網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)Linux系統(tǒng)安全課件

1、Linux系統(tǒng)安全Linux系統(tǒng)安全Lynis安全漏洞掃描工具Linux系統(tǒng)口令安全網(wǎng)絡(luò)訪問權(quán)限的控制Linux文件系統(tǒng)安全Lynis安全漏洞掃描工具第一部分Lynis安全漏洞掃描工具Lynis：是一款Unix系統(tǒng)的安全審計(jì)以及加固工具，能夠進(jìn)行深層次的安全掃描，其目的是檢測(cè)潛在危險(xiǎn)并對(duì)系統(tǒng)加固提供建議。在紅帽系統(tǒng)上，我們可以利用yum install lynis命令安裝該軟件。并利用man lynis命令查看其命令參數(shù)。Lynis安全漏洞掃描工具利用lynis audit system -Q命令對(duì)系統(tǒng)進(jìn)行安全掃描，如下圖所示Lynis安全漏洞掃描工具一旦掃描完畢，會(huì)自動(dòng)生成審查報(bào)告，并保存在

2、/var/log/lynis.log中。審查報(bào)告含有該工具檢測(cè)到的潛在安全漏洞方面的警告信息以及給出的建議。利用grep命令可以查看/var/log/lynis.log日志文件中的警告信息以及建議，如下圖所示Linux系統(tǒng)口令安全第二部分安全口令規(guī)則 1.口令長(zhǎng)度至少為八個(gè)字符 口令越長(zhǎng)越好。若使用 MD5 口令，它應(yīng)該至少有15個(gè)字符。若使用 DES 口令，使用最長(zhǎng)長(zhǎng)度（8個(gè)字符）。 2. 混和大小寫字母 紅帽企業(yè) Linux 區(qū)分大小寫，因此混和大小寫會(huì)增加口令的強(qiáng)健程度。 3. 混和字母和數(shù)字 在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強(qiáng)口令的強(qiáng)健性。 4.包括字母和

3、數(shù)字以外的字符 &、$、和 之類的特殊字符可以極大地增強(qiáng)口令的強(qiáng)健性（若使用 DES 口令則不能使用此類字符）。 5.挑選一個(gè)可以記住的口令 如果你記不住你的口令，那么它再好也沒有用；使用簡(jiǎn)寫或其它記憶方法來幫助你記憶口令。修改口令老化時(shí)間通過編輯/etc/login.defs文件，可以修改密碼最大有效時(shí)間、密碼最短修改時(shí)間、密碼最短長(zhǎng)度、提醒用戶修改密碼時(shí)間等值。從而保證用戶定期更換密碼，起到安全防護(hù)作用。用口令保護(hù)GRUB-測(cè)試Linux系統(tǒng)沒有GRUB口令保護(hù)的安全隱患1. 在引導(dǎo)界面快速按任意鍵，可以進(jìn)入GRUB啟動(dòng)菜單界面2. 按E鍵，進(jìn)入“命令編輯菜單”界面選擇“Kernel /v

4、mlinuz ”選項(xiàng)。 3. 進(jìn)入命令界面，在“rhgb quiet”后面輸入 14. 輸入完成后，按回車返回界面，按B鍵，用單用戶模式啟動(dòng)系統(tǒng)。系統(tǒng)啟動(dòng)后，使用passwd命令來修改root用戶口令，再輸入命令“reboot”重啟系統(tǒng)。此時(shí)就完成了對(duì)root用戶密碼的修改，存在極大的安全隱患。用口令保護(hù)GRUB-測(cè)試Linux系統(tǒng)沒有GRUB口令保護(hù)的安全隱患為了防止GRUB安全漏洞，我們可以利用“/sbin/grub-md5-crypt”命令，設(shè)置GRUB口令，從而起到保護(hù)作用。用口令保護(hù)GRUB這樣如果啟動(dòng)時(shí)想進(jìn)入GRUB引導(dǎo)系統(tǒng)需要先輸入密碼。Linux用戶網(wǎng)絡(luò)訪問權(quán)限的控制第三部分禁

5、止根ShellVSFTP：在Linux系統(tǒng)中，我們經(jīng)常利用wu-ftpd或VSFTP（Very Secure FTP）軟件搭建文件服務(wù)器，但是其安全性也是其開發(fā)者Chris Evans考慮的首要問題之一。如右圖所示，黑客截獲了FTP服務(wù)器的賬戶和密碼，利用user1賬戶登錄到FTP服務(wù)器，對(duì)FTP服務(wù)器根目錄中的文件進(jìn)行操作。從而造成威脅。禁止根Shell禁止根shell和用戶本地登錄： 1. 修改配置文件/etc/passwd，禁止user1登錄2.再用user1登錄，會(huì)提示登錄錯(cuò)誤。禁止終端登錄Telnet和SSH: Telnet和SSH服務(wù)允許授權(quán)用戶進(jìn)入網(wǎng)絡(luò)中的其它 UNIX 機(jī)器并且

6、就像用戶在現(xiàn)場(chǎng)操作一樣。一旦進(jìn)入主機(jī)，用戶可以操作主機(jī)允許的任何事情。遠(yuǎn)程登錄服務(wù)原理圖 禁止終端登錄黑客經(jīng)常利用Telnet命令來探測(cè)某個(gè)端口是否開放。 telnet某目標(biāo)主機(jī)80端口狀態(tài)禁止終端登錄禁止遠(yuǎn)程終端登錄：修改/etc/securetty文件，將該文件清空，即可禁止黑客利用telnet命令通過遠(yuǎn)程終端登錄。再次登錄時(shí)，會(huì)顯示登錄失敗 禁止終端登錄禁止SSH：修改/etc/ssh/sshd.config文件，將PermitRootLogin 修改為no，禁止進(jìn)行根登錄。Linux文件系統(tǒng)安全第四部分文件系統(tǒng)安全NFS: NFS 網(wǎng)絡(luò)文件系統(tǒng)，是一種用于Linux系統(tǒng)之間進(jìn)行資源共享

7、的網(wǎng)絡(luò)訪問協(xié)議。Samba：Samba服務(wù)主要用于Linux和Windows系統(tǒng)之間進(jìn)行資源共享的網(wǎng)絡(luò)訪問協(xié)議。黑客有可能利用NFS和Samba服務(wù)漏洞來實(shí)現(xiàn)對(duì)Linux系統(tǒng)的遠(yuǎn)程攻擊。下面我們以NFS服務(wù)為例講一下如何加強(qiáng)Linux文件系統(tǒng)安全。NFS文件系統(tǒng)安全1. 修改/etc/exports文件合理設(shè)置安全權(quán)限。最好能使用nonuid,anongid以使MOUNT到NFS SERVER的CLIENT僅僅有最小的權(quán)限,最好不要使用root_squash. /mnt/mp3 68(ro,async,anonuid，anongid)具體的可選參數(shù)如下所示：rw：可讀寫的權(quán)限。ro：只讀的權(quán)限

8、。no_root_squash：登入到NFS主機(jī)的用戶如果是ROOT用戶，他就擁有ROOT的權(quán)限r(nóng)oot_squash：在登入NFS主機(jī)使用目錄的使用者如果是root時(shí)，那么這個(gè)使用者的權(quán)限將被壓縮成為匿名使用者，通常他的UID與GID都會(huì)變成nobody那個(gè)身份。all_squash：不管登陸NFS主機(jī)的用戶是什么都會(huì)被重新設(shè)定為nobody。anonuid：將登入NFS主機(jī)的用戶都設(shè)定成指定的userid,此ID必須存在于/etc/passwd中。anongid：同anonuid，但是變成groupID就是了。sync資料同步寫入存儲(chǔ)器中。async：資料會(huì)先暫時(shí)存放在內(nèi)存中，不會(huì)直接寫入

9、硬盤。insecure允許從這臺(tái)機(jī)器過來的非授權(quán)訪問。NFS文件系統(tǒng)安全2. 使用IPTABLE防火墻限制能夠連接到NFS SERVER的機(jī)器范圍iptables -A INPUT -i eth0 -p TCP -s /24 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p UDP -s /24 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p TCP -s /8 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p UDP -s /8 -dport 2049 -j ACCEPT3. 修改/etc/hosts.allow和/etc /hosts.deny達(dá)到限制CLIENT的目的/etc/hosts.allowportmap: / : allowportmap: 25 : allow/etc/hosts.denyportmap: ALL : deny4. 改變默認(rèn)的