国内10强IT公司-内部培训资料-Linux安全基础

国内10强IT公司-内部培训资料-Linux安全基础Agenda安全问题概述服务器安全的威胁如何配置安全的Linux系统安全性的测试入侵和事件响应常见的漏洞和攻击Q&A国内10强IT公司-内部培训资料-Linux安全基础

安全问题概述什么是计算机安全？安全标准安全控制

国内10强IT公司-内部培训资料-Linux安全基础什么是计算机安全？国际标准化委员会:

为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露美国国防部国家计算机安全中心:

安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。公安部:

计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害

国内10强IT公司-内部培训资料-Linux安全基础安全标准国内10强IT公司-内部培训资料-Linux安全基础安全标准保密性—保密信息必须只能够被一组预先限定的人员存取。对这类信息的未经授权的传输和使用应该被严格限制。例如，信息保密性会确保顾客的个人和财务信息不被未经授权的人员获取以用于窃取身份或信用卡贪污之类的不良企图。完整性—信息不应该被能够导致它不完整或不正确的方式改变。未经授权的用户不应该具备修改或破坏保密信息的能力。可用性—信息应该能够被授权的用户在任何需要的时候都可以被存取。可用性是信息能够在规定的时间范围内、按照规定的频率而能够被获取的保证。这通常是按照百分比来衡量的，并且被网络服务器提供者和他们的企业客户使用的服务级别协议（SLA）正式达成协议。

国内10强IT公司-内部培训资料-Linux安全基础安全控制物理控制

闭路监控照相机,动作或热像报警系统,警卫人员,照片证件,锁，生物测定技术控制

加密,智能卡,网络验证,访问存取控制列表（ACL）,文件完好性审查软件管理控制

培训和警惕性,灾难预备和恢复计划,人员招聘和分工策略,人员注册和记录

国内10强IT公司-内部培训资料-Linux安全基础服务器安全的威胁未用的服务和打开的端口未打补丁的服务管理疏忽带有固有不安全因素的服务国内10强IT公司-内部培训资料-Linux安全基础如何配置安全的Linux系统安全更新工作站安全服务器安全防火墙国内10强IT公司-内部培训资料-Linux安全基础安全更新手动安装1.通过安全网站发现有漏洞的软件及修正包的下载地址2.下载软件包并校验软件包的完整性3.安装软件包并测试自动安装使用RedhatNetWork,SuseZenworks

国内10强IT公司-内部培训资料-Linux安全基础工作站安全BIOS和引导装载程序的安全性

设置BIOS和Lilo口令防止对BIOS设置的改变防止系统被引导防止进入单用户模式防止进入非安全的操作系统

口令安全

设置有使用期限复杂的密码管理控制

禁止根存取权限，限制根存取权限

可用的网络服务

不安全服务rlogin,rsh,telnet等采用ssh替代ftp采用sftp替代不在公网上使用nfs,samba,如需要使用请放置在防火墙里面经安全强化的通信工具

ssh—一个安全远程控制台存取客户。scp—一个安全远程复制命令。sftp—一个允许不互动文件传输会话的伪ftp客户。国内10强IT公司-内部培训资料-Linux安全基础服务器安全使用TCPwrappers维护服务安全保护Portmap的安全性使用TCPwrappers保护使用iptables保护保护NFS的安全

不要使用no_root_squash

国内10强IT公司-内部培训资料-Linux安全基础服务器安全校验哪些端口正在监听

使用nmap之类的端口扫描器来检查哪些端口正在监听网络netstat–anplsof-i国内10强IT公司-内部培训资料-Linux安全基础防火墙防火墙工作方式NAT分组过滤器代理注意事项在处理添加的规则时，REJECT（拒绝）目标和DROP（放弃）目标这两种行动有所不同。REJECT会拒绝目标分组的进入，并给企图连接服务的用户返回一个connectionrefused的错误消息。DROP会放弃分组，而对用户不发出任何警告。管理员可酌情考虑如何使用这些目标。不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用REJECT目标。国内10强IT公司-内部培训资料-Linux安全基础防火墙iptables和连接跟踪NEW—请求新连接的分组，如HTTP请求。ESTABLISHED—属于当前连接的一部分的分组。RELATED—请求新连接的分组，但是它也是当前连接的一部分，如消极FTP连接，其连接端口是20，但是其传输端口却是1024以上的未使用端口。INVALID—不属于连接跟踪表内任何连接的分组国内10强IT公司-内部培训资料-Linux安全基础安全性的测试弱点测定

“由外向里看”（Outsidelookingin）“由里向外看”（insidelookingaround）评测目标的确定评估工具nmap端口Nessus弱点漏洞NiktoCGI审核物理安全性、人员安全审查国内10强IT公司-内部培训资料-Linux安全基础入侵和事件响应入侵检测(IDS)knowledge-basedbehavioralhost-basednetwork-based国内10强IT公司-内部培训资料-Linux安全基础