CISP0205操作系統(tǒng)安全課件

操作系統(tǒng)安全培訓(xùn)機(jī)構(gòu)名稱講師名稱版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1操作系統(tǒng)安全培訓(xùn)機(jī)構(gòu)名稱版本：3.0課程內(nèi)容2操作系統(tǒng)與數(shù)據(jù)庫安全知識體知識域操作系統(tǒng)安全知識子域Windows系統(tǒng)安全機(jī)制操作系統(tǒng)安全概述Linux系統(tǒng)安全機(jī)制安全操作系統(tǒng)數(shù)據(jù)庫安全課程內(nèi)容2操作系統(tǒng)與數(shù)據(jù)庫安全知識體知識域操作系統(tǒng)安全知識子知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概念了解操作系統(tǒng)的作用與功能了解操作系統(tǒng)的主要安全設(shè)計機(jī)制理解操作系統(tǒng)的安全配置要點(diǎn)3知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概念3操作系統(tǒng)的功能用戶與計算機(jī)硬件之間的接口操作系統(tǒng)為用戶提供了虛擬計算機(jī)，把硬件的復(fù)雜性與用戶隔離計算機(jī)系統(tǒng)的資源管理者CPU管理存儲管理設(shè)備管理文件管理網(wǎng)絡(luò)與通信管理用戶接口4硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等內(nèi)核系統(tǒng)調(diào)用接口用戶進(jìn)程操作系統(tǒng)的功能用戶與計算機(jī)硬件之間的接口4硬件：CPU、內(nèi)存操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)標(biāo)識系統(tǒng)中的用戶和進(jìn)行身份鑒別依據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶和外來入侵者對計算機(jī)資源的非法訪問監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全和完整性5操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)5操作系統(tǒng)安全機(jī)制（一）標(biāo)識與鑒別用戶身份合法性鑒別操作系統(tǒng)登錄訪問控制防止對資源的非法使用限制訪問主體對訪問客體的訪問權(quán)限D(zhuǎn)AC、MAC、RBAC最小特權(quán)管理限制、分割用戶、進(jìn)程對系統(tǒng)資源的訪問權(quán)限“必不可少的”權(quán)限6操作系統(tǒng)安全機(jī)制（一）標(biāo)識與鑒別6操作系統(tǒng)安全機(jī)制（二）信道保護(hù)正常信道的保護(hù)可信通路（TrustedPath）安全鍵（SAK）7操作系統(tǒng)安全機(jī)制（二）信道保護(hù)7操作系統(tǒng)安全機(jī)制（三）安全審計對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查以及審核審計一般是一個獨(dú)立的過程內(nèi)存存取保護(hù)進(jìn)程間/系統(tǒng)進(jìn)程內(nèi)存保護(hù)段式保護(hù)、頁式保護(hù)和段頁式保護(hù)文件系統(tǒng)保護(hù)分區(qū)文件共享文件備份8操作系統(tǒng)安全機(jī)制（三）安全審計8知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機(jī)制理解Windows系統(tǒng)標(biāo)識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統(tǒng)的安全機(jī)制和安全策略掌握Windows系統(tǒng)的安全配置方法9知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機(jī)制9Windows系統(tǒng)標(biāo)識與鑒別-安全主體安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機(jī)服務(wù)10Windows系統(tǒng)標(biāo)識與鑒別-安全主體安全主體類型10Windows系統(tǒng)標(biāo)識與鑒別-安全標(biāo)識安全標(biāo)識符（SecurityIdentifier，SID）安全主體的代表（標(biāo)識用戶、組和計算機(jī)賬戶的唯一編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-100011Windows系統(tǒng)標(biāo)識與鑒別-安全標(biāo)識安全標(biāo)識符（SecurWindows系統(tǒng)標(biāo)識與鑒別-用戶鑒別12賬戶信息管理機(jī)制登錄驗證本地登錄驗證遠(yuǎn)程登錄驗證Windows系統(tǒng)標(biāo)識與鑒別-用戶鑒別12賬戶信息管理機(jī)制Windows用戶身份鑒別帳號信息存儲（SAM:安全賬號管理）運(yùn)行期鎖定、存儲格式加密僅對system帳號有權(quán)限，通過服務(wù)進(jìn)行訪問控制Windows用戶身份鑒別：本地登錄GINA（GraphicalIdentificationandAuthentication:圖形化識別和驗證)LSA（LocalSecurityAuthority：本地安全授權(quán)）13SAM賬戶信息庫GINALSAWindows用戶身份鑒別帳號信息存儲（SAM:安全賬號管理Windows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議SMB（ServerMessageBlock）:口令明文傳輸LM（LANManager）：口令哈希傳輸，強(qiáng)度低NTLM（NTLANManager）：提高口令散列加密強(qiáng)度、挑戰(zhàn)/響應(yīng)機(jī)制Kerberos：為分布網(wǎng)絡(luò)提供單一身份驗證14Windows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議14Windows系統(tǒng)訪問控制-ACL訪問控制列表（AccessControlList，ACL）NTFS文件系統(tǒng)支持權(quán)限存儲流文件系統(tǒng)中自主訪問控制靈活性高，安全性不高15Windows系統(tǒng)訪問控制-ACL訪問控制列表（AccessWindows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（UserAccountControl，UAC）完全訪問令牌標(biāo)準(zhǔn)受限訪問令牌16Windows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（UseWindows文件系統(tǒng)安全NTFS文件系統(tǒng)權(quán)限控制（ACL）文件、文件夾、注冊表鍵值、打印機(jī)等對象安全加密EFS(EFS(EncryptingFileSystem)Windows內(nèi)置，與文件系統(tǒng)高度集成對windows用戶透明對稱與非對稱算法結(jié)合Bitlocker對整個操作系統(tǒng)卷加密解決設(shè)備物理丟失安全問題17Windows文件系統(tǒng)安全NTFS文件系統(tǒng)權(quán)限控制（ACL）Windows系統(tǒng)審計機(jī)制Windows日志系統(tǒng)應(yīng)用程序安全設(shè)置應(yīng)用程序和服務(wù)日志應(yīng)用訪問日志FTP訪問日志IIS訪問日志18Windows系統(tǒng)審計機(jī)制Windows日志18Windows系統(tǒng)安全策略賬戶策略密碼策略賬戶鎖定策略本地策略審核策略用戶權(quán)限分配安全選項……19Windows系統(tǒng)安全策略賬戶策略19Windows系統(tǒng)安全配置1、安全配置前置工作2、賬號安全設(shè)置3、關(guān)閉自動播放4、遠(yuǎn)程訪問控制5、本地安全策略6、服務(wù)運(yùn)行安全設(shè)置7、使用第三方安全增強(qiáng)軟件20Windows系統(tǒng)安全配置1、安全配置前置工作20Windows安全設(shè)置1-前置工作安全的安裝分區(qū)設(shè)置：不要只使用一個分區(qū)系統(tǒng)補(bǔ)丁：SP+Hotfix補(bǔ)丁更新設(shè)置：檢查更新自動下載安裝或手動21Windows安全設(shè)置1-前置工作安全的安裝21Windows安全配置2-賬號安全設(shè)置賬號安全設(shè)置系統(tǒng)賬號策略設(shè)置賬號安全選項設(shè)置22Windows安全配置2-賬號安全設(shè)置賬號安全設(shè)置22賬號安全設(shè)置-保護(hù)賬號安全默認(rèn)管理賬戶administrator更名設(shè)置“好”的口令自己容易記、別人不好猜不安全口令實(shí)例：ZAQ!@WSXzaq12wsx安全口令實(shí)例:WdSrS1Y28r!23一句話“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作變形：單數(shù)字母大寫，最后加個感嘆號賬號安全設(shè)置-保護(hù)賬號安全默認(rèn)管理賬戶administrat賬號安全設(shè)置-系統(tǒng)賬號策略密碼策略：避免系統(tǒng)出現(xiàn)弱口令密碼必須符合復(fù)雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強(qiáng)制密碼歷史用可還原的加密來存儲密碼24賬號安全設(shè)置-系統(tǒng)賬號策略密碼策略：避免系統(tǒng)出現(xiàn)弱口令24賬號安全設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解賬號鎖定時間賬號鎖定閥值重置賬號鎖定計數(shù)器25賬號安全設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解25賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配從網(wǎng)絡(luò)訪問這臺計算機(jī)拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)管理審核和安全日志從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)26賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配26賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計算機(jī)時的登錄密碼設(shè)置屏幕保護(hù)恢復(fù)時的登錄密碼27賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計算機(jī)時的登錄密碼27Windows安全配置3-自動播放功能的威脅為方便用戶而設(shè)計惡意代碼借助移動存儲介質(zhì)傳播的方式28Windows安全配置3-自動播放功能的威脅為方便用戶而設(shè)計Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑29Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能29Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制共享安全防護(hù)30Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制30網(wǎng)絡(luò)訪問控制-防火墻設(shè)置確保啟用Windows自帶防火墻31網(wǎng)絡(luò)訪問控制-防火墻設(shè)置確保啟用Windows自帶防火墻31網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則入站規(guī)則連接安全規(guī)則監(jiān)視防火墻連接安全規(guī)則安全關(guān)聯(lián)32網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則32共享安全防護(hù)-共享安全風(fēng)險IPC$的安全問題（空會話連接導(dǎo)致信息泄露）管理共享風(fēng)險(遠(yuǎn)程文件操作)普通共享的風(fēng)險（遠(yuǎn)程文件操作）33系統(tǒng)用戶列表用戶信息共享列表……空會話連接共享安全防護(hù)-共享安全風(fēng)險IPC$的安全問題（空會話連接導(dǎo)致共享安全防護(hù)-關(guān)閉管理共享空會話連接控制本地安全策略設(shè)置中對匿名訪問的限制關(guān)閉管理共享：修改注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34共享安全防護(hù)-關(guān)閉管理共享空會話連接控制34Windows安全設(shè)置5-本地安全策略審核策略用戶權(quán)限分配安全選項……35Windows安全設(shè)置5-本地安全策略審核策略35本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地策略→安全選項交互式登錄：無須按Ctrl+Alt+Del，設(shè)置為已禁用交互式登錄：不顯示最后的用戶名，設(shè)置為已啟用設(shè)備：將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶，設(shè)置為已啟用36本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地策略→安全選項網(wǎng)絡(luò)訪問：不允許SAM賬號的匿名枚舉，設(shè)置為已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可匿名訪問的命名管道，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑，刪除策略設(shè)置里的值37本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地Windows安全配置6-服務(wù)運(yùn)行安全Windows服務(wù)（windowsservice)Windows服務(wù)程序是一個長時間運(yùn)行的可執(zhí)行程序，不需要用戶的交互，也不需要用戶登錄38Windows安全配置6-服務(wù)運(yùn)行安全Windows服務(wù)（w服務(wù)運(yùn)行安全設(shè)置-關(guān)閉不必要的服務(wù)關(guān)閉不需要的服務(wù)計劃任務(wù)遠(yuǎn)程操作注冊表……控制服務(wù)權(quán)限System(本地系統(tǒng))LocalServiceNetworkService39服務(wù)運(yùn)行安全設(shè)置-關(guān)閉不必要的服務(wù)關(guān)閉不需要的服務(wù)39Windows安全配置7-第三方安全軟件防病毒軟件安全防護(hù)軟件40Windows安全配置7-第三方安全軟件防病毒軟件40安裝防病毒軟件安裝病毒防護(hù)軟件惡意代碼是終端安全的最大威脅確保病毒防護(hù)軟件病毒庫更新病毒防護(hù)軟件主要工作機(jī)制：特征碼掃描開啟云查殺41安裝防病毒軟件安裝病毒防護(hù)軟件41系統(tǒng)安全防護(hù)軟件系統(tǒng)安全保護(hù)軟件影子系統(tǒng)主機(jī)入侵檢測42系統(tǒng)安全防護(hù)軟件系統(tǒng)安全保護(hù)軟件42知識域：操作系統(tǒng)安全43知識子域：Linux系統(tǒng)安全機(jī)制理解Linux系統(tǒng)標(biāo)識與鑒別、訪問控制、安全審計、文件系統(tǒng)、特權(quán)管理的安全機(jī)制掌握Linux系統(tǒng)的安全配置方法知識域：操作系統(tǒng)安全43知識子域：Linux系統(tǒng)安全機(jī)制Linux系統(tǒng)標(biāo)識與鑒別-安全主體安全主體用戶：身份標(biāo)識（UserID）組：身份標(biāo)識（GroupID）用戶與組基本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關(guān)系靈活（一對多、多對多等都可以）根用戶擁有所有權(quán)限44Linux系統(tǒng)標(biāo)識與鑒別-安全主體安全主體44Linux系統(tǒng)標(biāo)識與鑒別-帳號信息存儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow45Linux系統(tǒng)標(biāo)識與鑒別-帳號信息存儲信息存儲45用戶信息文件-passwd用于存放用戶信息（早期包括使用不可逆DES算法加密形成用戶密碼散列）特點(diǎn)文本格式全局可讀存儲條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh46用戶名早期：密碼散列X:代替密碼散列*:賬號不可交互登錄用戶ID用戶所屬組ID用戶信息用戶目錄用戶登錄后使用的shell用戶信息文件-passwd用于存放用戶信息（早期包括使用不可用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理信息等特點(diǎn)文本格式僅對root可讀可寫存儲條目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:99999:7:::47用戶登錄名及加密的用戶口令上次修改口令日期口令兩次修改最小天數(shù)及最大天數(shù)口令失效前多少天向用戶警告被禁止登錄前還有效天數(shù)帳號被禁止登錄時間保留域用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理Linux系統(tǒng)身份鑒別口令鑒別本地登錄遠(yuǎn)程登錄（telnet、FTP等）主機(jī)信任（基于證書）PAM（Pluggable

Authentication

Modules,可插拔驗證模塊）48……PAMAPI……logintelnetSSHLinuxKerberosS/keyPAMSPILinux系統(tǒng)身份鑒別口令鑒別48PAMAPI……logiLinux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限基本概念權(quán)限類型：讀、寫、執(zhí)行權(quán)限表示方式：模式位drwxr-xr-x3rootroot1024Sep1311:58test49文件類型：d為文件夾-是文件文件擁有者的權(quán)限（U）文件擁有者所在組其他用戶的權(quán)限（G）系統(tǒng)中其他用戶權(quán)限（O）鏈接數(shù)文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限基本概念49文Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法權(quán)限的特殊屬性

SUID、SGID、Sticky（防刪除）50-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法50-r-sLinux系統(tǒng)安全審計-日志系統(tǒng)系統(tǒng)日志類型連接時間日志/var/log/wtmp和/var/run/utmp由多個程序執(zhí)行，記錄用戶登錄時間進(jìn)程統(tǒng)計由系統(tǒng)內(nèi)核執(zhí)行，為系統(tǒng)基本服務(wù)提供命令使用統(tǒng)計錯誤日志/var/og/messages由syslogd守護(hù)記錄，制定注意的事項應(yīng)用程序日志應(yīng)用程序如（HTTP、FTP）等創(chuàng)建的日志51Linux系統(tǒng)安全審計-日志系統(tǒng)系統(tǒng)日志類型51Linux文件系統(tǒng)文件系統(tǒng)類型日志文件系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統(tǒng)安全訪問權(quán)限文件系統(tǒng)加密eCryptfs（EnterpriseCryptographicFilesystem）基于內(nèi)核，安全性高，用戶操作便利加密元數(shù)據(jù)寫在每個加密文件的頭部，方便遷移，備份52Linux文件系統(tǒng)文件系統(tǒng)類型52文件系統(tǒng)目錄結(jié)構(gòu)53/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmp文件系統(tǒng)目錄結(jié)構(gòu)53/homebinprocLinux系統(tǒng)的特權(quán)管理特權(quán)劃分分割管理權(quán)限，30多種管理特權(quán)根用戶（root）擁有所有特權(quán)普通用戶特權(quán)操作實(shí)現(xiàn)setuidsetgid特權(quán)保護(hù)：保護(hù)root賬號不直接使用root登錄，普通用戶su成為root控制root權(quán)限使用54Linux系統(tǒng)的特權(quán)管理特權(quán)劃分54Linux系統(tǒng)安全設(shè)置1、安全配置前置工作2、賬號和口令安全3、系統(tǒng)服務(wù)配置4、遠(yuǎn)程登錄安全5、文件和目錄安全6、系統(tǒng)日志配置7、使用安全軟件55Linux系統(tǒng)安全設(shè)置1、安全配置前置工作55Linux設(shè)置——安全配置前置工作系統(tǒng)安裝使用官方/正版軟件分區(qū)掛載重要目錄根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應(yīng)分開到不同的磁盤分區(qū)自定義安裝，選擇需要的軟件包不安裝全部軟件包，尤其是那些不需要的網(wǎng)絡(luò)服務(wù)包系統(tǒng)補(bǔ)丁及時安裝系統(tǒng)補(bǔ)丁更新補(bǔ)丁前，要求先在測試系統(tǒng)上對補(bǔ)丁進(jìn)行可用性和兼容性驗證56Linux設(shè)置——安全配置前置工作系統(tǒng)安裝56Linux設(shè)置——賬號和口令安全賬號通用配置保護(hù)root賬號口令安全策略57Linux設(shè)置——賬號和口令安全賬號通用配置57賬號和口令安全——賬號通用配置（1）檢查、清除系統(tǒng)中多余賬號檢查#cat/etc/passwd#cat/etc/shadow清除多余賬號鎖定賬號特殊保留的系統(tǒng)偽賬戶，可以設(shè)置鎖定登錄鎖定命令：#passwd-l<用戶名>解鎖命令：#passwd-u<用戶名>58賬號和口令安全——賬號通用配置（1）檢查、清除系統(tǒng)中多余賬號賬號和口令安全——賬號通用配置（2）禁用root之外的超級用戶打開系統(tǒng)賬號文件/etc/passwd若用戶ID=0，則表示該用戶擁有超級用戶的權(quán)限檢查是否有多個ID=0禁用或刪除多余的賬號59賬號和口令安全——賬號通用配置（2）禁用root之外的超級用賬號和口令安全——賬號通用配置（3）檢查是否存在空口令賬號執(zhí)行命令#awk-F:'(==""){print$1}'/etc/shadow如果存在空口令賬號，則對其進(jìn)行鎖定，或要求增加密碼要確認(rèn)空口令賬戶是否和已有應(yīng)用關(guān)聯(lián)，增加密碼是否會引起應(yīng)用無法連接的問題60賬號和口令安全——賬號通用配置（3）檢查是否存在空口令賬號6賬號和口令安全——賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間修改賬戶超時值，設(shè)置自動注銷時間61賬號和口令安全——賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定賬號和口令安全——保護(hù)root賬號root賬號權(quán)限很高保護(hù)措施禁止使用root登錄系統(tǒng)只允許普通用戶登陸，然后通過su命令切換到root不要隨意把rootshell留在終端上；不要把當(dāng)前目錄(“./”)和普通用戶的bin目錄放在root賬號的環(huán)境變量PATH中永遠(yuǎn)不以root運(yùn)行其他用戶的或不熟悉的程序62賬號和口令安全——保護(hù)root賬號root賬號權(quán)限很高62賬號和口令安全——口令安全策略口令安全策略要求使用安全口令口令長度、字符要求口令修改策略強(qiáng)制口令使用有效期設(shè)置口令修改提醒設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間63vi

/etc/login.def

PASS_MAX_DAYS 90

PASS_MIN_DAYS 7

PASS_MIN_LEN

6

PASS_WARN_AGE 28賬號和口令安全——口令安全策略口令安全策略63vi

/etcLinux設(shè)置——系統(tǒng)服務(wù)配置禁止危險的網(wǎng)絡(luò)服務(wù)telnet、FTPecho、chargen、shell、finger、NFS、RPC等關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)talk、ntalk等確保最新版本使用當(dāng)前最新和最安全的版本的服務(wù)軟件64關(guān)閉郵件服務(wù)：chkconfig--level12345sendmailoff關(guān)閉圖形登錄服務(wù)：編輯/etc/inittab文件，修改為id:3:initdefault:關(guān)閉Xfont服務(wù)：chkconfigxfsoffLinux設(shè)置——系統(tǒng)服務(wù)配置禁止危險的網(wǎng)絡(luò)服務(wù)64關(guān)閉郵件Linux設(shè)置——遠(yuǎn)程登錄安全禁用telnet,使用SSH進(jìn)行管理限制能夠登錄本機(jī)的IP地址禁止root用戶遠(yuǎn)程登陸限定信任主機(jī)修改banner信息65Linux設(shè)置——遠(yuǎn)程登錄安全禁用telnet,使用SSH進(jìn)遠(yuǎn)程登錄安全——使用SSH/限制登錄IP禁用telnet,使用SSH進(jìn)行管理開啟ssh服務(wù)：#servicesshdstart限制能夠登錄本機(jī)的IP地址#vi/etc/ssh/sshd_config添加（或修改）：AllowUsersxyz@3允許用戶xyz通過地址3來登錄本機(jī)AllowUsers*@192.168.*.*僅允許/16網(wǎng)段所有用戶通過ssh訪問。66遠(yuǎn)程登錄安全——使用SSH/限制登錄IP禁用telnet,使遠(yuǎn)程登錄安全——禁止root/限定信任主機(jī)禁止root用戶遠(yuǎn)程登陸#cat/etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機(jī)#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述兩個文件中的主機(jī)，刪除其中不必要的主機(jī)，防止存在多余的信任主機(jī)或直接關(guān)閉所有R系列遠(yuǎn)程服務(wù)rloginrshrexec67遠(yuǎn)程登錄安全——禁止root/限定信任主機(jī)禁止root用戶遠(yuǎn)遠(yuǎn)程登錄安全——修改banner信息系統(tǒng)banner信息一般會給出操作系統(tǒng)名稱、版本號、主機(jī)名稱等修改banner信息查看修改sshd_config#vi/etc/ssh/sshd_config如存在，則將banner字段設(shè)置為NONE查看修改motd：#vi/etc/motd該處內(nèi)容將作為banner信息顯示給登錄用戶。查看該文件內(nèi)容，刪除其中的內(nèi)容，或更新成自己想要添加的內(nèi)容68遠(yuǎn)程登錄安全——修改banner信息系統(tǒng)banner信息68Linux設(shè)置——文件和目錄安全設(shè)置文件目錄權(quán)限設(shè)置默認(rèn)umask值檢查SUID/SGID文件69Linux設(shè)置——文件和目錄安全設(shè)置文件目錄權(quán)限69文件和目錄安全——設(shè)置文件目錄權(quán)限保護(hù)重要的文件目錄，限制用戶訪問設(shè)置文件的屬主和屬性以進(jìn)行保護(hù)極其重要的文件或目錄可以設(shè)置為不可改變屬性chattr

+i

/etc/passwd臨時文件不應(yīng)該有執(zhí)行權(quán)限70常見文件權(quán)限及屬性的操作命令：

chmod、chown、chattr文件和目錄安全——設(shè)置文件目錄權(quán)限保護(hù)重要的文件目錄，限制用文件和目錄安全——設(shè)置默認(rèn)umask值設(shè)置新創(chuàng)建文件的默認(rèn)權(quán)限掩碼可以根據(jù)要求設(shè)置新文件的默認(rèn)訪問權(quán)限，如僅允許文件屬主訪問，不允許其他人訪問umask設(shè)置的是權(quán)限“補(bǔ)碼”設(shè)置方法使用umask命令如#umask066編輯/etc/profile文件，設(shè)置umask值71文件和目錄安全——設(shè)置默認(rèn)umask值設(shè)置新創(chuàng)建文件的默認(rèn)權(quán)文件和目錄安全——檢查SUID/SGID文件SUID/SGID的程序在運(yùn)行時，將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定的安全隱患找出系統(tǒng)中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶濫用及提升權(quán)限的可能性,其命令如下：查找SUID可執(zhí)行程序#

find

/

-perm

-4000

-user

0

–ls

查找SGID程序#

find

/

-perm

-2000

-user

0

–ls

72文件和目錄安全——檢查SUID/SGID文件SUID/SGILinux設(shè)置——系統(tǒng)日志配置（1）73保護(hù)日志文件審查日志中不正常情況非常規(guī)時間登錄日志殘缺Su的使用服務(wù)的啟動情況……Linux設(shè)置——系統(tǒng)日志配置（1）73保護(hù)日志文件Linux設(shè)置——系統(tǒng)日志配置（2）啟用syslog服務(wù)配置日志存儲策略打開/etc/logrotate.d/syslog文件，檢查其對日志存儲空間的大小和時間的設(shè)置使用syslog設(shè)備Syslog.conf設(shè)置使用syslog日志服務(wù)器74Linux設(shè)置——系統(tǒng)日志配置（2）啟用syslog服務(wù)74Linux設(shè)置——使用安全軟件啟用主機(jī)防火墻使用最新版本安全軟件75Linux設(shè)置——使用安全軟件啟用主機(jī)防火墻75使用安全軟件——使用主機(jī)防火墻（1）76Linux下的防火墻框架iptables包過濾NAT數(shù)據(jù)包處理Iptables基本規(guī)則Iptables[-ttable]command[match][target]Iptables基本應(yīng)用Iptables–AINPUT–s–jACCEPTIptables–DINPUT–dport80–jDROP使用安全軟件——使用主機(jī)防火墻（1）76Linux下的防火墻使用安全軟件——使用主機(jī)防火墻（2）Iptables已內(nèi)嵌到Linux系統(tǒng)中功能較強(qiáng)大建議設(shè)置Linux開機(jī)后自動啟動該防火墻77使用安全軟件——使用主機(jī)防火墻（2）Iptables77使用安全軟件——使用最新版本安全軟件使用官方安全軟件opensshopensslsnort…使用最新版軟件及時消除安全隱患78使用安全軟件——使用最新版本安全軟件使用官方安全軟件78知識域：操作系統(tǒng)安全知識子域：安全操作系統(tǒng)了解安全操作系統(tǒng)的發(fā)展了解安全操作系統(tǒng)的設(shè)計原則79知識域：操作系統(tǒng)安全知識子域：安全操作系統(tǒng)79安全操作系統(tǒng)概念操作系統(tǒng)安全安全設(shè)置安全增強(qiáng)安全操作系統(tǒng)可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)（TruestedComputerSecurityEvaluationCritria，TCSEC）可信操作系統(tǒng)80安全操作系統(tǒng)概念操作系統(tǒng)安全80安全操作系統(tǒng)研究概況1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年來TrustedBSDSELinuxAppArmor81安全操作系統(tǒng)研究概況1965年，Multics81SELinux簡介SELinux安全增強(qiáng)Linux（SecurityEnhancedLinux）安全子系統(tǒng)強(qiáng)制訪問控制（MAC）美國國家安全局開發(fā)以GNUGPL形式開源發(fā)布82SELinux簡介SELinux82謝謝，請?zhí)釂栴}！謝謝，請?zhí)釂栴}！操作系統(tǒng)安全培訓(xùn)機(jī)構(gòu)名稱講師名稱版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1操作系統(tǒng)安全培訓(xùn)機(jī)構(gòu)名稱版本：3.0課程內(nèi)容85操作系統(tǒng)與數(shù)據(jù)庫安全知識體知識域操作系統(tǒng)安全知識子域Windows系統(tǒng)安全機(jī)制操作系統(tǒng)安全概述Linux系統(tǒng)安全機(jī)制安全操作系統(tǒng)數(shù)據(jù)庫安全課程內(nèi)容2操作系統(tǒng)與數(shù)據(jù)庫安全知識體知識域操作系統(tǒng)安全知識子知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概念了解操作系統(tǒng)的作用與功能了解操作系統(tǒng)的主要安全設(shè)計機(jī)制理解操作系統(tǒng)的安全配置要點(diǎn)86知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概念3操作系統(tǒng)的功能用戶與計算機(jī)硬件之間的接口操作系統(tǒng)為用戶提供了虛擬計算機(jī)，把硬件的復(fù)雜性與用戶隔離計算機(jī)系統(tǒng)的資源管理者CPU管理存儲管理設(shè)備管理文件管理網(wǎng)絡(luò)與通信管理用戶接口87硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等內(nèi)核系統(tǒng)調(diào)用接口用戶進(jìn)程操作系統(tǒng)的功能用戶與計算機(jī)硬件之間的接口4硬件：CPU、內(nèi)存操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)標(biāo)識系統(tǒng)中的用戶和進(jìn)行身份鑒別依據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶和外來入侵者對計算機(jī)資源的非法訪問監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全和完整性88操作系統(tǒng)安全目標(biāo)操作系統(tǒng)安全目標(biāo)5操作系統(tǒng)安全機(jī)制（一）標(biāo)識與鑒別用戶身份合法性鑒別操作系統(tǒng)登錄訪問控制防止對資源的非法使用限制訪問主體對訪問客體的訪問權(quán)限D(zhuǎn)AC、MAC、RBAC最小特權(quán)管理限制、分割用戶、進(jìn)程對系統(tǒng)資源的訪問權(quán)限“必不可少的”權(quán)限89操作系統(tǒng)安全機(jī)制（一）標(biāo)識與鑒別6操作系統(tǒng)安全機(jī)制（二）信道保護(hù)正常信道的保護(hù)可信通路（TrustedPath）安全鍵（SAK）90操作系統(tǒng)安全機(jī)制（二）信道保護(hù)7操作系統(tǒng)安全機(jī)制（三）安全審計對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查以及審核審計一般是一個獨(dú)立的過程內(nèi)存存取保護(hù)進(jìn)程間/系統(tǒng)進(jìn)程內(nèi)存保護(hù)段式保護(hù)、頁式保護(hù)和段頁式保護(hù)文件系統(tǒng)保護(hù)分區(qū)文件共享文件備份91操作系統(tǒng)安全機(jī)制（三）安全審計8知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機(jī)制理解Windows系統(tǒng)標(biāo)識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統(tǒng)的安全機(jī)制和安全策略掌握Windows系統(tǒng)的安全配置方法92知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機(jī)制9Windows系統(tǒng)標(biāo)識與鑒別-安全主體安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機(jī)服務(wù)93Windows系統(tǒng)標(biāo)識與鑒別-安全主體安全主體類型10Windows系統(tǒng)標(biāo)識與鑒別-安全標(biāo)識安全標(biāo)識符（SecurityIdentifier，SID）安全主體的代表（標(biāo)識用戶、組和計算機(jī)賬戶的唯一編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-100094Windows系統(tǒng)標(biāo)識與鑒別-安全標(biāo)識安全標(biāo)識符（SecurWindows系統(tǒng)標(biāo)識與鑒別-用戶鑒別95賬戶信息管理機(jī)制登錄驗證本地登錄驗證遠(yuǎn)程登錄驗證Windows系統(tǒng)標(biāo)識與鑒別-用戶鑒別12賬戶信息管理機(jī)制Windows用戶身份鑒別帳號信息存儲（SAM:安全賬號管理）運(yùn)行期鎖定、存儲格式加密僅對system帳號有權(quán)限，通過服務(wù)進(jìn)行訪問控制Windows用戶身份鑒別：本地登錄GINA（GraphicalIdentificationandAuthentication:圖形化識別和驗證)LSA（LocalSecurityAuthority：本地安全授權(quán)）96SAM賬戶信息庫GINALSAWindows用戶身份鑒別帳號信息存儲（SAM:安全賬號管理Windows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議SMB（ServerMessageBlock）:口令明文傳輸LM（LANManager）：口令哈希傳輸，強(qiáng)度低NTLM（NTLANManager）：提高口令散列加密強(qiáng)度、挑戰(zhàn)/響應(yīng)機(jī)制Kerberos：為分布網(wǎng)絡(luò)提供單一身份驗證97Windows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議14Windows系統(tǒng)訪問控制-ACL訪問控制列表（AccessControlList，ACL）NTFS文件系統(tǒng)支持權(quán)限存儲流文件系統(tǒng)中自主訪問控制靈活性高，安全性不高98Windows系統(tǒng)訪問控制-ACL訪問控制列表（AccessWindows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（UserAccountControl，UAC）完全訪問令牌標(biāo)準(zhǔn)受限訪問令牌99Windows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（UseWindows文件系統(tǒng)安全NTFS文件系統(tǒng)權(quán)限控制（ACL）文件、文件夾、注冊表鍵值、打印機(jī)等對象安全加密EFS(EFS(EncryptingFileSystem)Windows內(nèi)置，與文件系統(tǒng)高度集成對windows用戶透明對稱與非對稱算法結(jié)合Bitlocker對整個操作系統(tǒng)卷加密解決設(shè)備物理丟失安全問題100Windows文件系統(tǒng)安全NTFS文件系統(tǒng)權(quán)限控制（ACL）Windows系統(tǒng)審計機(jī)制Windows日志系統(tǒng)應(yīng)用程序安全設(shè)置應(yīng)用程序和服務(wù)日志應(yīng)用訪問日志FTP訪問日志IIS訪問日志101Windows系統(tǒng)審計機(jī)制Windows日志18Windows系統(tǒng)安全策略賬戶策略密碼策略賬戶鎖定策略本地策略審核策略用戶權(quán)限分配安全選項……102Windows系統(tǒng)安全策略賬戶策略19Windows系統(tǒng)安全配置1、安全配置前置工作2、賬號安全設(shè)置3、關(guān)閉自動播放4、遠(yuǎn)程訪問控制5、本地安全策略6、服務(wù)運(yùn)行安全設(shè)置7、使用第三方安全增強(qiáng)軟件103Windows系統(tǒng)安全配置1、安全配置前置工作20Windows安全設(shè)置1-前置工作安全的安裝分區(qū)設(shè)置：不要只使用一個分區(qū)系統(tǒng)補(bǔ)?。篠P+Hotfix補(bǔ)丁更新設(shè)置：檢查更新自動下載安裝或手動104Windows安全設(shè)置1-前置工作安全的安裝21Windows安全配置2-賬號安全設(shè)置賬號安全設(shè)置系統(tǒng)賬號策略設(shè)置賬號安全選項設(shè)置105Windows安全配置2-賬號安全設(shè)置賬號安全設(shè)置22賬號安全設(shè)置-保護(hù)賬號安全默認(rèn)管理賬戶administrator更名設(shè)置“好”的口令自己容易記、別人不好猜不安全口令實(shí)例：ZAQ!@WSXzaq12wsx安全口令實(shí)例:WdSrS1Y28r!106一句話“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作變形：單數(shù)字母大寫，最后加個感嘆號賬號安全設(shè)置-保護(hù)賬號安全默認(rèn)管理賬戶administrat賬號安全設(shè)置-系統(tǒng)賬號策略密碼策略：避免系統(tǒng)出現(xiàn)弱口令密碼必須符合復(fù)雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強(qiáng)制密碼歷史用可還原的加密來存儲密碼107賬號安全設(shè)置-系統(tǒng)賬號策略密碼策略：避免系統(tǒng)出現(xiàn)弱口令24賬號安全設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解賬號鎖定時間賬號鎖定閥值重置賬號鎖定計數(shù)器108賬號安全設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解25賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配從網(wǎng)絡(luò)訪問這臺計算機(jī)拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)管理審核和安全日志從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)109賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配26賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計算機(jī)時的登錄密碼設(shè)置屏幕保護(hù)恢復(fù)時的登錄密碼110賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計算機(jī)時的登錄密碼27Windows安全配置3-自動播放功能的威脅為方便用戶而設(shè)計惡意代碼借助移動存儲介質(zhì)傳播的方式111Windows安全配置3-自動播放功能的威脅為方便用戶而設(shè)計Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑112Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能29Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制共享安全防護(hù)113Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制30網(wǎng)絡(luò)訪問控制-防火墻設(shè)置確保啟用Windows自帶防火墻114網(wǎng)絡(luò)訪問控制-防火墻設(shè)置確保啟用Windows自帶防火墻31網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則入站規(guī)則連接安全規(guī)則監(jiān)視防火墻連接安全規(guī)則安全關(guān)聯(lián)115網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則32共享安全防護(hù)-共享安全風(fēng)險IPC$的安全問題（空會話連接導(dǎo)致信息泄露）管理共享風(fēng)險(遠(yuǎn)程文件操作)普通共享的風(fēng)險（遠(yuǎn)程文件操作）116系統(tǒng)用戶列表用戶信息共享列表……空會話連接共享安全防護(hù)-共享安全風(fēng)險IPC$的安全問題（空會話連接導(dǎo)致共享安全防護(hù)-關(guān)閉管理共享空會話連接控制本地安全策略設(shè)置中對匿名訪問的限制關(guān)閉管理共享：修改注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters117共享安全防護(hù)-關(guān)閉管理共享空會話連接控制34Windows安全設(shè)置5-本地安全策略審核策略用戶權(quán)限分配安全選項……118Windows安全設(shè)置5-本地安全策略審核策略35本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地策略→安全選項交互式登錄：無須按Ctrl+Alt+Del，設(shè)置為已禁用交互式登錄：不顯示最后的用戶名，設(shè)置為已啟用設(shè)備：將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶，設(shè)置為已啟用119本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地策略→安全選項網(wǎng)絡(luò)訪問：不允許SAM賬號的匿名枚舉，設(shè)置為已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可匿名訪問的命名管道，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑，刪除策略設(shè)置里的值120本地安全策略-安全選項管理工具→本地安全策略→安全設(shè)置→本地Windows安全配置6-服務(wù)運(yùn)行安全Windows服務(wù)（windowsservice)Windows服務(wù)程序是一個長時間運(yùn)行的可執(zhí)行程序，不需要用戶的交互，也不需要用戶登錄121Windows安全配置6-服務(wù)運(yùn)行安全Windows服務(wù)（w服務(wù)運(yùn)行安全設(shè)置-關(guān)閉不必要的服務(wù)關(guān)閉不需要的服務(wù)計劃任務(wù)遠(yuǎn)程操作注冊表……控制服務(wù)權(quán)限System(本地系統(tǒng))LocalServiceNetworkService122服務(wù)運(yùn)行安全設(shè)置-關(guān)閉不必要的服務(wù)關(guān)閉不需要的服務(wù)39Windows安全配置7-第三方安全軟件防病毒軟件安全防護(hù)軟件123Windows安全配置7-第三方安全軟件防病毒軟件40安裝防病毒軟件安裝病毒防護(hù)軟件惡意代碼是終端安全的最大威脅確保病毒防護(hù)軟件病毒庫更新病毒防護(hù)軟件主要工作機(jī)制：特征碼掃描開啟云查殺124安裝防病毒軟件安裝病毒防護(hù)軟件41系統(tǒng)安全防護(hù)軟件系統(tǒng)安全保護(hù)軟件影子系統(tǒng)主機(jī)入侵檢測125系統(tǒng)安全防護(hù)軟件系統(tǒng)安全保護(hù)軟件42知識域：操作系統(tǒng)安全126知識子域：Linux系統(tǒng)安全機(jī)制理解Linux系統(tǒng)標(biāo)識與鑒別、訪問控制、安全審計、文件系統(tǒng)、特權(quán)管理的安全機(jī)制掌握Linux系統(tǒng)的安全配置方法知識域：操作系統(tǒng)安全43知識子域：Linux系統(tǒng)安全機(jī)制Linux系統(tǒng)標(biāo)識與鑒別-安全主體安全主體用戶：身份標(biāo)識（UserID）組：身份標(biāo)識（GroupID）用戶與組基本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關(guān)系靈活（一對多、多對多等都可以）根用戶擁有所有權(quán)限127Linux系統(tǒng)標(biāo)識與鑒別-安全主體安全主體44Linux系統(tǒng)標(biāo)識與鑒別-帳號信息存儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow128Linux系統(tǒng)標(biāo)識與鑒別-帳號信息存儲信息存儲45用戶信息文件-passwd用于存放用戶信息（早期包括使用不可逆DES算法加密形成用戶密碼散列）特點(diǎn)文本格式全局可讀存儲條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh129用戶名早期：密碼散列X:代替密碼散列*:賬號不可交互登錄用戶ID用戶所屬組ID用戶信息用戶目錄用戶登錄后使用的shell用戶信息文件-passwd用于存放用戶信息（早期包括使用不可用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理信息等特點(diǎn)文本格式僅對root可讀可寫存儲條目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:99999:7:::130用戶登錄名及加密的用戶口令上次修改口令日期口令兩次修改最小天數(shù)及最大天數(shù)口令失效前多少天向用戶警告被禁止登錄前還有效天數(shù)帳號被禁止登錄時間保留域用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理Linux系統(tǒng)身份鑒別口令鑒別本地登錄遠(yuǎn)程登錄（telnet、FTP等）主機(jī)信任（基于證書）PAM（Pluggable

Authentication

Modules,可插拔驗證模塊）131……PAMAPI……logintelnetSSHLinuxKerberosS/keyPAMSPILinux系統(tǒng)身份鑒別口令鑒別48PAMAPI……logiLinux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限基本概念權(quán)限類型：讀、寫、執(zhí)行權(quán)限表示方式：模式位drwxr-xr-x3rootroot1024Sep1311:58test132文件類型：d為文件夾-是文件文件擁有者的權(quán)限（U）文件擁有者所在組其他用戶的權(quán)限（G）系統(tǒng)中其他用戶權(quán)限（O）鏈接數(shù)文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限基本概念49文Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法權(quán)限的特殊屬性

SUID、SGID、Sticky（防刪除）133-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法50-r-sLinux系統(tǒng)安全審計-日志系統(tǒng)系統(tǒng)日志類型連接時間日志/var/log/wtmp和/var/run/utmp由多個程序執(zhí)行，記錄用戶登錄時間進(jìn)程統(tǒng)計由系統(tǒng)內(nèi)核執(zhí)行，為系統(tǒng)基本服務(wù)提供命令使用統(tǒng)計錯誤日志/var/og/messages由syslogd守護(hù)記錄，制定注意的事項應(yīng)用程序日志應(yīng)用程序如（HTTP、FTP）等創(chuàng)建的日志134Linux系統(tǒng)安全審計-日志系統(tǒng)系統(tǒng)日志類型51Linux文件系統(tǒng)文件系統(tǒng)類型日志文件系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統(tǒng)安全訪問權(quán)限文件系統(tǒng)加密eCryptfs（EnterpriseCryptographicFilesystem）基于內(nèi)核，安全性高，用戶操作便利加密元數(shù)據(jù)寫在每個加密文件的頭部，方便遷移，備份135Linux文件系統(tǒng)文件系統(tǒng)類型52文件系統(tǒng)目錄結(jié)構(gòu)136/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmp文件系統(tǒng)目錄結(jié)構(gòu)53/homebinprocLinux系統(tǒng)的特權(quán)管理特權(quán)劃分分割管理權(quán)限，30多種管理特權(quán)根用戶（root）擁有所有特權(quán)普通用戶特權(quán)操作實(shí)現(xiàn)setuidsetgid特權(quán)保護(hù)：保護(hù)root賬號不直接使用root登錄，普通用戶su成為root控制root權(quán)限使用137Linux系統(tǒng)的特權(quán)管理特權(quán)劃分54Linux系統(tǒng)安全設(shè)置1、安全配置前置工作2、賬號和口令安全3、系統(tǒng)服務(wù)配置4、遠(yuǎn)程登錄安全5、文件和目錄安全6、系統(tǒng)日志配置7、使用安全軟件138Linux系統(tǒng)安全設(shè)置1、安全配置前置工作55Linux設(shè)置——安全配置前置工作系統(tǒng)安裝使用官方/正版軟件分區(qū)掛載重要目錄根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應(yīng)分開到不同的磁盤分區(qū)自定義安裝，選擇需要的軟件包不安裝全部軟件包，尤其是那些不需要的網(wǎng)絡(luò)服務(wù)包系統(tǒng)補(bǔ)丁及時安裝系統(tǒng)補(bǔ)丁更新補(bǔ)丁前，要求先在測試系統(tǒng)上對補(bǔ)丁進(jìn)行可用性和兼容性驗證139Linux設(shè)置——安全配置前置工作系統(tǒng)安裝56Linux設(shè)置——賬號和口令安全賬號通用配置保護(hù)root賬號口令安全策略140Linux設(shè)置——賬號和口令安全賬號通用配置57賬號和口令安全——賬號通用配置（1）檢查、清除系統(tǒng)中多余賬號檢查#cat/etc/passwd#cat/etc/shadow清除多余賬號鎖定賬號特殊保留的系統(tǒng)偽賬戶，可以設(shè)置鎖定登錄鎖定命令：#passwd-l<用戶名>解鎖命令：#passwd-u<用戶名>141賬號和口令安全——賬號通用配置（1）檢查、清除系統(tǒng)中多余賬號賬號和口令安全——賬號通用配置（2）禁用root之外的超級用戶打開系統(tǒng)賬號文件/etc/passwd若用戶ID=0，則表示該用戶擁有超級用戶的權(quán)限檢查是否有多個ID=0禁用或刪除多余的賬號142賬號和口令安全——賬號通用配置（2）禁用root之外的超級用賬號和口令安全——賬號通用配置（3）檢查是否存在空口令賬號執(zhí)行命令#awk-F:'(==""){print$1}'/etc/shadow如果存在空口令賬號，則對其進(jìn)行鎖定，或要求增加密碼要確認(rèn)空口令賬戶是否和已有應(yīng)用關(guān)聯(lián)，增加密碼是否會引起應(yīng)用無法連接的問題143賬號和口令安全——賬號通用配置（3）檢查是否存在空口令賬號6賬號和口令安全——賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間修改賬戶超時值，設(shè)置自動注銷時間144賬號和口令安全——賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定賬號和口令安全——保護(hù)root賬號root賬號權(quán)限很高保護(hù)措施禁止使用root登錄系統(tǒng)只允許普通用戶登陸，然后通過su命令切換到root不要隨意把rootshell留在終端上；不要把當(dāng)前目錄(“./”)和普通用戶的bin目錄放在root賬號的環(huán)境變量PATH中永遠(yuǎn)不以root運(yùn)行其他用戶的或不熟悉的程序145賬號和口令安全——保護(hù)root賬號root賬號權(quán)限很高62賬號和口令安全——口令安全策略口令安全策略要求使用安全口令口令長度、字符要求口令修改策略強(qiáng)制口令使用有效期設(shè)置口令修改提醒設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間146vi

/etc/login.def

PASS_MAX_DAYS 90

PASS_MIN_DAYS 7

PASS_MIN_LEN

6

PASS_WARN_AGE 28賬號和口令安全——口令安全策略口令安全策略63vi

/etcLinux設(shè)置——系統(tǒng)服務(wù)配置禁止危險的網(wǎng)絡(luò)服務(wù)telnet、FTPecho、chargen、shell、finger、NFS、RPC等關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)talk、ntalk等確保最新版本使用當(dāng)前最新和最安全的版本的服務(wù)軟件147關(guān)閉郵件服務(wù)：chkconfig--level12345sendmailoff關(guān)閉圖形登錄服務(wù)：編輯/etc/inittab文件，修改為id:3:initdefault:關(guān)閉Xfont服務(wù)：chkconfigxfsoffLinux設(shè)置——系統(tǒng)服務(wù)配置禁止危險的網(wǎng)絡(luò)服務(wù)64關(guān)閉郵件Linux設(shè)置——遠(yuǎn)程登錄安全禁用telnet,使用SSH進(jìn)行管理限制能夠登錄本機(jī)的IP地址禁止root用戶遠(yuǎn)程登陸限定信任主機(jī)修改banner信息148Linux設(shè)置——遠(yuǎn)程登錄安全禁用telnet,使用SSH進(jìn)遠(yuǎn)程登錄安全——使用SSH/限制登錄IP禁用telnet,使用SSH進(jìn)行管理開啟ssh服務(wù)：#servicesshdstart限制能夠登錄本機(jī)的IP地址#vi/etc/ssh/sshd_config添加（或修改）：AllowUsersxyz@3允許用戶xyz通過地址3來登錄本機(jī)AllowUsers*@192.168.*.*僅允許/16網(wǎng)段所有用戶通過ssh訪問。149遠(yuǎn)程登錄安全——使用SSH/限制登錄IP禁用telnet,使遠(yuǎn)程登錄安全——禁止root/限定信任主機(jī)禁止root用戶遠(yuǎn)程登陸#cat/etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機(jī)#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述兩個文件中的主機(jī)，刪除其中不必要的主機(jī)，防止存在多余的信任主機(jī)或直接關(guān)閉所有R系列遠(yuǎn)程服務(wù)rlo