版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、Linux網(wǎng)關(guān)及安全應(yīng)用網(wǎng)關(guān)及安全應(yīng)用針對針對Linux服務(wù)器操作系統(tǒng)進行常規(guī)安全加固服務(wù)器操作系統(tǒng)進行常規(guī)安全加固通過部署防火墻、代理等應(yīng)用構(gòu)建通過部署防火墻、代理等應(yīng)用構(gòu)建Linux網(wǎng)關(guān)系網(wǎng)關(guān)系統(tǒng)統(tǒng)檢測服務(wù)器的安全漏洞,實施遠(yuǎn)程訪問控制檢測服務(wù)器的安全漏洞,實施遠(yuǎn)程訪問控制監(jiān)測服務(wù)器運行性能、局域網(wǎng)主機的網(wǎng)絡(luò)流量監(jiān)測服務(wù)器運行性能、局域網(wǎng)主機的網(wǎng)絡(luò)流量第一部分第一部分第二部分第二部分第三部分第三部分優(yōu)化服務(wù)器系統(tǒng)安全優(yōu)化服務(wù)器系統(tǒng)安全用戶帳號安全管理、文件用戶帳號安全管理、文件及文件系統(tǒng)權(quán)限安全、進及文件系統(tǒng)權(quán)限安全、進程程/程序安全的使用、系統(tǒng)程序安全的使用、系統(tǒng)引導(dǎo)和終端登錄安全引導(dǎo)和
2、終端登錄安全 構(gòu)建構(gòu)建Linux網(wǎng)關(guān)網(wǎng)關(guān)iptables防火墻的過濾策防火墻的過濾策略、網(wǎng)關(guān)應(yīng)用策略、略、網(wǎng)關(guān)應(yīng)用策略、squid代理服務(wù)器及用戶代理服務(wù)器及用戶上網(wǎng)控制上網(wǎng)控制網(wǎng)絡(luò)安全應(yīng)用與監(jiān)測網(wǎng)絡(luò)安全應(yīng)用與監(jiān)測常用掃描和嗅探工具的常用掃描和嗅探工具的使用、服務(wù)器漏洞檢測、使用、服務(wù)器漏洞檢測、遠(yuǎn)程登錄管理及訪問控遠(yuǎn)程登錄管理及訪問控制、監(jiān)控服務(wù)器性能和制、監(jiān)控服務(wù)器性能和流量、監(jiān)控局域網(wǎng)流量流量、監(jiān)控局域網(wǎng)流量第第1章章第第24章章第第56章章第一章第一章 系統(tǒng)安全常規(guī)優(yōu)化系統(tǒng)安全常規(guī)優(yōu)化 理論部分理論部分會加強用戶帳號安全的常見措施會加強用戶帳號安全的常見措施會加強文件系統(tǒng)安全的常見措施
3、會加強文件系統(tǒng)安全的常見措施會加強系統(tǒng)引導(dǎo)和登錄安全的常見措施會加強系統(tǒng)引導(dǎo)和登錄安全的常見措施用戶帳號安全用戶帳號安全優(yōu)化優(yōu)化基本安全措施基本安全措施 開關(guān)機安全控制開關(guān)機安全控制 GRUB引導(dǎo)菜單加密引導(dǎo)菜單加密使用使用su切換用戶身份切換用戶身份終端及登錄控制終端及登錄控制使用使用sudo提升執(zhí)行權(quán)限提升執(zhí)行權(quán)限系統(tǒng)安全常規(guī)優(yōu)化系統(tǒng)安全常規(guī)優(yōu)化文件和文件系文件和文件系統(tǒng)安全優(yōu)化統(tǒng)安全優(yōu)化系統(tǒng)引導(dǎo)和登系統(tǒng)引導(dǎo)和登錄安全優(yōu)化錄安全優(yōu)化文件系統(tǒng)級安全控制文件系統(tǒng)級安全控制安全使用應(yīng)用程序和服務(wù)安全使用應(yīng)用程序和服務(wù)帳號安全基本措施帳號安全基本措施刪除不使用的帳號、禁用暫時不使用的帳號刪除不使用
4、的帳號、禁用暫時不使用的帳號檢查程序用戶的登錄檢查程序用戶的登錄Shell是否異常是否異常強制用戶定期修改密碼(設(shè)置密碼有效期)強制用戶定期修改密碼(設(shè)置密碼有效期)p /etc/login.defs文件、chage命令增強普通用戶的密碼強度增強普通用戶的密碼強度p /etc/pam.d/system-auth文件中的minlen參數(shù)減少記錄命令歷史的條數(shù)減少記錄命令歷史的條數(shù)p 環(huán)境變量 HISTSIZE設(shè)置在命令行界面中超時自動注銷設(shè)置在命令行界面中超時自動注銷p 環(huán)境變量 TMOUTsu命令命令用途:用途:Substitute User,切換為新的替換用戶身份,切換為新的替換用戶身份格式
5、:格式:su - 用戶名用戶名zhangsanlocalhost $ su -口令:口令:rootlocalhost # whoamiroot未指定用戶時,缺未指定用戶時,缺省切換為省切換為rootrootlocalhost # su - zhangsanzhangsanlocalhost $ pwd/home/zhangsanrootlocalhost # su zhangsanzhangsanlocalhost root$ pwd/root未使用未使用“-”選項時,仍沿選項時,仍沿用原來用戶的環(huán)境用原來用戶的環(huán)境應(yīng)用示例:應(yīng)用示例:僅允許僅允許zhangsan用戶使用用戶使用su命令切換身
6、份命令切換身份rootlocalhost # vi /etc/pam.d/suauth required pam_wheel.so use_uidrootlocalhost # gpasswd -a zhangsan wheel去掉此行行首的去掉此行行首的“#”sudo機制機制用途:以可替換的其他用戶身份執(zhí)行命令,若未指定用途:以可替換的其他用戶身份執(zhí)行命令,若未指定目標(biāo)用戶,默認(rèn)將視為目標(biāo)用戶,默認(rèn)將視為root用戶用戶格式:格式:sudo -u 用戶名用戶名 命令操作命令操作rootlocalhost # sudo -u zhangsan /bin/touch /tmp/sudotest.
7、filerootlocalhost # ls -l /tmp/sudotest.file-rw-r-r- 1 zhangsan zhangsan 0 05-26 09:09 /tmp/sudotest.file以以 zhangsan 用戶身用戶身份創(chuàng)建的文件屬性份創(chuàng)建的文件屬性配置文件:配置文件:/etc/sudoers授權(quán)哪些用戶可以通過授權(quán)哪些用戶可以通過sudo方式執(zhí)行哪些命令方式執(zhí)行哪些命令以下以下2種方法都可以編輯種方法都可以編輯sudoers文件文件visudovi /etc/sudoers在在sudoers文件中的基本配置格式文件中的基本配置格式用戶用戶 主機名列表主機名列表=命
8、令程序列表命令程序列表rootlocalhost # grep root /etc/sudoersroot ALL=(ALL) ALL被授權(quán)的用戶被授權(quán)的用戶在哪些主機中使用在哪些主機中使用允許執(zhí)行哪些命令允許執(zhí)行哪些命令針對針對root用戶的用戶的sudo配置特例配置特例允許以哪些用戶的身份允許以哪些用戶的身份執(zhí)行命令,缺省為執(zhí)行命令,缺省為root應(yīng)用示例應(yīng)用示例1:需求描述:需求描述:p 允許用戶mikey通過sudo執(zhí)行/sbin、/usr/bin目錄下的所有命令,但是禁止調(diào)用ifconfig、vim命令p 授權(quán)wheel組的用戶不需驗證密碼即可執(zhí)行所有命令p 為sudo機制增加日志功
9、能rootlocalhost # visudoDefaults logfile=/var/log/sudomikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim%wheel ALL=(ALL) NOPASSWD: ALLrootlocalhost # vi /etc/syslog.conf local2.debug/var/log/sudo應(yīng)用示例應(yīng)用示例1(續(xù)):(續(xù)):測試測試sudo配置的效果配置的效果p 查看允許執(zhí)行的命令列表(-l選項)p 通過sudo執(zhí)行命令(sudo 命令行)p 清除用戶密碼驗證的
10、時間戳(-k)p 重新校驗密碼(-v)為為sudo配置項定義別名配置項定義別名關(guān)鍵字:關(guān)鍵字:User_Alias、Host_Alias、Cmnd_Alias在在sudo配置行中,可以調(diào)用已經(jīng)定義的別名配置行中,可以調(diào)用已經(jīng)定義的別名rootlocalhost # visudoUser_Alias OPERATORS=jerry,tom,tsengyiaHost_Alias MAILSERVERS=mail,smtp,popCmnd_Alias SOFTWARE=/bin/rpm,/usr/bin/yumOPERATORS MAILSERVERS=SOFTWARE應(yīng)用示例應(yīng)用示例2:設(shè)立組帳號
11、設(shè)立組帳號“managers”,授權(quán)組內(nèi)的各成員用戶可,授權(quán)組內(nèi)的各成員用戶可以添加、刪除、更改用戶帳號以添加、刪除、更改用戶帳號推薦步驟:推薦步驟:p 創(chuàng)建管理組帳號“managers”p 將管理員帳號(如zhangsan、lisi)加入到managers組p 配置sudo文件,針對managers組放開對useradd、userdel等用戶管理命令的權(quán)限p 使用zhangsan帳號登錄后,驗證是否可以添加、刪除用戶請思考:請思考:如何使系統(tǒng)用戶定期(如如何使系統(tǒng)用戶定期(如3個月)修改密碼?個月)修改密碼?使用使用su命令時,是否帶命令時,是否帶“-”選項有何區(qū)別選項有何區(qū)別 ?sudo配
12、置記錄的基本格式是什么?配置記錄的基本格式是什么?如何通過如何通過sudo調(diào)用被授權(quán)執(zhí)行的命令?調(diào)用被授權(quán)執(zhí)行的命令?合理規(guī)劃系統(tǒng)分區(qū)合理規(guī)劃系統(tǒng)分區(qū)/boot、/home、/var、/opt 等建議單獨分區(qū)等建議單獨分區(qū)文件系統(tǒng)(分區(qū))的掛載選項文件系統(tǒng)(分區(qū))的掛載選項mount命令的命令的 -o nosuid、-o noexec 選項選項鎖定文件的鎖定文件的i節(jié)點節(jié)點chattr命令、命令、lsattr命令命令關(guān)閉不需要的系統(tǒng)服務(wù)關(guān)閉不需要的系統(tǒng)服務(wù)使用使用ntsysv、chkconfig管理工具管理工具禁止普通用戶執(zhí)行禁止普通用戶執(zhí)行init.d目錄中的腳本目錄中的腳本限制限制“oth
13、er”組的權(quán)限組的權(quán)限禁止普通用戶執(zhí)行控制臺程序禁止普通用戶執(zhí)行控制臺程序consolehelper控制臺助手控制臺助手配置目錄:配置目錄:/etc/security/console.apps/rootlocalhost # cd /etc/security/console.apps/rootlocalhost # tar zcpvf conpw.tgz poweroff halt reboot -remove轉(zhuǎn)移對應(yīng)的配置文件轉(zhuǎn)移對應(yīng)的配置文件去除程序文件中非必需的去除程序文件中非必需的set位權(quán)限位權(quán)限set uid、set gid的用途?有何隱患?的用途?有何隱患?如何找出設(shè)置了如何找出
14、設(shè)置了set位權(quán)限的文件位權(quán)限的文件?rootlocalhost # ls -lh $(find / -type f -perm +6000)rootlocalhost # find / -type f -perm +6000 -exec ls -lh ;或者或者應(yīng)用示例:應(yīng)用示例:監(jiān)控系統(tǒng)中新增了哪些使用監(jiān)控系統(tǒng)中新增了哪些使用set位權(quán)限的文件位權(quán)限的文件推薦步驟:推薦步驟:p 建立系統(tǒng)正常狀態(tài)下的suid/sgid文件列表p 查找當(dāng)前系統(tǒng)中所有的suid/sgid文件列表p 比較前后結(jié)果,輸出新增加的內(nèi)容p 編寫腳本文件實現(xiàn)比對功能p 可以結(jié)合cron設(shè)置計劃任務(wù)定期進行檢查#!/bin
15、/bashOLD_LIST=/etc/sfilelistfor i in find / -type f -a -perm +6000do grep -F $i $OLD_LIST /dev/null $? -ne 0 & ls -lh $idonesuid/sgid文件列表比對文件列表比對服務(wù)器的物理安全控制服務(wù)器的物理安全控制調(diào)整調(diào)整BIOS引導(dǎo)設(shè)置引導(dǎo)設(shè)置修改啟動順序修改啟動順序設(shè)置管理密碼設(shè)置管理密碼禁用禁用Ctrl+Alt+Del重啟熱鍵重啟熱鍵修改修改/etc/inittab文件,并執(zhí)行文件,并執(zhí)行“init q”重載配置重載配置加密引導(dǎo)菜單的作用加密引導(dǎo)菜單的作用修改啟動參
16、數(shù)時需要驗證密碼修改啟動參數(shù)時需要驗證密碼進入所選擇的系統(tǒng)前需要驗證密碼進入所選擇的系統(tǒng)前需要驗證密碼在在grub.conf文件中設(shè)置密碼的方式文件中設(shè)置密碼的方式password 明文密碼串明文密碼串password -md5 加密密碼串加密密碼串密碼設(shè)置行的位置密碼設(shè)置行的位置全局部分(第一個全局部分(第一個“title”之前)之前)系統(tǒng)引導(dǎo)參數(shù)部分(每個系統(tǒng)引導(dǎo)參數(shù)部分(每個“title”部分之后)部分之后)default=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword -md5 $1$Qq15d$bEjy8VeMCrNc
17、IJCEESqyY/title Red Hat Enterprise Linux Server (2.6.18-8.el5) password 123456 root (hd0,0) grub.conf文件中的加密配置行示例文件中的加密配置行示例限制進入該系統(tǒng)限制進入該系統(tǒng)限制修改引導(dǎo)參數(shù)限制修改引導(dǎo)參數(shù)獲得獲得MD5加密格式的密碼字符串加密格式的密碼字符串grub-md5-crypt立即禁止普通用戶登錄立即禁止普通用戶登錄/etc/nologin設(shè)置啟用哪些設(shè)置啟用哪些tty終端終端/etc/inittab控制允許控制允許root用戶登錄的終端用戶登錄的終端/etc/securetty更改系
18、統(tǒng)登錄提示,隱藏系統(tǒng)版本信息更改系統(tǒng)登錄提示,隱藏系統(tǒng)版本信息/etc/issue、 /etc/rootlocalhost # vi /etc/security/access.conf- : ALL EXCEPT root : tty1- : root : 192.168.1.0/24 172.16.0.0/8pam_access認(rèn)證控制認(rèn)證控制配置文件:配置文件:/etc/pam.d/loginp account required pam_access.so配置文件:配置文件:/etc/security/access.confp 權(quán)限 用戶 來源禁止普通用戶從禁止普通用戶從tty1終端登錄終
19、端登錄禁止禁止root用戶從指定用戶從指定網(wǎng)段遠(yuǎn)程登錄網(wǎng)段遠(yuǎn)程登錄用戶帳號安全用戶帳號安全優(yōu)化優(yōu)化基本安全措施基本安全措施 開關(guān)機安全控制開關(guān)機安全控制 GRUB引導(dǎo)菜單加密引導(dǎo)菜單加密使用使用su切換用戶身份切換用戶身份終端及登錄控制終端及登錄控制使用使用sudo提升執(zhí)行權(quán)限提升執(zhí)行權(quán)限系統(tǒng)安全常規(guī)優(yōu)化系統(tǒng)安全常規(guī)優(yōu)化文件和文件系文件和文件系統(tǒng)安全優(yōu)化統(tǒng)安全優(yōu)化系統(tǒng)引導(dǎo)和登系統(tǒng)引導(dǎo)和登錄安全優(yōu)化錄安全優(yōu)化文件系統(tǒng)級安全控制文件系統(tǒng)級安全控制安全使用應(yīng)用程序和服務(wù)安全使用應(yīng)用程序和服務(wù)第一章第一章 系統(tǒng)安全常規(guī)優(yōu)化系統(tǒng)安全常規(guī)優(yōu)化 上機部分上機部分需求描述需求描述su 身份切換限制身份切換限制p 允許遠(yuǎn)程管理用戶radmin執(zhí)行“su -”命令切換到root用戶p禁止其他所有用戶使用su命令切換身份sudo 執(zhí)行權(quán)限切換限制執(zhí)行權(quán)限切換限制p zhangsan 負(fù)責(zé)公司員工的帳號管理,允許其通過sudo方式添加/刪除/用戶及修改用戶相關(guān)信息(包括密碼),但是不允許其修改root用戶的密碼等信息p 允許lisi通過sudo方式執(zhí)行/sbin、/usr/sbin目錄下所有命令,并且不需要密碼驗證p 任何用戶通過sudo執(zhí)行的每一條命令,以日志記錄的形式寫入到文件/var/log/sudo中實
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 銀行員工福利待遇制度
- 酒店餐飲服務(wù)規(guī)范制度
- 八年級英語Ontheradio課件
- 教師扎根鄉(xiāng)村奉獻青春演講稿(31篇)
- 《試模問題處理》課件
- 2025屆北京市第101中學(xué)高三第五次模擬考試數(shù)學(xué)試卷含解析
- 山西省靜樂縣第一中學(xué)2025屆高考英語考前最后一卷預(yù)測卷含解析
- 2025屆上海市6校高三下學(xué)期第五次調(diào)研考試語文試題含解析
- 2025屆安徽省六安市高三壓軸卷英語試卷含解析
- 10.1《勸學(xué)》課件 2024-2025學(xué)年統(tǒng)編版高中語文必修上冊-1
- 八年級英語上冊英語說課稿7篇
- 2020年新蘇教版四年級上冊科學(xué)期末試卷(含答案)
- 崗位職等職級及對應(yīng)薪酬表
- 計量基礎(chǔ)知識試卷三附有答案
- 銀行安全保衛(wèi)工作知識考試題庫(濃縮500題)
- 大學(xué)生創(chuàng)新創(chuàng)業(yè)理論及實踐PPT完整全套教學(xué)課件
- 吉利NPDS流程和PPAP介紹
- 男朋友無償贈與車輛協(xié)議書怎么寫
- 保密應(yīng)急處置工作方案
- 汽車認(rèn)識實訓(xùn)課件
- 承包學(xué)校食堂經(jīng)營方案
評論
0/150
提交評論