrappers维护服务安全保护Portmap的安全性使用TCPwrappers保护使用iptables保护保护NFS的安全不要使用no_root_squash服务器安全校验哪些端口正在监听使用nmap之类的端口扫描器来检查哪些端口正在监听网络netstat–anplsof-i防火墙防火墙工作方式NAT分组过滤器代理注意事项在处理添加的规则时，REJECT（拒绝）目标和DROP（放弃）目标这两种行动有所不同。REJECT会拒绝目标分组的进入，并给企图连接服务的用户返回一个connectionrefused的错误消息。DROP会放弃分组，而对用户不发出任何警告。管理员可酌情考虑如何使用这些目标。不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用REJECT目标。防火墙iptables和连接跟踪NEW—请求新连接的分组，如HTTP请求。ESTABLISHED—属于当前连接的一部分的分组。RELATED—请求新连接的分组，但是它也是当前连接的一部分，如消极FTP连接，其连接端口是20，但是其传输端口却是1024以上的未使用端口。INVALID—不属于连接跟踪表内任何连接的分组安全性的测试弱点测定“由外向里看”（Outsidelookingin）“由里向外看”（insidelookingaround）评测目标的确定评估工具nmap端口Nessus弱点漏洞NiktoCGI审核物理安全性、人员安全审查入侵和事件响应入侵检测(IDS)knowledge-basedbehavioralhost-basednetwork-based事件响应制定时间响应计划执行步骤停止或减小事件影响的立即措施事件调查受影响的资源的恢复向适当途径报告事件常见的漏洞和攻击漏洞利用描述备注空白或默认口令把管理性口令留为空白或使用产品生产商所设置的默认口令。虽然某些运行在Linux上的服务包含默认管理口令（红帽企业Linux中并不包含），这种行为在硬件（如路由器和防火墙）中最常见。在路由器、防火墙、VPN和网络连接的贮存设备（NAS）中最常见。在许多过时了的操作系统，特别是附带服务的OS，如UNIX和Windows中也很常见。管理员有时会在匆忙间创建一个有特权的用户而把口令留为空白。这就会成为发现了这个用户帐户的入侵者的完美入口。默认共享密钥安全服务有时会把用于开发或评估测试目的的默认安全密钥打入软件包内。如果这些密钥不经改变而被用于互联网上的生产环境，那么任何拥有同样的默认密钥的用户都可以使用那个共享密钥资源，以及其中的保密信息。在无线访问点和预配置的安全服务器设备中最常见。CIPE（请参阅第6章）包含一个用于示范的静态密钥，在转入生产环境前，这个密钥必须被改变。Q&A谢谢！！