《linux操作系統(tǒng)》課件 第 9 章 系統(tǒng)安全

系統(tǒng)安全：防護(hù)與管理01系統(tǒng)更新與維護(hù)服務(wù)最小化與管理Rootkit檢測(cè)與防范文件系統(tǒng)完整性與監(jiān)控03050702口令安全與策略權(quán)限最小化與用戶管理惡意代碼檢測(cè)與防御敏感數(shù)據(jù)安全刪除040608系統(tǒng)安全實(shí)踐與任務(wù)09系統(tǒng)安全規(guī)則與擴(kuò)展10目錄CONTENTS01系統(tǒng)更新與維護(hù)01系統(tǒng)更新可修復(fù)已知漏洞，防止黑客利用。如Linux系統(tǒng)中發(fā)現(xiàn)的漏洞，更新后可防止攻擊。安全性增強(qiáng)02更新修復(fù)內(nèi)核和關(guān)鍵組件，減少崩潰。如Linux更新后對(duì)新型硬件支持更好，確保穩(wěn)定運(yùn)行。穩(wěn)定性提升03更新優(yōu)化內(nèi)存管理和文件系統(tǒng)性能，提升響應(yīng)速度。如Linux更新后降低資源消耗。性能優(yōu)化系統(tǒng)更新的重要性YUM是基于RedHat的系統(tǒng)包管理工具，用于軟件包的安裝、更新和卸載。如yumupdate可更新系統(tǒng)。YUM命令A(yù)PT命令DNF命令DNF是YUM的后繼者，用于CentOS8等系統(tǒng)，提供更快的更新速度和更好的性能。APT是基于Debian的系統(tǒng)包管理工具，功能與YUM類似。如aptupgrade用于更新軟件包。常用更新命令02口令安全與策略01強(qiáng)口令是防止未授權(quán)訪問的第一道防線。復(fù)雜的口令策略可提高破解難度。簡單口令容易被暴力破解工具猜解。定期更換口令和限制登錄嘗試次數(shù)可減少風(fēng)險(xiǎn)。02禁止使用常見單詞和短語，實(shí)施口令歷史策略，可有效抵御字典攻擊。03防止未授權(quán)訪問降低暴力破解風(fēng)險(xiǎn)應(yīng)對(duì)字典攻擊口令安全的重要性010203pwquality.conf文件該文件用于配置密碼復(fù)雜度，如最小長度、字符種類等。如設(shè)置minlen=10要求密碼至少10位。/etc/login.defs文件該文件用于配置口令過期策略，如PASS_MAX_DAYS設(shè)置口令過期天數(shù)。PAM模塊PAM模塊用于管理用戶認(rèn)證，可通過編輯/etc/pam.d/目錄下的文件定制認(rèn)證行為?？诹畈呗耘渲?3服務(wù)最小化與管理對(duì)正在運(yùn)行的服務(wù)配置安全性，如限制訪問權(quán)限、禁止默認(rèn)憑據(jù)登錄、定期更新服務(wù)等。定期審查系統(tǒng)上運(yùn)行的服務(wù)列表，確保只有必需的服務(wù)正在運(yùn)行，防止新安裝軟件自動(dòng)啟用不必要服務(wù)。識(shí)別并僅啟用系統(tǒng)正常運(yùn)行所需的服務(wù)，禁用或刪除不必要的服務(wù)，減少攻擊面。僅啟用必需服務(wù)定期審查服務(wù)列表配置服務(wù)管理服務(wù)最小化原則用于管理系統(tǒng)服務(wù)，如systemctlstart<service_name>啟動(dòng)服務(wù)，systemctlstop<service_name>停止服務(wù)。01使用systemctlstatus<service_name>查看服務(wù)狀態(tài)，systemctlis-enabled<service_name>查看服務(wù)是否開機(jī)自啟。02服務(wù)配置文件通常位于/etc/systemd/system/目錄，包含服務(wù)的啟動(dòng)類型、執(zhí)行命令等配置。03服務(wù)配置文件服務(wù)狀態(tài)查看systemctl命令常用服務(wù)管理命令04權(quán)限最小化與用戶管理用戶和組管理通過用戶和組管理權(quán)限，確保每個(gè)用戶只擁有完成其工作的最小權(quán)限。文件和目錄權(quán)限正確設(shè)置文件和目錄的讀、寫、執(zhí)行權(quán)限，限制對(duì)重要系統(tǒng)文件的訪問。特權(quán)分離區(qū)分普通用戶和管理用戶，確保只有在需要進(jìn)行系統(tǒng)管理任務(wù)時(shí)才使用root權(quán)限。權(quán)限最小化原則sudo工具允許普通用戶臨時(shí)提升權(quán)限以執(zhí)行特定任務(wù)，減少安全風(fēng)險(xiǎn)。通過visudo編輯/etc/sudoers文件配置sudo權(quán)限。將用戶添加到適當(dāng)?shù)慕M，并根據(jù)需要分配權(quán)限，控制用戶對(duì)系統(tǒng)資源的訪問。合理分配組權(quán)限sudoers文件定義了哪些用戶或用戶組有權(quán)利使用sudo執(zhí)行命令，以及可以執(zhí)行哪些命令。sudoers文件配置用戶特權(quán)管理工具05文件系統(tǒng)完整性與監(jiān)控完整性定義文件系統(tǒng)完整性指文件在存儲(chǔ)和傳輸過程中保持原始狀態(tài)和內(nèi)容的一致性和完整性。監(jiān)控重要性監(jiān)控文件系統(tǒng)完整性可及時(shí)發(fā)現(xiàn)惡意篡改，保障數(shù)據(jù)可靠性和安全性。監(jiān)控內(nèi)容監(jiān)控內(nèi)容包括文件內(nèi)容、元數(shù)據(jù)（如修改日期、文件大小和權(quán)限）等。文件系統(tǒng)完整性概述01AIDE工具AIDE是一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，可實(shí)時(shí)監(jiān)控文件系統(tǒng)的完整性，并在檢測(cè)到異常變更時(shí)發(fā)出告警。02Tripwire工具Tripwire是一個(gè)開源的文件完整性校驗(yàn)工具，通過定期掃描文件并計(jì)算校驗(yàn)和來確保文件的完整性。03配置監(jiān)控規(guī)則配置監(jiān)控工具時(shí)，需設(shè)置監(jiān)控的關(guān)鍵文件和目錄、告警規(guī)則以及告警接收方式。常用監(jiān)控工具06敏感數(shù)據(jù)安全刪除防止數(shù)據(jù)恢復(fù)敏感數(shù)據(jù)安全刪除確保數(shù)據(jù)被永久移除，防止數(shù)據(jù)恢復(fù)，避免數(shù)據(jù)泄露。保護(hù)隱私對(duì)含有個(gè)人信息、財(cái)務(wù)數(shù)據(jù)和商業(yè)秘密等敏感內(nèi)容的數(shù)據(jù)進(jìn)行安全刪除，保護(hù)隱私。法規(guī)合規(guī)滿足相關(guān)法律法規(guī)對(duì)數(shù)據(jù)保護(hù)的要求，確保企業(yè)或個(gè)人的合規(guī)性。敏感數(shù)據(jù)刪除的重要性shred工具通過覆蓋文件內(nèi)容來防止數(shù)據(jù)恢復(fù)，可指定覆蓋次數(shù)和刪除文件。shred工具dd命令可用于低級(jí)數(shù)據(jù)處理，也可用于數(shù)據(jù)擦除，通過寫入特定數(shù)據(jù)覆蓋磁盤。dd命令wipe是另一種用于擦除文件和目錄的工具，提供多種擦除模式。wipe工具常用刪除工具07Rootkit檢測(cè)與防范01Rootkit定義Rootkit危害Rootkit分類Rootkit是一種特殊的惡意軟件，通過替換系統(tǒng)文件或修改內(nèi)核來隱藏自身，獲取root權(quán)限。Rootkit可隱藏進(jìn)程、服務(wù)和網(wǎng)絡(luò)連接，使攻擊者長期潛伏在系統(tǒng)中，竊取用戶信息。Rootkit分為文件級(jí)別和內(nèi)核級(jí)別，文件級(jí)別通過修改系統(tǒng)文件隱藏，內(nèi)核級(jí)別通過修改內(nèi)核隱藏。0203Rootkit概述chkrootkit工具chkrootkit是一款專門用于Linux系統(tǒng)的Rootkit檢測(cè)工具，可檢查可疑進(jìn)程和已知Rootkit文件。rkhunter工具rkhunter通過檢查系統(tǒng)文件、進(jìn)程、網(wǎng)絡(luò)連接等方面來尋找異常，發(fā)現(xiàn)Rootkit的存在。檢測(cè)命令使用chkrootkit命令進(jìn)行檢測(cè)，可指定參數(shù)如-q安靜模式，-x專家模式等。常用檢測(cè)工具08惡意代碼檢測(cè)與防御惡意代碼包括病毒、木馬、勒索軟件等，對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)造成重大損害。惡意代碼定義惡意代碼檢測(cè)可識(shí)別和防御惡意軟件，保護(hù)系統(tǒng)安全。檢測(cè)重要性惡意代碼檢測(cè)分為基于簽名的檢測(cè)和啟發(fā)式（行為）檢測(cè)，兩者結(jié)合提高準(zhǔn)確性。檢測(cè)分類惡意代碼檢測(cè)概述ClamAV工具ClamAV是一個(gè)開源的防病毒引擎，用于檢測(cè)木馬、病毒、惡意軟件等。clamscan命令使用clamscan命令掃描文件或目錄，可指定參數(shù)如-r遞歸掃描，--infected僅顯示感染文件。檢測(cè)策略定期更新病毒數(shù)據(jù)庫，定期掃描系統(tǒng)，及時(shí)發(fā)現(xiàn)并處理惡意代碼。常用檢測(cè)工具09系統(tǒng)安全實(shí)踐與任務(wù)更新步驟查看系統(tǒng)類型和版本，檢查可用更新，安裝更新，重啟系統(tǒng)，驗(yàn)證更新。更新工具使用YUM、APT、DNF等工具進(jìn)行系統(tǒng)更新。注意事項(xiàng)更新前備份重要數(shù)據(jù)，檢查軟件依賴關(guān)系，確保更新后系統(tǒng)穩(wěn)定運(yùn)行。系統(tǒng)更新實(shí)踐01配置口令策略用戶口令管理防范暴力破解配置PAM模塊和/etc/login.defs文件，設(shè)置密碼復(fù)雜度和過期策略。使用passwd命令更改用戶口令，使用chage命令查看和修改口令過期信息。編輯PAM配置文件，設(shè)置失敗嘗試次數(shù)限制，防止暴力破解攻擊。0203口令安全實(shí)踐查看運(yùn)行服務(wù)使用systemctllist-unit-files--type=service查看系統(tǒng)服務(wù)狀態(tài)。關(guān)閉不必要的服務(wù)使用systemctldisable禁用不必要的服務(wù)，使用systemctlstop停止正在運(yùn)行的服務(wù)。服務(wù)用戶運(yùn)行使用專門的低權(quán)限用戶賬戶運(yùn)行系統(tǒng)服務(wù)，而不是root賬戶。服務(wù)最小化實(shí)踐了解系統(tǒng)中每個(gè)文件和目錄的用途，以及哪些用戶和組需要訪問權(quán)限。確定文件權(quán)限需求使用chmod命令修改文件和目錄的權(quán)限，限制不必要的訪問。修改文件目錄權(quán)限使用id和groups命令查看用戶和組的權(quán)限。查看用戶和組權(quán)限權(quán)限最小化實(shí)踐配置sudo權(quán)限使用visudo編輯/etc/sudoers文件，為用戶或組授予權(quán)限。測(cè)試sudo權(quán)限切換到授權(quán)用戶，使用sudo-l命令測(cè)試sudo權(quán)限是否生效。注意事項(xiàng)小心謹(jǐn)慎配置sudo權(quán)限，遵循最小特權(quán)原則，避免給予不必要的權(quán)限。用戶特權(quán)管理實(shí)踐安裝監(jiān)控工具安裝AIDE等文件完整性監(jiān)控工具。初始化完整性數(shù)據(jù)庫使用aide--init初始化完整性數(shù)據(jù)庫。配置監(jiān)控規(guī)則編輯配置文件，指定監(jiān)控的文件和目錄。文件系統(tǒng)完整性實(shí)踐安裝刪除工具安裝shred等安全刪除工具。擦除磁盤分區(qū)使用shred命令擦除整個(gè)磁盤分區(qū)，確保數(shù)據(jù)徹底刪除。刪除敏感文件使用shred命令覆蓋并刪除敏感文件，確保數(shù)據(jù)無法恢復(fù)。敏感數(shù)據(jù)安全刪除實(shí)踐安裝chkrootkit等Rootkit檢測(cè)工具。安裝檢測(cè)工具使用chkrootkit命令進(jìn)行檢測(cè)，查看檢測(cè)結(jié)果。執(zhí)行檢測(cè)命令如果檢測(cè)到Rootkit，采取相應(yīng)措施進(jìn)行清除。處理檢測(cè)結(jié)果Rootkit檢測(cè)實(shí)踐010203安裝檢測(cè)工具安裝ClamAV等惡意代碼檢測(cè)工具。更新病毒數(shù)據(jù)庫使用freshclam命令更新病毒數(shù)據(jù)庫。掃描文件或目錄使用clamscan命令掃描文件或目錄，查看掃描結(jié)果。惡意代碼檢測(cè)實(shí)踐010系統(tǒng)安全規(guī)則與擴(kuò)展明確責(zé)任分工確立網(wǎng)絡(luò)安全管理的責(zé)任人和工作部門，確保每個(gè)角色都明確自己的職責(zé)。根據(jù)組織的業(yè)務(wù)需求和安全目標(biāo)，制定網(wǎng)絡(luò)安全規(guī)劃和工作方案。