Linux(RHEL5)系统安全常规优化
一、Linux系统安全优化之基本安全措施
1. 删除或禁用系统中不使用的用户和组
# passwd -l wang 确认程序或服务的登录shell不可用
# vi /etc/passwd 限制用户的密码有效期(最大天数)
# vi /etc/ 指定用户下次登录时必须更改密码
1.# chage -d 0 wang
2.
3.或
4.
5.# vi /etc/shadow
6.
限制用户密码的最小长度
1.# vi /etc/system-auth
2.
3.password requisite try_first_pass retry=3minlen=12
retry 重试时间
minlen 安全级别
6. 限制记录命令历史的条数
1.# vi /etc/profile
2.
3.HISTSIZE=50(默认为1000)
4.
# echo “history -c “》 ~/.bash_logout 设置闲置超时自动注销终端
1.# vi /etc /profile
2.
export TMOUT=600etc/sudoers配置文件---------visudo
sudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。常见语法格式如下:
user MACHINE=COMMANDS
user:授权指定用户
MACHINE主机:授权用户可以在哪些主机上使用
COMMANDS命令:授权用户通过sudo调用的命令,多个命令用,分隔
/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替,格式如下
https://www.doczj.com/doc/fd15573216.html,er_Alias OPERATORS=jerry, tom, tsengyia
2.
3.Host_Alias MAILSERVERS=smtp , pop
4.
5.Cmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum
2.使用sudo执行命令
sudo -l :查看当前用过被授权使用的sudo命令
sudo -k :清除timestamp时间戳标记,再次使用sudo命令时需要重新验证密码
sudo -v :重新更新时间戳(必要时系统会再次询问用户密码)
案例说明:因系统管理工作繁重,需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ,授权组内的各个成员用户可以添加、删除、更改用户账号
(1)建立管理组账户 managers
# groupadd managers
(2)将管理员账号,如wang加入managers组
# gpasswd -M managers
(3)配置sudo文件,针对managers组开放useradd 、 userdel 等用户管理命令的权限
1.# visudo
2.
3.Cmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /u
sr/sbin/usermod
4.
5.%managers localhost = USERADM
(4)使用wang账号登录,验证是否可以删除他、添加用户
1.# su - wang
2.
3.# whoami
4.
5.# sudo -l
6.
7.# sudo /usr/sbin/useradd user1
8.
9.# sudo /usr/sbin/usermod -p ““ user1
10.
11.# sudo /usr/sbin/userdel -r user1
Linux系统安全优化中使用sudo提升执行权限的配置就向大家介绍完了,希望大家已经掌握。
四、Linux系统安全优化之文件
1. 合理规划系统分区
建议划分为独立分区的目录
/boot :大小建议在200M以上。
/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小
/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。占用空间可能会较多
/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用
2.通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序
1.# vi /etc/fstab
2.
3./dev/sdc1 /var ext3 defaults,noexec 1 2
4.
5.# mount -o remount /var
如果想要从文件系统层面禁止文件的suid 或 sgid位权限,将上边的noexec改为nosuid即可
3. 锁定不希望更改的系统文件
使用 +i 属性锁定service 、passwd、文件(将不能正常添加系统用户)
# chattr +i /etc/service /etc/passd /boot/
解除/etc/passwd文件的 +i 锁定属性
# lsattr /etc/passwd 关闭不必要的系统服务
2. 禁止普通用户执行目录中的脚本
1.# chmod -R o-rwx /etc/
2.
3.或
4.
5.# chmod -R 750 /etc/
3. 禁止普通用户执行控制台程序
/etc/security/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除
1.# cd /etc/security/
2.
3.# tar jcpvf /etc/ poweroff halt reboot - - remove
4. 去除程序文件中非必需的set-uid 或 set-gid 附加权限
查找系统中设置了set-uid或set-gid权限的文件,并结合–exec 选项显示这些文件的详细权限属性# find / -type f perm +6000 -exec ls -lh { } \ ;
去掉程序文件的suid/sgid位权限
# chmod a-s /tmp/
编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件
(1)在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据
1.# find / -type f -prem +6000 > /etc/sfilelist
2.
3.# chmod 600 /etc/sfilelist
(2)建立chksfile脚本文件,与sfilelist比较,输出新增的带suid/sgid属性的文件
1.# vi /usr/sbin/chksfile
2.
3.#!/bin/bash
4.
5.OLD_LIST=/etc/sfilelist
6.
7.for i in ` find / -type -prem +6000 `
8.
9.do
10.
11.grep -F “$i” $OLD_LIST > /dev/null
12.
13.[ $? -ne 0 ] && ls -lh $i
14.
15.done
16.
17.# chmod 700 /usr/bin/chkfile
(3)执行chkfile脚本,检查是否有新增suid/sgid文件
# cp /bin/touch /bin/mytouch 调整BIOS引导设置
将第一优先引导设备设为当前系统所在硬盘,其他引导设置为Disabled.为BIOS设置管理员密码,安全级别调整为setup
2. 防止用户通过Ctrl+Alt_Del热键重启系统
1.# vi /etc/inittab
2.
# ca : :ctrlaltdel :/sbin/shutdown -t3 -r now 即时禁止普通用户登录
# touch /etc/nologin 控制服务器开放的tty终端
# vi /etc/inittab
1. 控制允许root用户登录的tty终端
# vi /etc/securetty
1. 更改系统登录提示,隐藏内核版本信息
通过修改/etc/issue、/etc/文件(分别对应本地登录、网络登录)
1.# vi /etc/issue
2.
3.Welcome to server
4.
5.# cp -f /etc/issue /etc/
2. 使用pam_access认证控制用户登录地点
Pam_access认证读取/etc/security/配置文件,该文件由权限、用户、来源,组成,用冒号进行分隔
权限:加号 + 或减号 - ,分别表示允许、拒绝
用户:用户名部分,多个用户名用空格分开,组使用@组名的形式表示。ALL表示所有用户
来源:表示用户从哪个终端或远程主机登录,多个来源地点用空格分开
例:禁止除了root以外的用户从tty1终端登录系统
1.# vi /etc/login //在PAM配置文件login中添加认证支持
2.
3.account required
4.
5.# vi /etc/security/
6.
7.- : ALL EXCEPT root : tty1
例:禁止root用户从、网络中远程登录
1.# vi /etc/sshd //在PAM配置文件sshd中添加认证支持
2.
3.account required
4.
5.# vi /etc/security/
6.
7.- : root :
Linux系统安全优化中引导和登录安全优化开关机安全控制的配置就向大家介绍完了,希望大家已经掌握。如果读者还想学习更多的有关Linux系统安全优化的内容可以参考之前与大家一起分享的配置方法。
linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件 配置项名称设置影子口令模式 检查方法执行: #more /etc/shadow 查看是否存在该文件 操作步骤1、执行备份: #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式: #pwconv 回退操作执行: #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效1.2.建立多帐户组,将用户账号分配到相应的帐户组 配置项名称建立多帐户组,将用户账号分配到相应的帐户组
检查方法1、执行: #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户 操作步骤1、执行备份: #cp –p /etc/group /etc/group_bak 2、修改用户所属组: # usermod –g group username 回退操作 执行: #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户 配置项名称删除或锁定可能无用的帐户 检查方法1、执行: #more /etc/passwd 查看是否存在以下可能无用的帐户: hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份: #cp –p /etc/passwd /etc/passwd_bak
编号:SM-ZD-96562 操作系统安全配置管理办 法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
操作系统安全配置管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIX系统、Windows系统、Linux系统及HP UNIX系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法
Linux操作系统的安全性 Linux操作系统的安全性是有目共睹的,相比Windows操作系统,到底Linux有哪些过人之处?这里我们就抛砖引玉,挑选三点重要的特点给大家说明,为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 1、用户/文件权限的划分 用户权限在Windows操作系统里也不陌生,但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是,即便是你在Windows操作系统里设置了多用户,但是不同的用户之间通过一定的方式,还是能够互访文件的,这就失去了权限的意义。 LINUX文件权限针对的对象分三类(互斥的关系): 1. user(文件的拥有者) 2. group(文件拥有者所在的组,但不包括user) 3. other(其它用户,即user和group以外的) LINUX用一个3位二进制数对应着文件的3种权限(1表示有该权限,0表示无): 第1位读r 100 4 第2位写w 010 2 第3位执行x 001 1 查看权限 #ls -l 第一列,一共10位(drwxrwxrwx),就代表了文件的权限: 1)第一个d代表是一个目录,如果显示“-”,则说明不是一个目录 2)2-4代表user的权限 3)5-7代表group的权限 4)8-10代表other的权限 对于后9位: r 代表可读(read),其值是4 w 代表可写(write),其值是2 x 代表可执行(execute),其值是1 - 代表没有相应权限,其值是0 修改文件权限
# chmod [ugoa][+-=][rwx] 文件名 1)用户 u 代表user g 代表group o 代表other a 代表全部的人,也就是包括u,g和o 2)行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3)权限 rwx也可以用数字表示法,不过很麻烦要自己算,比如rw=6 常见权限 -rw——(600)只有所有者才有读和写的权限 -rw-r——r——(644)只有所有者才有读和写的权限,组群和其他人只有读的权限-rwx——(700)只有所有者才有读,写,执行的权限 -rwxr-xr-x (755)只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限 -rwx——x——x (711)只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限 -rw-rw-rw- (666)每个人都有读写的权限 -rwxrwxrwx (777)每个人都有读写和执行的权限,最大权限。 也许你会说,Windows操作系统里不也内置了防火墙,Linux系统内置防火墙有什么特殊之处。其实,iptables不仅仅是一个防火墙,而且即便是一个防火墙,它与我们常见的Windows操作系统下的防火墙相比,更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP 信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
贵州大学实验报告 学院:计信学院专业:信息安全班级:信息101
2、FTP服务器的安全配置 FTP为文件传输协议,主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式,通常FTP服务器开放21端口与客户端进行FTP控制命令传输,这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置:安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置:一台安装Windows XP/Server 2003操作系统的计算机,磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 (1)使用系统管理员账户root登录文本模式,输入下面的命令行:使用useradd命令新建名为myusername的新账户 (2)使用cat命令查看账户列表,输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为:
用如下命令切换到myusername账户,然后在使用cat命令查看账户列表,如果刚才的账户添加成功,那么普通用户myusername不能查看该文件的权限,提示如下: 2、添加和更改口令 切换到root用户,添加myusername的口令: [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命
令强制用户myusername首次登陆时必须更改口令,同时还强制该用户以后每90天更改一次口令,并提前10天提示 4、账户禁用于恢复 (1)输入下列命令行,以管理员身份锁定新建的myusername账户,并出现锁定成功的提示: 此刻如果使用su切换到myusername账户,则出现以下提示: 表明锁定成功 (2)输入以下命令行,检查用户nyusername的当前状态: (3)如果要将锁定账户解锁,输入以下命令行,并出现相应的解锁提示: 5、建立用户组,将指定的用户添加到用户组中 (1)输入以下命令,建立名为mygroup的用户组: (2)如果要修改用户组的名称,使用如下命令行: 将新建的用户组更名为mygroup1 (3)输入以下命令,将用户myusername加入到新建的组mygroup1中并显示提示:
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
[摘要] Linux系统使用越来越广泛,关系Linux的安全越来越受到人们的重视,本文结合笔者在Linux系统安全管理方面的一些经验体会,从账户、密码策略、文件权限,日志管理、远程访问等5个方面,对linux系统安全谈谈自己的体会,供大家参考。 一、引言随着Internet/Intranet网络的日益普及,Linux作为一个现代的操作系统,正在各个方面得到广泛的应用。Linux在服务器、嵌入式等方面已经取得不俗的成绩,在桌面系统方面,也逐渐受到欢迎。于是Linux的安全问题也逐渐受到人们的重视。Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。因此,详细分析Linux 系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。针对Linux的基本安全防护,笔者这里稍做介绍。二、Linux系统的安全策略1.Linux系统的用户账号策略管理员的工作中,相当重要的一环就是管理账号。在管理Linux 主机的账号时,一个最重要的方面就是确保每一个UID仅仅使用一次。另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system-auth,添加下面两句可以设置账户最多连续登陆5次,超过5次账户将被锁定,只有管理员才能帮助解锁。auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求(1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,
计算机网络安全技术题目:Unix/linux系统的安全性概述 班级:09 级达内班 组长:朱彦文学号:09700308 组员:冯鑫学号:09700310 组员:刘新亮学号:09700309 组员:梁小文学号:09700312 组员:龚占银学号:09700313 组员:高显飞学号:09700304 组员:陶志远学号:09700305 时间:2011年6月
目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)
Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲,Linux这个词本身只表示Linux内核,但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux,其安全性漏洞已经广为流传,黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息,或向大量用户提供重要服务;一旦遭到破坏,后果不堪设想。所以,网站建设者更需要认真对待有关安全方面的问题,以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言,日常性的服务器安全保护主要包括四方面内容: 文件存取合法性:任何黑客的入侵行为的手段和目的都可以认为是非法存取文件,这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题,一般说来,未被授权使用的用户进入系统,都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 ),登录活动记录和报告,用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性:这也是计算机安全的一个重要问题,具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理:这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作,比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性:这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统,系统崩溃后运行 fsck检查、修复文件系统,当有新用户时,检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。
中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司 发布 保密等级:公开发放
目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误!未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A:端口及服务 (13)
前言 为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下: (1)AIX操作系统安全配置规范 (2)HP-UX操作系统安全配置规范 (3)Solaris操作系统安全配置规范 (4)Linux操作系统安全配置规范(本标准) (5)Windows 操作系统安全配置规范 (6)MS SQL server数据库安全配置规范 (7)MySQL数据库安全配置规范 (8)Oracle数据库安全配置规范 (9)Apache安全配置规范 (10)IIS安全配置规范 (11)Tomcat安全配置规范 (12)WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。
1 本章重点内容 Linux 系统安全 防火墙技术基本知识 用iptales实现包过滤型防火墙 2 8.1 计算机网络安全基础知识8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全,其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 因此,网络安全在不同的环境和应用中会得到不同的解释。 (1)运行系统安全,即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护,法律、政策的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由与电磁泄漏,产生信息泄露,干扰他人(或受他人干扰),本质上是保护系统的合法操作和正常运行。 3 (2)网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 (3)网络上信息传播的安全,即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 (4)网络上信息内容的安全,即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。网络安全的结构层次包括:物理安全、安全控制和安全服务。 可见,计算机网络安全主要是从保护网络用户的角度来进行的,是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 48.1.2 网络安全的特征 网络安全应具有以下四个方面的特征: (1)保密性是指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性是指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁: (1)非授权访问(Unauthorized Access )指一个非授权用户的入侵。(2)信息泄露(Disclosure of Information )指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 (3)拒绝服务(Denial of Service )指使系统难以或不能继续执行任务的所有问题。 5 8.1.4 网络安全的关键技术 从广义上讲,计算机网络安全技术主要有:(1)主机安全技术:(2)身份认证技术:(3)访问控制技术:(4)密码技术:(5)防火墙技术:(6)安全审计技术:(7)安全管理技术: 8.1.5 Linux 系统的网络安全策略 1.简介 6 随着Internet/Intranet网络的日益普及,采用Linux网络操作系统作为服务器的用户也越来越多,这一方面是因为Linux是开放源代码的免费正版软件,另一方面也是因为较之微软的Windows NT网络操作系统而言,Linux系统具有更好的稳定性、效率性和安全性。在Internet/Intranet的大量应用中,网络本身的安全面临着重大的挑战,随之而来的信息安全问题也日益突出。以美国为例,据美国联邦调查局(FBI)公布的统计数据,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢?主要原因是很多人,尤其是很多网络管理员没有起码的网络安全防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安全机制,给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源,实现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。因此,详细分析Linux 系统的安全机制,找出可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
杭州安恒信息技术有限公司Linux 系统安全配置基线 杭州安恒信息技术有限公司 2016年 12月
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 第2章本地策略 (2) 2.1帐户与口令检查策略 (2) 2.1.1检查系统中是否存在口令为空的帐户 (2) 2.1.2检查系统中是否存在UID与ROOT帐户相同的帐户 (2) 2.1.3检查是否按用户分配帐号 (2) 2.1.4检查密码最小长度 (3) 2.1.5检查密码过期时间 (3) 2.1.6检查密码最大重试次数 (3) 2.1.7检查是否配置口令复杂度策略 (4) 2.1.8检查是否设置系统引导管理器密码 (4) 2.1.9检查口令过期前警告天数 (5) 2.1.10检查口令更改最小间隔天数 (5) 2.1.11检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT (5) 2.1.12检查密码重复使用次数限制 (6) 2.2日志配置 (6) 2.2.1检查系统是否开启了日志功能 (6) 2.2.2检查系统是否开启了日志审计功能 (7) 2.2.3检查是否对登录进行日志记录 (7) 2.2.4检查是否记录用户对设备的操作 (7) 2.2.5检查SYSLOG-NG是否配置安全事件日志 (8) 2.2.6检查RSYSLOG是否配置安全事件日志 (8) 2.2.7检查SYSLOG是否配置安全事件日志 (9) 2.2.8检查是否配置SU命令使用情况记录 (9) 2.2.9检查是否配置远程日志功能 (9) 2.2.10检查是否启用CRON行为日志功能 (10) 2.2.11检查审计日志默认保存时间是否符合规范 (11) 2.3系统内核配置 (11) 2.3.1检查系统内核参数配置-是否禁止ICMP源路由 (11) 2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 (11) 2.3.3检查系统内核参数配置-SEND_REDIRECTS配置 (12) 2.3.4检查系统内核参数配置-IP_FORWARD配置 (12) 2.3.5检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 (13) 2.4信息隐藏 (13) 2.4.1检查是否设置SSH登录前警告B ANNER (13) 2.4.2检查是否设置SSH登录后警告B ANNER (14) 2.4.3检查是否修改默认FTP B ANNER设置 (14) 2.4.4检查TELNET B ANNER 设置 (14) 2.5服务端口启动项 (15)
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.doczj.com/doc/fd15573216.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
. .. . Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分,主要目的是根 据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为 Linux系统设计、实施及维护的技术和安全参考依据。 二.围 安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用 围。 三.容 3.1 软件版本及升级策略 操作系统核及各应用软件,默认采用较新的稳定版本,不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录管理 符合以下条件之一的,属"可远程登录": (1) 设置了密码,且处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录"的管理要求为: . 资料.
(1) 命名格式与命名格式保持一致 (2) 不允许多人共用一个,不允许一人有多个。 (3) 每个均需有明确的属主,离职人员应当天清除。 (4) 特殊需向安全组报批 3.2.2 守护进程管理 守护进程启动管理要求 (1) 应建立独立,禁止赋予sudo权限,禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录"启动守护进程 (3) 禁止使用root启动WEB SERVER/DB等守护进程。 3.2.3 系统默认管理(仅适用于财务管理重点关注系统) 删除默认的,包括:lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》,具体要求为 (1) 启用密码策略 /etc/login.defs
Linux 防火墙的功能及安全策略 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,防火墙的功能有以下几点: ●防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 ●防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 ●对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 ●防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
1.1适用范围..................................................................................错误!未指定书签。2用户账户安全加固......................................................................错误!未指定书签。 2.1修改用户密码策略...................................................................错误!未指定书签。 2.2锁定或删除系统中与服务运行,运维无关的的用户 ..........错误!未指定书签。 2.3锁定或删除系统中不使用的组 ..............................................错误!未指定书签。 2.4限制密码的最小长度........................................................错误!未指定书签。3用户登录安全设置......................................................................错误!未指定书签。 3.1禁止root用户远程登录..........................................................错误!未指定书签。 3.2设置远程ssh登录超时时间 ...................................................错误!未指定书签。 3.3设置当用户连续登录失败三次,锁定用户30分钟 ............错误!未指定书签。 3.4设置用户不能使用最近五次使用过的密码 ..........................错误!未指定书签。 3.5设置登陆系统账户超时自动退出登陆 ..................................错误!未指定书签。4系统安全加固..............................................................................错误!未指定书签。 4.1关闭系统中与系统正常运行、业务无关的服务 ..................错误!未指定书签。 4.2禁用“CTRL+ALT+DEL”重启系统...........................................错误!未指定书签。 4.3加密grub菜单 .........................................................................错误!未指定书签。
加强Linux系统安全的几大技巧 导读:计算机系统一旦被恶意软件攻击,就存在泄漏隐私数据的风险,除了使用安全杀毒软件外,还有做一些必要的安全防护措施,下面小编就给大家介绍下如何保护Linux系统的安全。 1. 使用SELinux SELinux是用来对Linux进行安全加固的,有了它,用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是,SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。(LCTT译注:虽然NSA 也给SELinux贡献过很多代码,但是目前尚无证据证明SELinux有潜在后门)2禁用不用的服务和应用 通常来讲,用户大多数时候都用不到他们系统上的服务和应用的一半。然而,这些服务和应用还是会运行,这会招来攻击者。因而,最好是把这些不用的服务停掉。(LCTT译注:或者干脆不安装那些用不到的服务,这样根本就不用关注它们是否有安全漏洞和该升级了。) 3 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上,漏洞多见于安装的应用程序之中。为了避免这个问题的发生,你必须保持你的应用程序更新到最新版本。此外,订阅漏洞警报服务,如SecurityFocus。 4 使用Iptables Iptables是什么?这是一个应用框架,它允许用户自己为系统建立一个强大的防火墙。因此,要提升安全防护能力,就要学习怎样一个好的防火墙以及怎样使用Iptables框架。 5 检查系统日志 你的系统日志告诉你在系统上发生了什么活动,包括攻击者是否成功进入或试着访问系统。时刻保持警惕,这是你第一条防线,而经常性地监控系统日志就是为了守好这道防线。 6 考虑使用端口试探 设置端口试探(Port knocking)是建立服务器安全连接的好方法。一般做法
行业资料:________ 操作系统安全配置管理办法 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共8 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页
3支持文件 《IT主流设备安全基线技术规范》(Q/CSG11804-xx) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-xx)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页
操作系统安全Operating System Security Linux系统安全实验讲义 2013年12版本
实验一:Linux用户管理与安全策略1实验目的 ●通过实验熟悉Linux 环境下的用户操作管理; ●了解PAM工作原理和配置方法; ●掌握Linux 操作系统中常用用户安全策略配置; 2实验原理 2.1用户与用户组的基本体系 ●Linux提供了安全的用户名和口令文件保护以及强大的口令设置规 则,并对用户和用户组的权限进行细粒度的划分。 ●Linux 系统的用户和用户组的信息分别保存在 ?/etc/shadow ?/etc/passwd ?/etc/group ?/etc/gshadow 等几个文件中, ●/etc/passwd文件是系统用户认证访问权限的第一个文件。 文件的行格式如下:
login_name:password:uid:gid:user info: home_directory:default_shell ?其中: ?login_name:用户帐户,可以用1~8个字符表示,区分大小写, 避免使用数字开头; ?password:加密后的用户登录系统的密码; ?uid:系统指定给每个用户的唯一数值,即用户标识符,32位系统 中标识符在0~60 000之间。; ?gid:用户组标识; ?user info:用户注释信息(如用户身份、电话号码、特性等); ?home_directory:用户的主目录(家目录); ?default_shell:用户登录系统时默认执行的Shell程序,通常为 /bin/sh,表示执行Bourne Shell。如果是Korn Shell则用 /usr/bin/ksh。如果是C Shell则用/usr/bin/csh。如果是TC Shell 则用/usr/bin/tcsh(较少使用)。如果是Bash Shell则用 /usr/bin/bash(Linux系统) 特别说明: Linux 系统支持以命令行或窗口方式管理用户和用户组,本实验要求使用命令行方式实现,窗口方式为学生自行了解和掌握内容。 2.2PAM安全验证机制 详见课程讲义和教学课件