Linux操作系统基础与应用（RHEL8.1）（第2版）课件 项目11 Linux安全设置及日志管理

项目11

Linux安全设置及日志管理【项目导入】Linux系统安全机制是指通过一系列的安全措施，保护Linux系统的安全性和可靠性，防止系统受到恶意攻击和破坏。Linux系统的安全机制主要包括访问控制、密码策略、文件系统安全、防火墙和网络安全等方面。本项目首先介绍了Linux中的常见安全设置，包括账号、登录和网络安全设置，然后介绍了Linux中的日志管理相关知识，包括日志的管理和维护等。任务11.1Linux安全设置

工作任务通过阅读文献、查阅资料了解与认识Linux安全设置。随着Linux的日益普及，越来越多的用户开始使用不同版本的Linux系统。Linux作为一个开源系统，其安全性也受到越来越多的挑战，用户在使用Linux系统时也会遇到越来越多的安全性问题。学习Linux安全设置将有助于创建一个更安全的Linux系统环境。本节将通过几个方面简要介绍Linux系统中常见的安全设置。（一）

账号安全设置Linux系统是非常安全的，但是，也必须采取措施防止未经授权的用户访问或篡改数据。在Linux系统中，人们可以实现安全的用户设置来防止用户未经授权进行注册，账号被盗等行为，并通过采取适当的安全策略，有效地减少系统遭受攻击的风险。1．修改root账号权限root是系统中的超级用户，具有系统中所有的权限，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等。可以通过修改root的UID号，将普通用户的UID改为0，使root变为普通用户，普通用户成为root；也可以修改root账号的名称为普通用户名，这样，即使root遭到破解，也没有权限进行任何操作。【例11-1】修改root账户的登录用户名。[root@localhost～]#vi/etc/passwd按I键进入编辑状态。修改第1行第1个root为新的用户名。按Esc键退出编辑状态，并输入:x保存并退出。[root@localhost～]#vi/etc/shadow按I键进入编辑状态。修改第1行第1个root为新的用户名。按Esc键退出编辑状态，并输入:x!强制保存并退出。2．删除不必要的用户和组在系统中，账户越多，系统就越不安全，越容易受到攻击。管理用户的root账号所属的组拥有系统运营文件的访问权限，如果该组疏忽管理，一般用户就有可能会以管理员的权限非法访问系统，进行恶意修改或变更等操作，因此该组也保留尽可能少的账号。【例11-2】删除用户username和组groupname。[root@localhost～]#userdelusername[root@localhost～]#groupdelgroupname3．账号密码安全设置如果需要控制整个系统，需要获得管理员或超级管理员的密码。弱密码易于破解，但强密码难以破解，即使能破解也需要花费大量时间，因此系统管理账户必须使用强密码。修改用户密码可使用passwd命令，passwd命令语法如下。[root@localhost～]#passwd--help用法：passwd[选项...]<账号名称>选项参数如下：-k,--keep-tokens 保持身份验证令牌不过期。-d,--delete 删除已命名账号的密码（只有根用户才能进行此操作）。-l,--lock lockthepasswordforthenamedaccount(rootonly)-u,--unlock unlockthepasswordforthenamedaccount(rootonly)-e,--expire expirethepasswordforthenamedaccount(rootonly)-f,--force 强制执行操作。-x,--maximum=DAYS 密码的最长有效时限（只有根用户才能进行此操作）-n,--minimum=DAYS 密码的最短有效时限（只有根用户才能进行此操作）-w,--warning=DAYS 在密码过期前多少天开始提醒用户（只有根用户才能进行此操作）。-i,--inactive=DAYS 在密码过期后经过多少天该账号会被禁用（只有根用户才能进行此操作）。-S,--status 报告已命名账号的密码状态（只有根用户能进行此操作）。--stdin 从标准输入读取令牌（只有根用户才能进行此操作）。

Helpoptions:-?,--help Showthishelpmessage--usage Displaybriefusagemessage【例11-3】清除用户密码。[root@localhost～]#passwd-dlinuxtest//清除linuxtest用户密码[root@localhost～]#passwd-Slinuxtest//查询linuxtest用户密码状态（二）登录安全设置1．禁用root账号登录Linux最高权限用户root，默认可以直接登录sshd。出于安全考虑，以及日后服务器的多用户管理，应该在一开始就对服务器的root用户进行禁用，仅使用sudo命令来执行某些root才能执行的命令。【例11-4】禁用root账号登录。访问远程服务器或VPS的最常用方法是通过SSH并阻止其下的root用户登录，需要编辑/etc/ssh/sshd_config文件。（1）在终端执行：[root@localhost～]#vi/etc/ssh/sshd_config（2）

查找

#PermitRootLoginyes，将前面的

#

去掉，短尾yes改为no，并保存文件，即将PermitRootLoginyes修改为PermitRootLoginno。（3）修改完毕，重启sshd服务：[root@localhost～]#servicesshdrestart2．超时自动注销账号在使用SSH登录Linux服务器的时候，有时需要离开电脑，如果在此期间有其他人使用电脑对Linux服务器进行一些错误操作，可能会带来一定损失。如果设置一个自动超时注销，相对来说就安全得多了，自动超时注销即在一定时间内没有做任何操作就自动注销。以root用户登录系统，输入vi/etc/profile命令，编辑profile文件。查找TMOUT，若没有，则可以在文件最后添加如下语句：TMOUT=300exportTMOUT其中，300表示自动注销的时间为300秒。编辑好文件后，保存，退出，重新登录，设置即生效。3．禁用重启热键在Linux里，出于对安全性的考虑，允许任何人使用组合键Ctrl+Alt+Del来重启系统。但是在生产环境中，应该停用组合键Ctrl+Alt+Del重启系统的功能。查看文件：[root@localhost～]#vi/etc/init/control-alt-delete.conf（三）

网络安全设置1．取消不必要的进程和服务（1）进程的管理。ps命令能够给出当前系统中进程的快照。【例11-5】查看当前系统进程数目。[root@localhost～]#psaux|wc-l2．禁止系统响应任何从外部/内部来的Ping请求修改文件/proc/sys/net/ipv4/icmp_echo_ignore_all的值。默认情况下icmp_echo_ignore_all的值为0，表示响应Ping操作。切换到root，输入命令：[root@localhost～]#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all这样就将/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0临时改为了1，从而实现禁止ICMP报文的所有请求，达到禁止Ping的效果。网络中的其他主机Ping该主机时会显示“请求超时”，但该服务器此时是可以Ping其他主机的。3．防火墙防火墙（FireWall）指的是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使互联网（Internet）与内联网（Intranet）之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。（1）iptables的工作原理。iptables可以将规则组成一个列表，实现绝对详细的访问控制功能。iptables是定义规则的工具，本身并不算是防火墙。它定义的规则，可以让在内核空间中的netfilter来读取并实现防火墙功能。而放入内核的地方必须是特定的位置，必须是TCP/IP的协议栈经过的地方。而这个TCP/IP协议栈必须经过的，能够实现读取规则的地方叫作netfilter（网络过滤器）。（2）iptables的工作机制。由于数据包尚未进行路由决策，还不知道数据要走向哪里，所以在进出口是没办法实现数据过滤的。基于以上原因，要在内核空间里设置转发的关卡，进入用户空间的关卡以及从用户空间出去的关卡。因为在做NAT和DNAT的时候，目标地址转换必须在路由之前进行，所以必须在外网和内网的接口处设置关卡。【例11-8】iptables命令使用实例。开放指定的端口：[root@localhost～]#iptables-AINPUT-ptcp--dport22-jACCEPT#允许访问22端口[root@localhost～]#iptables-AINPUT-ptcp--dport80-jACCEPT#允许访问80端口[root@localhost～]#iptables-AINPUT-ptcp--dport21-jACCEPT#允许访问21端口查看已添加的iptables规则：[root@localhost～]#iptables-L-n–vChainINPUT(policyACCEPT20017packets,49Mbytes)pktsbytestargetprotoptinoutsourcedestination…00ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:2200ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:8000ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:21…任务11.2Linux日志管理

工作任务通过阅读文献、查阅资料了解与认识Linux日志管理。日志文件包含有关内核、服务和在其上运行的应用程序等的系统信息，日志中的信息有助于解决问题或监视系统功能。Linux系统拥有非常灵活和强大的日志功能，可以保存几乎所有的操作记录，并可以从中检索出需要的信息。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他提示信息，这些信息对管理员了解系统的运行状态是非常有用的，所以应该把它们写到日志文件中去，这样当有错误发生时，可以通过查阅特定的日志文件来看出发生了什么。Linux中的日志文件以明文方式记录，不需要特殊的工具来解释，任何文本阅读器都可以显示日志文件。RHEL8系统中有以下两个服务来处理系统的日志信息:一个是systemd-journald守护进程，一个是Rsyslog服务。systemd-journald守护进程从各种各样的来源收集信息并且将信息转发到Rsyslog做进一步的处理。systemd-journald守护进程从以下来源收集信息，内核Kernel、启动过程的早期阶段、启动运行时的标准输出和错误输出以及Syslog日志。（二）日志查看1．动态跟踪日志文件：tail命令Linux中tail命令是依照要求将指定的文件的最后部分输出到标准设备，通常是终端，通俗地讲，就是把某个档案文件的最后几行显示到终端上，假设该档案有更新，tail会自己主动刷新，确保你看到最新的档案内容。下面是tail监控日志的例子，输入命令：[root@localhost～]#tailf/var/log/secure2、journalctl命令查看日志journalctl是命令行工具，可以和日志进行交互。使用journalctl命令可以读取日志，实时监控日志，根据时间、服务、严重性和其他参数过滤日志。journalctl是一个强大的命令行工具，可以用来读取、过滤和监控日志。它可以访问系统日志，以及由systemd日志服务收集和存储的其他日志。默认情况下，系统日志被存储在/run/log/journal目录下，而journalctl命令可以访问这些日志。您可以使用journalctl命令来查看指定服务的日志、按时间范围过滤日志、按严重性级别过滤日志等。如使用journalctl命令显示最后3行日志。[root@localhost/]#journalctl-n3（三）日志维护1．日志的总管家：rsyslog在RHEL中，日志由系统服务rsyslog进行管理和控制。安装RHEL后，rsyslog服务默认是开启的。【例11-11】查看rsyslog服务状态。在终端运行命令systemctlstarusrsyslog【例11-12】自定义sshd日志类型及日志文件。系统将sshd产生的日志定义为authpriv类型，保存在