【文章內(nèi)容簡(jiǎn)介】 信息214。 命令 chsh：更改第七個(gè)字段， shell路徑名y 其余的字段由系統(tǒng)管理員設(shè)置75中國(guó)信息安全測(cè)評(píng)中心身份驗(yàn)證y Linux系統(tǒng)登錄過(guò)程y Linux帳號(hào)管理文件y PAM安全驗(yàn)證機(jī)制76中國(guó)信息安全測(cè)評(píng)中心PAM安全驗(yàn)證機(jī)制y PluggableAuthenticationModulesy 目的：提供一個(gè)框架和一套編程接口，將認(rèn)證工作由程序員交給管理員y 允許管理員在多種認(rèn)證方法之間做出選擇，y 能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序y 以共享庫(kù)的形式提供77中國(guó)信息安全測(cè)評(píng)中心PAM安全驗(yàn)證機(jī)制y 功能包括：214。 加密口令（包括 DES和其他加密算法）214。 對(duì) 用 戶(hù)進(jìn) 行 資 源限制，防止 DOS攻 擊214。 允 許 隨意 Shadow口令214。 限制特定用 戶(hù) 在指定 時(shí)間 從指定地點(diǎn)登 錄214。 引入概念 “clientpluginagents”，使 PAM支持C/S應(yīng) 用中的機(jī)器78中國(guó)信息安全測(cè)評(píng)中心79三、 UNIX系統(tǒng)安全機(jī)制y 身份驗(yàn)證y 訪(fǎng)問(wèn)控制y 網(wǎng)絡(luò)服務(wù)安全y 備份 /恢復(fù)y 日志系統(tǒng)y 內(nèi)核安全技術(shù)中國(guó)信息安全測(cè)評(píng)中心特權(quán)管理y Linux繼承了傳統(tǒng) Unix的特權(quán)管理機(jī)制，即基于超級(jí)用戶(hù)的特權(quán)管理機(jī)制。y 基本思想：1）普通用 戶(hù) 沒(méi)有任何特 權(quán) ，超 級(jí) 用 戶(hù)擁 有系 統(tǒng) 內(nèi)所有的特 權(quán)2）當(dāng) 進(jìn) 程要 進(jìn) 行某特 權(quán) 操作 時(shí) ，系 統(tǒng)檢查進(jìn) 程所代表的用 戶(hù) 是否 為 超 級(jí) 用 戶(hù) ，即 檢查進(jìn) 程的 UID是否 為 03）當(dāng)普通用 戶(hù) 的某些操作涉及特 權(quán) 操作 時(shí) ，通 過(guò) setuid/setgid來(lái) 實(shí)現(xiàn)y 缺點(diǎn)：214。 容易被 hacker利用y 從 ， Linux內(nèi)核中實(shí)現(xiàn)了基于權(quán)能的特權(quán)管理機(jī)制80中國(guó)信息安全測(cè)評(píng)中心Linux基于權(quán)限字的文件系統(tǒng)訪(fǎng)問(wèn)控制y 在 Linux中，所有的活動(dòng)都可以看成是主體對(duì)客體的一系列操作214。 客體：一種信息 實(shí) 體，或是從其他主體 /客體接受信息的 實(shí) 體216。 如文件、內(nèi)存、 進(jìn) 程消息、網(wǎng) 絡(luò) 包或者 I/O設(shè)備214。 主體：一個(gè)用 戶(hù) 或者代表用 戶(hù) 的 進(jìn) 程，它引起信息在客體之間 的流 動(dòng)81中國(guó)信息安全測(cè)評(píng)中心Linux中自主訪(fǎng)問(wèn)控制機(jī)制的基本思想1. 系統(tǒng)中每個(gè)主體都有唯一的 UID，并且總是屬于某一個(gè)用戶(hù)組，而每個(gè)用戶(hù)組有唯一的 GID2. 對(duì)客體的訪(fǎng)問(wèn)權(quán)限： r/w/x三種。3. 針對(duì)某客體，用戶(hù)： u/g/o三種。4. 上述信息構(gòu)成一個(gè)訪(fǎng)問(wèn)控制矩陣82中國(guó)信息安全測(cè)評(píng)中心setuid/setgidy 為維護(hù)系統(tǒng)的安全性，對(duì)于某些客體，普通用戶(hù)不應(yīng)具有某種訪(fǎng)問(wèn)權(quán)限，但是出于某些特殊需要，用戶(hù)由必須能超越對(duì)這些客體的受限訪(fǎng)問(wèn)y 例如，對(duì) /etc/passwd文件，用戶(hù)不具有寫(xiě)訪(fǎng)問(wèn)權(quán)限，但又必須允許用戶(hù)能夠修改該文件，以修改自己的密碼。y setuid/setgid使得代表普通用戶(hù)的進(jìn)程不繼承用戶(hù)的 uid和 gid，而是繼承該進(jìn)程所對(duì)應(yīng)的應(yīng)用程序文件的所有者的 uid和 gid，即普通用戶(hù)暫時(shí)獲得其他用戶(hù)身份，并通過(guò)該身份訪(fǎng)問(wèn)客體83中國(guó)信息安全測(cè)評(píng)中心84三、 UNIX系統(tǒng)安全機(jī)制y 身份驗(yàn)證y 訪(fǎng)問(wèn)控制y 網(wǎng)絡(luò)服務(wù)安全y 備份 /恢復(fù)y 日志系統(tǒng)y 內(nèi)核安全技術(shù)中國(guó)信息安全測(cè)評(píng)中心Linux網(wǎng)絡(luò)服務(wù)Linux的網(wǎng)絡(luò)層次結(jié)構(gòu)圖85中國(guó)信息安全測(cè)評(píng)中心早期的網(wǎng)絡(luò)服務(wù)管理程序 idy /etc/y 根據(jù) /etc/214。 處 理客 戶(hù)連 接y 應(yīng)當(dāng)禁止不需要的服務(wù)，降低風(fēng)險(xiǎn)86中國(guó)信息安全測(cè)評(píng)中心擴(kuò)展后的 xidy 配置文件： /etc/214。 與前者完全不同，而且不兼容214。 組 合了下列文件216。 /etc/216。 /etc/216。 /etc/87中國(guó)信息安全測(cè)評(píng)中心系統(tǒng)默認(rèn)使用 xid的服務(wù)y 標(biāo)準(zhǔn) inter服務(wù)，如 ， tel， ftp等y 信息服務(wù)，如 finger， stat， systat等y 郵件服務(wù)，如 imap， pop3， smtp等y RPC服務(wù)，如 rquotad， rstatd， rusersd，sprayd， walld等y BSD服務(wù)，如 sat， exec， login， ntalk， shelltalk等y 內(nèi)部服務(wù)，如 chargen， daytime， echo等y 安全服務(wù)，如 irc等y 其他，如 name， tftp， uucp， wuftp等88中國(guó)信息安全測(cè)評(píng)中心89三、 UNIX系統(tǒng)安全機(jī)制y 身份驗(yàn)證y 訪(fǎng)問(wèn)控制y 網(wǎng)絡(luò)服務(wù)安全y 備份 /恢復(fù)y 日志系統(tǒng)y 內(nèi)核安全技術(shù)中國(guó)信息安全測(cè)評(píng)中心Linux備份 /恢復(fù)y 備份技術(shù)214。 腳本214。 …214。 一些商 業(yè) 化 軟 件y 備份的存儲(chǔ)設(shè)備214。 遠(yuǎn) 程網(wǎng) 絡(luò)設(shè)備 、磁 帶驅(qū)動(dòng) 器、其他可移 動(dòng) 媒體y 備份單位214。 文件（目 錄 ）214。 驅(qū)動(dòng) 器映像90中國(guó)信息安全測(cè)評(píng)中心Linux備份 /恢復(fù)y 一般情況下，以下目錄需要備份214。 /etc214。 /var214。 /home214。 /root214。 /opty 一般不需備份的214。 /proc214。 /dev214。 等等91中國(guó)信息安全測(cè)評(píng)中心92三、 UNIX系統(tǒng)安全機(jī)制y 身份驗(yàn)證y 訪(fǎng)問(wèn)控制y 網(wǎng)絡(luò)服務(wù)安全y 備份 /恢復(fù)y 日志系統(tǒng)y 內(nèi)核安全技術(shù)中國(guó)信息安全測(cè)評(píng)中心Linux日志系統(tǒng)y 記錄和捕捉各種活動(dòng)，包括黑客的活動(dòng)y 系統(tǒng)記賬214。 連 接 記賬 ：跟蹤當(dāng)前用 戶(hù) 的會(huì) 話(huà) 、登 錄 和退出的活 動(dòng)216。 /var/log/utmp216。 /var/log/wtmp214。 進(jìn) 程 記賬 ： 對(duì)進(jìn) 程活 動(dòng) 的 記錄216。 /var/log/pacct93中國(guó)信息安全測(cè)評(píng)中心安全審計(jì)y Linux系統(tǒng)的審計(jì)機(jī)制，基本思想：214。 審計(jì) 事件分 為 系 統(tǒng) 事件和內(nèi)核事件214。 系 統(tǒng) 事件由 審計(jì) 服 務(wù)進(jìn) 程 syslogd來(lái) 維護(hù) 與管理216。 配置文件： /etc/214。 內(nèi)核事件由內(nèi)核 審計(jì)線(xiàn) 程 klogd來(lái) 維護(hù) 與管理216。 獲 得并 記錄 Linux內(nèi)核信息94中國(guó)信息安全測(cè)評(píng)中心95三、 UNIX系統(tǒng)安全機(jī)制y 身份驗(yàn)證y 訪(fǎng)問(wèn)控制y 網(wǎng)絡(luò)服務(wù)安全y 備份 /恢復(fù)y 日志系統(tǒng)y 內(nèi)核安全技術(shù)中國(guó)信息安全測(cè)評(píng)中心Linux內(nèi)核安全技術(shù)y 可加載的內(nèi)核模塊 LKMy Linux的內(nèi)核防火墻96中國(guó)信息安全測(cè)評(píng)中心可加載的內(nèi)核模塊 LKMy 早期， Monolithic的缺陷214。 混 雜 ，各 組 成部分之 間 的界限不明 顯214。 可 擴(kuò) 展性、可剪裁性差；需要重新 編譯y Linux，引入 LKMLoadableKernelModule214。 內(nèi)核功能 動(dòng)態(tài)擴(kuò) 充技 術(shù)y 雙刃劍214。 威 脅 ：內(nèi)核 級(jí) 入侵97中國(guó)信息安全測(cè)評(píng)中心Linux內(nèi)核防火墻y 內(nèi)核防火墻214。 早期的 ipfwadm214。 Ipchains214。 Netfilter/iptables組 合98中國(guó)信息安全測(cè)評(píng)中心其他安全機(jī)制1. 口令脆弱性警告2. 口令有效期3. 一次性口令4. 口令加密算法5. 影子文件6. 帳戶(hù)加鎖7. 限制性 shell8. 文件系統(tǒng)加載限制9. 加密文件系統(tǒng)與透明加密文件系統(tǒng)10. 根用戶(hù)的限制11. 安全 shell12. 防火墻13. 入侵檢測(cè)99中國(guó)信息安全測(cè)評(píng)中心100四、 UNIX系統(tǒng)安全性問(wèn)題1. 啟動(dòng)威脅2. 口令破解3. 權(quán)限提升4. 信息竅取5. 系統(tǒng)崩潰6. 拒絕服務(wù)7. 其它中國(guó)信息安全測(cè)評(píng)中心101五、 如何加 強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動(dòng)項(xiàng) 安全 設(shè) 置 214。 設(shè) 置 帳 號(hào)安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點(diǎn)214。 系 統(tǒng) 升 級(jí)2. 安全工具中國(guó)信息安全測(cè)評(píng)中心102五、 如何加 強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動(dòng)項(xiàng) 安全 設(shè) 置 214。 設(shè) 置 帳 號(hào)安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點(diǎn)214。 系 統(tǒng) 升 級(jí)中國(guó)信息安全測(cè)評(píng)中心啟動(dòng)項(xiàng)安全設(shè)置 y BIOS的安全設(shè)置 214。 加密 碼y LILO的安全配置214。 設(shè) 置 權(quán) 限216。 chmod600/etc/214。 /etc/ 置 為 不可 變216。 chattr+i/etc/103中國(guó)信息安全測(cè)評(píng)中心LILO的安全配置y /etc/ boot=/dev/hda map=/boot/map install=/boot/ prompt timeout=00default=linux image=/boot/ y label=linux root=/dev/hda1 readonly restricted password=kpAsSb0rv_fy /etc/例子 boot=/dev/hda map=/boot/map install=/boot/ prompt timeout=00default=linux image=/boot/vmlinuz y label=linux root=/dev/hda1 readonly restricted password=kpAsSb0rv_f104中國(guó)信息安全測(cè)評(píng)中心105五、 如何加 強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動(dòng)項(xiàng) 安全 設(shè) 置 214。 設(shè) 置 帳 號(hào)安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點(diǎn)214。 系 統(tǒng) 升 級(jí)中國(guó)信息安全測(cè)評(píng)中心linux賬號(hào)安全y 設(shè)置一個(gè)合適的密碼y Root帳號(hào)安全性214。 使 root只能從 console或者使用 ssh登 陸216。 修改 /etc/securetty， 去除 終 端 ttyp0ttyp9214。 請(qǐng) 使用全路徑 執(zhí) 行命令 214。 不要允 許 有非 root用 戶(hù) 可寫(xiě)的目 錄 存在 root的路徑里 214。 禁止 root用 戶(hù)遠(yuǎn) 程登 錄216。 編輯 文件 /etc/，添加216。 /etc/authrequired106中國(guó)信息安全測(cè)評(píng)中心禁止 root用戶(hù)遠(yuǎn)程登錄y 禁止 root用戶(hù)遠(yuǎn)程登錄編輯文件/etc/，添加/etc/107中國(guó)信息安全測(cè)評(píng)中心linux賬號(hào)安全y 密碼長(zhǎng)度的強(qiáng)制定義214。 修改 /etc/將 PASS_MIN_LEN5改 為 PASS_MIN_LEN8y 自動(dòng)注銷(xiāo)帳號(hào)的登錄214。 Vi/etc/profile在 HISTFILESIZE=后面加入下面 這 行：TMOUT=3005分 鐘 內(nèi)都沒(méi)有 動(dòng) 作，那么系 統(tǒng) 會(huì)自 動(dòng) 注 銷(xiāo)這 個(gè) 賬戶(hù)108中國(guó)信息安全測(cè)評(píng)中心linux賬號(hào)安全y 使用 PAM（ 可插拔認(rèn)證模塊）禁止任何人通過(guò) su命令改變?yōu)?rootvi/etc/， 在開(kāi) 頭 添加下面兩行： authsufficient/lib/security/authrequired/lib/security/group=wheelusermod–G10username214。 這 表明只有 “wheel”組 的成 員 可以使用 su命令成 為 root用 戶(hù)109中國(guó)信息安全測(cè)評(píng)中心linux賬號(hào)安全y 刪除不需要的特殊的帳號(hào) 214。 userdeladm214。 userdellp214。 userdelsync214。 userdelshutdown214。 userdelhalt214。 userdelnews214。 userdeluucp214。 userdeloperator214。 userdelgopher110中國(guó)信息安全測(cè)評(píng)中心linux賬號(hào)安全y 刪除不需要的特殊的組 214。 [rootk]groupdeladm214。 [rootk]groupdellp214。 [rootk]groupdelnews214。 [rootk]groupdeluucp214。 [ro