系统安全常规优化PPT课件

1、BENET3.0第二学期课程,Linux网关及安全应用,2,诺顿报告称网络犯罪每年造成3880亿美元损失,来源：搜狐IT 2011年09月15日 9月15日消息，赛门铁克旗下诺顿今日发布了诺顿网络犯罪研究报告。报告首次指出，全球因网络犯罪造成每年1140亿美元的经济损失。其中中国去年因网络犯罪造成250亿美元的损失。 据授受调查的受害者表示，因处理网络犯罪问题而浪费的时间价值2740亿美元。将两项相加后，网络犯罪让全球每年损失3880亿美元，远高于其它形势犯罪交易金额。诺顿的研究报告显示，中国地区的网络犯罪相较于全球更加恶劣，去年全球4.31亿成人遭受过网络犯罪的侵害，其中有差不多一半的受害者

2、在中国，受害人数达到1.96亿人,3,网络犯罪目的朝多样化发展2011年09月14日10:50,网络犯罪形式多样，其中分布式拒绝服务攻击(DDoS)一直被网络罪犯用来进行敲诈和勒索。但是最近，DDoS攻击越来越多的被用做一种抗议形式，用来抗议政府以及大型企业的行为。 近日，知名信息安全厂商卡巴斯基发布了2011年第二季度DDoS攻击报告，报告显示2011年第二季度发生了多起DDoS攻击，其中的攻击目的复杂多样，而且很多攻击意义重大，足可以被载入网络犯罪编年史。 其中最为活跃的黑客团体为LulzSec和Anonymous。他们组织了针对多个国家政府网站的DDoS攻击，其中包括美国、英国、西班牙、

3、土耳其、伊朗等。通过攻击，黑客使得这些网站暂时无法访问，例如(美国中央情报局)和 .uk(英国重大组织犯罪调查局(SOCA)。 除此之外，企业中索尼遭受了严重的DDoS攻击。今年3月底，索尼曾起诉多位黑客涉嫌破解其PlayStation 3 平台固件。为了抗议索尼对这些黑客进行法律起诉，Anonymous黑客组织发动了大规模的DDoS攻击，导致该公司的PlayS网站一度无法访问。但这只是冰山一角，索尼公司称，DDoS攻击过程中，索尼的PSN服务服务器被攻破，造成7700万用户数据被盗,4,2011年网络安全形势更复杂2011年03月14日08:09来源：北

4、京晨报,国家互联网应急中心近日发布的2010年互联网网络安全态势报告指出，随着我国互联网新技术、新应用的快速发展，2011年的网络安全形势将更加复杂。该报告认为，2011年，中国网络安全形势可能呈现如下特点： 网络安全形势日益严峻，针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击将逐渐增多。 黑客地下产业将更加专注于网络钓鱼、攻击勒索、网络刷票、个人隐私窃取等能够直接获利或易于获利的攻击方式；大型商业网站将成为热点目标。 网络安全技术对抗将不断升级，恶意代码的变种数量将激增，“免杀”能力将进一步增强；窃密木马将不断演变升级，木马的

5、投放方式将更加隐藏和具有欺骗性，木马抗查杀将更加强大；网络攻击的规模将进一步扩大，对公共互联网安全运行带来严重影响；为躲避处置和打击，网络攻击的跨境特点将更加突出。 随着智能终端的迅速普及，移动互联网的安全问题凸显，手机恶意程序数量将急剧增加，其功能将集中在恶意扣费、弹出广告、垃圾短信和窃听窃取方面，手机用户的经济利益和个人隐私安全面临挑战,5,2011年网络安全形势更复杂 网络安全工程师成香饽饽2011-06-21 10:43:00来源: 浙江在线,3Q”大战、网络银行卡诈骗、支付宝转账诈骗、窃取泄漏网络用户信息近年来，网络信息安全越来越受到挑战。国家互联网应急中心3月发布的2010年互联网

6、网络安全态势报告指出，随着我国互联网新技术、新应用的快速发展，2011年的网络安全形势更加复杂。 互联网的发展，种种网络病毒与网络犯罪也随之而来，为了减少和防止该类犯罪给企业和个人带来的隐患，网络安全工程师这一神秘职业逐渐为人们所熟悉。社会对信息安全服务的需求很大，军队、国防、银行、税务、证券、机关、电子商务都急需大批网络安全人才，网络安全工程师已跻身IT新贵之列。在我国，根据国家信息化建设的规模保守估计，2011年国内网络安全专业人才仍存在近百万的巨大缺口，高级的战略人才和专业技术人才尤其匮乏。 目前，中国网络安全人才正处在一个起步过程，网络上充斥着大量黑客培训，多属于技巧训练，和真正的网络

7、安全人才培养有本质区别，是完全不同的概念。如果这种局面不进一步改变，网络安全人才的空档只会继续拉大，直接导致国家经济损失加大,6,课程目标,针对Linux服务器操作系统进行常规安全加固 通过部署防火墙、代理等应用构建Linux网关系统 检测服务器的安全漏洞，实施远程访问控制 监测服务器运行性能、局域网主机的网络流量,7,课程结构,BENET3.0第二学期课程,第一章 系统安全常规优化,理论部分,9,技能展示,会加强用户帐号安全的常见措施 会加强文件系统安全的常见措施 会加强系统引导和登录安全的常见措施,10,本章结构,用户帐号安全优化,基本安全措施,开关机安全控制,GRUB引导菜单加密,使用s

8、u切换用户身份,终端及登录控制,使用sudo提升执行权限,系统安全常规优化,文件和文件系统安全优化,系统引导和登录安全优化,文件系统级安全控制,安全使用应用程序和服务,11,用户帐号安全优化,帐号安全基本措施 删除不使用的帐号、禁用暂时不使用的帐号 检查程序用户的登录Shell是否异常 强制用户定期修改密码（设置密码有效期） /etc/login.defs文件、chage命令 增强普通用户的密码强度 /etc/pam.d/system-auth文件中的minlen参数 减少记录命令历史的条数 环境变量 HISTSIZE 设置在命令行界面中超时自动注销 环境变量 TMOUT,12,Chage 举

9、例,m 密码可更改最小天数。为零表任何时候都可更改密码。 -M 密码保持有效的最大天数。 -W 用户密码到期前，提前收到警告信息的天数。 -E 帐号到期的日期。过了这天，此帐号将不可用。 -d 上一次更改的日期 chage M 30 chen Chen密码最大有效期为30天 chage d 0 chen 要求下次登录时必须修改密码 设置环境变量 TMOUT vim /etc/profile export TMOUT=600,13,boot 100M Swap 2倍内存大小 / 余下,14,使用su切换用户身份,su命令 用途：Substitute User，切换为新的替换用户身份 格式：su

10、- 用户名,zhangsanlocalhost $ su - 口令： rootlocalhost # whoami root,未指定用户时，缺省切换为root,未使用“-”选项时，仍沿用切换前的用户环境,15,使用su切换用户身份,应用示例： 仅允许zhangsan用户使用su命令切换身份,rootlocalhost # vi /etc/pam.d/su auth required pam_wheel.so use_uid rootlocalhost # gpasswd -a zhangsan wheel,去掉此行行首的“,16,使用sudo提升执行权限,sudo机制 用途：以可替换的其他用户

11、身份执行命令，若未指定目标用户，默认将视为root用户 格式：sudo -u 用户名 命令操作,rootlocalhost # sudo -u zhangsan /bin/touch /tmp/sudotest.file rootlocalhost # ls -l /tmp/sudotest.file -rw-r-r- 1 zhangsan zhangsan 0 05-26 09:09 /tmp/sudotest.file,以 zhangsan 用户身份创建的文件属性,17,sudo思考,rootlocalhost #su chen rootlocalhost $ sudo -u root /

12、bin/touch /tmp/suest.file 出现 chen is not in the sudoers file. 怎么办,18,解决办法,Visudo vi /etc/sudoers root ALL=(ALL) ALL 加入 chen ALL=(ALL) ALL,19,使用sudo提升执行权限,配置文件：/etc/sudoers 授权哪些用户可以通过sudo方式执行哪些命令 以下2种方法都可以编辑sudoers文件 Visudo vi /etc/sudoers,20,使用sudo提升执行权限,在sudoers文件中的基本配置格式 用户 主机名列表=命令程序列表,rootlocalh

13、ost # grep root /etc/sudoers root ALL=(ALL) ALL,被授权的用户,在哪些主机中使用,允许执行哪些命令,针对root用户的sudo配置特例,允许以哪些用户的身份执行命令，缺省为root,21,使用sudo提升执行权限,应用示例1： 需求描述： 允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令 授权wheel组的用户不需验证密码即可执行所有命令 为sudo机制增加日志功能,rootlocalhost # visudo Defaults logfile=/var/log/sudo mi

14、key localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim %wheel ALL=(ALL) NOPASSWD: ALL rootlocalhost # vi /etc/syslog.conf local2.debug/var/log/sudo,22,使用sudo提升执行权限,应用示例1（续）： 测试sudo配置的效果 查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 重新校验密码（-v,23,使用sudo提升执行权限,为sudo配置项定义别名 关键字：Us

15、er_Alias、Host_Alias、Cmnd_Alias 在sudo配置行中，可以调用已经定义的别名,rootlocalhost # visudo User_Alias OPERATORS=jerry,tom,tsengyia Host_Alias MAILSERVERS=mail,smtp,pop Cmnd_Alias SOFTWARE=/bin/rpm,/usr/bin/yum OPERATORS MAILSERVERS=SOFTWARE,24,使用sudo提升执行权限,应用示例2： 设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号 推荐步骤： 创建管理

16、组帐号“managers” 将管理员帐号（如zhangsan、lisi）加入到managers组 配置sudo文件，针对managers组放开对useradd、userdel等用户管理命令的权限 使用zhangsan帐号登录后，验证是否可以添加、删除用户,25,小结,请思考： 如何使系统用户定期（如3个月）修改密码？ 使用su命令时，是否带“-”选项有何区别 ？ sudo配置记录的基本格式是什么？ 如何通过sudo调用被授权执行的命令,26,文件系统级安全控制,合理规划系统分区 /boot、/home、/var、/opt 等建议单独分区 文件系统（分区）的挂载选项 mount命令的 -o no

17、suid、-o noexec 选项 锁定文件的i节点 chattr命令（+i 锁定、-i 解锁） lsattr命令（查看锁定情况,27,安全使用应用程序和服务,关闭不需要的系统服务 使用ntsysv、chkconfig管理工具 禁止普通用户执行init.d目录中的脚本 限制“other”组的权限 禁止普通用户执行控制台程序 consolehelper控制台助手 配置目录：/etc/security/console.apps,rootlocalhost # cd /etc/security/console.apps/ rootlocalhost # tar zcpvf conpw.tgz pow

18、eroff halt reboot -remove,转移对应的配置文件,28,安全使用应用程序和服务,去除程序文件中非必需的set位权限 set uid、set gid的用途？有何隐患？ 如何找出设置了set位权限的文件,29,安全使用应用程序和服务,应用示例： 监控系统中新增了哪些使用set位权限的文件 推荐步骤： 建立系统正常状态下的suid/sgid文件列表 查找当前系统中所有的suid/sgid文件列表 比较前后结果，输出新增加的内容 编写脚本文件实现比对功能 可以结合cron设置计划任务定期进行检查,!/bin/bash OLD_LIST=/etc/sfilelist for i i

19、n find / -type f -a -perm +6000 do grep -F $i $OLD_LIST /dev/null $? -ne 0 & ls -lh $i done,查找现有的suid/sgid文件列表,对比原有的suid/sgid文件列表,30,开关机安全控制,服务器的物理安全控制 调整BIOS引导设置 修改启动顺序 设置管理密码 禁用Ctrl+Alt+Del重启热键 修改/etc/inittab文件，并执行“init q”重载配置,31,GRUB引导菜单加密,加密引导菜单的作用 修改启动参数时需要验证密码 进入所选择的系统前需要验证密码 在grub.conf文件中设置密码

20、的方式 password 明文密码串 password -md5 加密密码串 密码设置行的位置 全局部分（第一个“title”之前） 系统引导参数部分（每个“title”部分之后,32,default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz password -md5 $1$Qq15d$bEjy8VeMCrNcIJCEESqyY/ title Red Hat Enterprise Linux Server (2.6.18-8.el5) password 123456 root (hd0,0),GRUB引导菜单加密,grub.conf

21、文件中的加密配置行示例,限制进入该系统,限制修改引导参数,获得MD5加密格式的密码字符串 grub-md5-crypt,33,本地终端及登录控制,立即禁止普通用户登录 /etc/nologin 设置启用哪些tty终端 /etc/inittab 控制允许root用户登录的终端 /etc/securetty 更改系统登录提示，隐藏系统版本信息 /etc/issue、 /etc/,34,rootlocalhost # vi /etc/security/access.conf - : ALL EXCEPT root : tty1 - : root : /24

22、/16,本地终端及登录控制,pam_access认证控制（限制本地登录） 1. 启用认证模块，修改如下文件： /etc/pam.d/login (本地登录) /etc/pam.d/sshd (远程登录) 2. 添加认证配置，修改如下文件： /etc/security/access.conf,配置格式： 权限:用户列表:登录地点,rootlocalhost # vi /etc/pam.d/login account required pam_access.so,35,本章总结,用户帐号安全优化,基本安全措施,开关机安全控制,GRUB引导菜单加密,使用su切换用户身份,终端及登录控制,使用sudo提升执行权限,系统安全常规优化,文件和文件系统安全优化,系统引导和登录安全优化,文件系统级安全控制,安全使用应用程序和服务,BENET3.0第二学期课程,第一章 系统安全常规优化,上机部分,37,实验案例1：使用su/sudo控制用户权限,需求描述 su 身份切换限制 允许远程管理用户radmin执行“su -”命令切换到root用户 禁止其他所有用户使用su命令切换身份 sudo 执行权限切换限制 zhangsan 负责公司员工的帐号管理，允许其通过sudo方式添加/删除/用户及修改用户相关信息（包括密码），但是不允许其修改root用户的密码等