Linux1系统安全常规优化.ppt

第5章强化Linux安全,5.1Linux系统综述,5.2系统安全常规优化,理论部分,技能展示,会加强用户帐号安全的常见措施会加强文件系统安全的常见措施会加强系统引导和登录安全的常见措施,用户帐号安全优化,帐号安全基本措施删除不使用/不必要的帐号、禁用暂时不使用的帐号passwdlusername,usermod-L强制用户定期修改密码（设置密码有效期）/etc/login.defs文件、chage命令。#chage-d0username指定用户下次必须更改密码锁定不希望更改的系统文件chattr+i/etc/passwdchattri/etc/passwd减少记录命令历史的条数环境变量HISTSIZE设置在命令行界面中超时自动注销环境变量TMOUT禁止ctrl+alt+delete重新启动命令,#chageM60pp#chagelpp,用户账号安全优化,帐号安全基本措施root账号的安全密码复杂性/etc/pam.d/system-auth，在pam_cracklib.so下添加：passwordrequired/lib/security/$ISA/pam_cracklib.soucredit=-2lcredit=-2dcredit=-3ocredit=-1minlen=6,表示最少有2个大写字母，2个小写字，3个数字，1个特殊符号,使用su切换用户身份,su命令用途：SubstituteUser，切换为新的替换用户身份格式：su-用户名,zhangsanlocalhost$su-口令：rootlocalhost#whoamiroot,未指定用户时，缺省切换为root,未使用“-”选项时，仍沿用原来用户的环境,限制su命令,应用示例：仅允许zhangsan用户使用su命令切换身份,rootlocalhost#vi/etc/pam.d/suauthrequiredpam_wheel.souse_uidrootlocalhost#gpasswd-azhangsanwheel,去掉此行行首的“#”,使用sudo提升执行权限,sudo机制用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户。可限制用户只在某台主机上运行某些命令。格式：sudo-u用户名命令操作,rootlocalhost#sudo-uzhangsan/bin/touch/tmp/sudotest.filerootlocalhost#ls-l/tmp/sudotest.file-rw-r-r-1zhangsanzhangsan005-2609:09/tmp/sudotest.file,以zhangsan用户身份创建的文件属性,使用sudo提升执行权限,配置文件：/etc/sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi/etc/sudoers,使用sudo提升执行权限,在sudoers文件中的基本配置格式用户主机名列表=命令程序列表,rootlocalhost#greproot/etc/sudoersrootALL=(ALL)ALL,被授权的用户,在哪些主机中使用,允许执行哪些命令,针对root用户的sudo配置特例,允许以哪些用户的身份执行命令，缺省为root,使用sudo提升执行权限,应用示例1：需求描述：允许用户zh通过sudo执行/sbin、/bin、/usr/bin目录下的所有命令，但是禁止调用ifconfig(/sbin/)、vim命令授权wheel组的用户不需验证密码即可执行所有命令为sudo机制增加日志功能,rootlocalhost#visudoDefaultslogfile=/var/log/sudomikeylocalhost=/sbin/*,/usr/bin/*,!/sbin/ifconfigeth0,!/usr/bin/vim%wheelALL=(ALL)NOPASSWD:ALL(前的注释去掉即可)rootlocalhost#vi/etc/syslog.conflocal2.debug/var/log/sudo,使用sudo提升执行权限,应用示例1（续）：测试sudo配置的效果查看允许执行的命令列表（-l选项）通过sudo执行命令（sudo命令行）清除用户密码验证的时间戳（-k）,使用sudo提升执行权限,应用示例2：案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责。设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号推荐步骤：创建管理组帐号“managers”将管理员帐号（如zhangsan、lisi）加入到managers组配置sudo文件，针对managers组放开对useradd、userdel等用户管理命令的权限使用zhangsan帐号登录后，验证是否可以添加、删除用户,小结,请思考：如何使系统用户定期（如3个月）修改密码？使用su命令时，是否带“-”选项有何区别？sudo配置记录的基本格式是什么？如何通过sudo调用被授权执行的命令？,文件系统级安全控制,合理规划系统分区/boot、/home、/var、/opt等建议单独分区/etc/exports/tmp1.1.1.1(ro,root_squash)TCP_WRAPPERS默认允许所有服务请求，在/etc/hosts.deny:ALL:ALLALL,PARANOID/etc/hosts.allow，加入允许访问的计算机:sshd:1.1.1.2in.telnetd:1.1.1.2/etc/host.conf文件nospoof设成on，禁止IP欺骗。,以root登陆时，自动压缩成匿名使用者,nospoof在执行了一个主机地址的查询之后,resolv+会对该地址执行一次主机名的查询.如果两者不匹配,查询即失败,安全使用应用程序和服务,关闭不需要的系统服务使用ntsysv、chkconfig管理工具chattr+i/etc/services禁止普通用户执行init.d目录中的脚本限制“other”组的权限chmodR700/etc/rc.d/init.d/禁止普通用户执行控制台程序consolehelper控制台助手配置目录：/etc/security/console.apps/,rootlocalhost#cd/etc/security/console.apps/rootlocalhost#rmrfhaltreboot,安全使用应用程序和服务,Syslog系统日志工具/etc/syslog.conf服务名.优先级日志存放路径查找程序文件中非必需的set位权限setuid、setgid的用途？有何隐患？如何找出设置了set位权限的文件?,rootlocalhost#find/-typef-perm+6000-execls-lh;,rootlocalhost#ls-lh$(find/-typef-perm+6000),附加权限,SET位权限主要用途：为可执行（有x权限的）文件设置，权限字符为“s”其他用户执行该文件时，将拥有属主或属组用户的权限SET位权限类型：SUID：表示对属主用户增加SET位权限SGID：表示对属组内的用户增加SET位权限,rootlocalhost#ls-l/usr/bin/passwd-rwsr-xr-x1rootroot198762006-07-17/usr/bin/passwd,普通用户以root用户的身份，间接更新了shadow文件中自己的密码,应用示例：/usr/bin/passwd,注意：不要轻易为可执行文件设置SET位权限，特别是对于那些属主、属组是root的执行程序，使用SET位权限时更应该慎重。,Find用法,-type按类型；-name按文件名字查找-size按大小查找-exec：对匹配的文件执行该参数所给出的shell命令。相应命令的形式为command;，注意和；之间的空格。如：#find.-typef-execls-l;-perm按文件权限模式来查找。如：$find.-typef-perm644-execls-l;-nouser/nogroup：查找无有效所主/组的文件。,查找没有属主的文件查找.rhosts文件/etc/hosts.equiv/.rhosts,rootlocalhost#find/-nousero-nogroup,rootlocalhost#find/-name.rhosts,安全使用应用程序和服务,使系统对ping没有反应添加到/etc/rc.d/rc.local禁止源路由欺骗(ipsourcerouting),forfin/proc/sys/net/ipv4/conf/*/accept_source_route:doecho0$fdone,安全使用应用程序和服务,使TCPSYNCookies保护生效防SYN拒绝服务攻击(Dos),#echo1/proc/sys/net/ipv4/tcp_syncookies,开关机安全控制,服务器的物理安全控制调整BIOS引导设置修改启动顺序设置管理密码禁用Ctrl+Alt+Del重启热键修改/etc/inittab文件，并执行“initq”重载配置,GRUB引导菜单加密,加密引导菜单的作用修改启动参数时需要验证密码进入所选择的系统前需要验证密码在grub.conf文件中设置密码的方式password=明文密码串password-md5加密密码串密码设置行的位置全局部分（第一个“title”之前）系统引导参数部分（每个“title”部分之后）,default=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword-md5$1$Qq15d$bEjy8VeMCrNcIJCEESqyY/titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)password=123456root(hd0,0),GRUB引导菜单加密,grub.conf文件中的加密配置行示例,限制进入该系统,限制修改引导参数,获得MD5加密格式的密码字符串grub-md5-crypt,本地终端及登录控制,立即禁止普通用户登录/etc/nologin设置启用哪些tty终端/etc/inittab控制允许root用户登录的终端/etc/securetty更改系统登录提示，隐藏系统版本信息/etc/issue、/etc/#vi/etc/issue#cpf/etc/issue/etc/,rootlocalhost#vi/etc/security/access.conf-:ALLEXCEPTroot:tty1-:root:192.168.1.172.16.0.,本地终端及登录控制,pam_access认证控制配置文件：/etc/pam.d/loginaccountrequiredpam_access.so配置文件：/etc/security/access.conf权限用户来源,禁止普通用户从tty1终端登录,禁止root用户从指定网段远程登录,本章总结,用户帐号安全优化,基本安全措施,开关机安全控制,GRUB引导菜单加密,使用su切换用户身份,终端及登录控制,使用sudo提升执行权限,系统安全常规优化,文件和文件系统安全优化,系统引导和登录安全优化,文件系统级安全控制,安全使用应用程序和服务,第一章系统安全常规优化,上机部分,实验案例1：使用su/sudo控制用户权限,需求描述su身份切换限制允许远程管理用户radmin执行“su-”命令切换到root用户禁止其他所有用户使用su命令切换身份sudo执行权限切换限制zhangsan负责公司员工的帐号管理，允许其通过sudo方式添加/删除/用户及修改用户相关信息（包括密码），但是不允许其修改root用户的密码等信息允许lisi通过sudo方式执行/sbin、/usr/sbin目录下所有命令，并且不需要密码验证任何用户通过sudo执行的每一条命令，以日志记录的形式写入到文件/var/log/sudo中,实验案例1：使用su/sudo控制用户权限,实现思路配置su功能限制启用PAM设置“authrequiredpam_wheel.souse_uid”将radmin用户加入到wheel组配置sudo功能限制注意符号“*”、“!”的灵活运用启用sudo日志支持visudo，“Defaultslogfile=“/var/log/sudo”syslog.conf，“local2.debug/var/log/sudo”验证限制结果,实验案例1：使用su/sudo控制用户权限,学员练习,40分钟内完成,实验案例2：系统引导和登录安全加固,需求描述引导安全控制禁止非授权用户使用系统启动盘从光盘引导系统禁止非授权用户通过单用户模式引导进入系统防止普通用户获取grub密码、防止grub.conf文件被无意中修改或删除终端登录控制在服务器本地仅开放tty1、tty2控制台终端root用户只能从tty1登录，其他普通用户只能从tty2登录屏蔽掉Ctrl+Alt+Del热键重启功能在使用shell终端时，超过5分钟无操作则自动注销,实验案例2：系统引导和登录安全加固,实现思路设置系统引导及grub控制为BIOS设置密码使用grub-md5-crypt生成MD5加密的密码字串设置tty终端控制设置Shell自动注销（TMOUT环境变量）验证实验结果,实验案例2：系统引导和登录安全加固,学员练习,40分钟内完成,37,案例二参考答案,1.vi/etc/grub.conf在splashimage下添加：password-md5(grub-md5-crypt-111111)在title下添加：password=123456:wq2.vi/etc/inittab注释：tty3-tty6:wqinitq3.vi/etc/pam.d/login添加：accountrequiredpam_access.so:wqvi/etc/secuity/access.conf添加：-:ALLEXCEPTroot:tty1:wq4.vi/etc/inittab注释：#TrapCTRL-ALT-DELETE下面那行：wq5.TMOUT=5,