Linux操作系統(tǒng)基礎(chǔ)與應(yīng)用（RHEL8.1）（第2版）課件 項目11 Linux安全設(shè)置及日志管理

項目11

Linux安全設(shè)置及日志管理【項目導(dǎo)入】Linux系統(tǒng)安全機制是指通過一系列的安全措施，保護Linux系統(tǒng)的安全性和可靠性，防止系統(tǒng)受到惡意攻擊和破壞。Linux系統(tǒng)的安全機制主要包括訪問控制、密碼策略、文件系統(tǒng)安全、防火墻和網(wǎng)絡(luò)安全等方面。本項目首先介紹了Linux中的常見安全設(shè)置，包括賬號、登錄和網(wǎng)絡(luò)安全設(shè)置，然后介紹了Linux中的日志管理相關(guān)知識，包括日志的管理和維護等。任務(wù)11.1Linux安全設(shè)置

工作任務(wù)通過閱讀文獻、查閱資料了解與認(rèn)識Linux安全設(shè)置。隨著Linux的日益普及，越來越多的用戶開始使用不同版本的Linux系統(tǒng)。Linux作為一個開源系統(tǒng)，其安全性也受到越來越多的挑戰(zhàn)，用戶在使用Linux系統(tǒng)時也會遇到越來越多的安全性問題。學(xué)習(xí)Linux安全設(shè)置將有助于創(chuàng)建一個更安全的Linux系統(tǒng)環(huán)境。本節(jié)將通過幾個方面簡要介紹Linux系統(tǒng)中常見的安全設(shè)置。（一）

賬號安全設(shè)置Linux系統(tǒng)是非常安全的，但是，也必須采取措施防止未經(jīng)授權(quán)的用戶訪問或篡改數(shù)據(jù)。在Linux系統(tǒng)中，人們可以實現(xiàn)安全的用戶設(shè)置來防止用戶未經(jīng)授權(quán)進行注冊，賬號被盜等行為，并通過采取適當(dāng)?shù)陌踩呗?，有效地減少系統(tǒng)遭受攻擊的風(fēng)險。1．修改root賬號權(quán)限r(nóng)oot是系統(tǒng)中的超級用戶，具有系統(tǒng)中所有的權(quán)限，如啟動或停止一個進程，刪除或增加用戶，增加或者禁用硬件等?？梢酝ㄟ^修改root的UID號，將普通用戶的UID改為0，使root變?yōu)槠胀ㄓ脩?，普通用戶成為root；也可以修改root賬號的名稱為普通用戶名，這樣，即使root遭到破解，也沒有權(quán)限進行任何操作?！纠?1-1】修改root賬戶的登錄用戶名。[root@localhost～]#vi/etc/passwd按I鍵進入編輯狀態(tài)。修改第1行第1個root為新的用戶名。按Esc鍵退出編輯狀態(tài)，并輸入:x保存并退出。[root@localhost～]#vi/etc/shadow按I鍵進入編輯狀態(tài)。修改第1行第1個root為新的用戶名。按Esc鍵退出編輯狀態(tài)，并輸入:x!強制保存并退出。2．刪除不必要的用戶和組在系統(tǒng)中，賬戶越多，系統(tǒng)就越不安全，越容易受到攻擊。管理用戶的root賬號所屬的組擁有系統(tǒng)運營文件的訪問權(quán)限，如果該組疏忽管理，一般用戶就有可能會以管理員的權(quán)限非法訪問系統(tǒng)，進行惡意修改或變更等操作，因此該組也保留盡可能少的賬號。【例11-2】刪除用戶username和組groupname。[root@localhost～]#userdelusername[root@localhost～]#groupdelgroupname3．賬號密碼安全設(shè)置如果需要控制整個系統(tǒng)，需要獲得管理員或超級管理員的密碼。弱密碼易于破解，但強密碼難以破解，即使能破解也需要花費大量時間，因此系統(tǒng)管理賬戶必須使用強密碼。修改用戶密碼可使用passwd命令，passwd命令語法如下。[root@localhost～]#passwd--help用法：passwd[選項...]<賬號名稱>選項參數(shù)如下：-k,--keep-tokens 保持身份驗證令牌不過期。-d,--delete 刪除已命名賬號的密碼（只有根用戶才能進行此操作）。-l,--lock lockthepasswordforthenamedaccount(rootonly)-u,--unlock unlockthepasswordforthenamedaccount(rootonly)-e,--expire expirethepasswordforthenamedaccount(rootonly)-f,--force 強制執(zhí)行操作。-x,--maximum=DAYS 密碼的最長有效時限（只有根用戶才能進行此操作）-n,--minimum=DAYS 密碼的最短有效時限（只有根用戶才能進行此操作）-w,--warning=DAYS 在密碼過期前多少天開始提醒用戶（只有根用戶才能進行此操作）。-i,--inactive=DAYS 在密碼過期后經(jīng)過多少天該賬號會被禁用（只有根用戶才能進行此操作）。-S,--status 報告已命名賬號的密碼狀態(tài)（只有根用戶能進行此操作）。--stdin 從標(biāo)準(zhǔn)輸入讀取令牌（只有根用戶才能進行此操作）。

Helpoptions:-?,--help Showthishelpmessage--usage Displaybriefusagemessage【例11-3】清除用戶密碼。[root@localhost～]#passwd-dlinuxtest//清除linuxtest用戶密碼[root@localhost～]#passwd-Slinuxtest//查詢linuxtest用戶密碼狀態(tài)（二）登錄安全設(shè)置1．禁用root賬號登錄Linux最高權(quán)限用戶root，默認(rèn)可以直接登錄sshd。出于安全考慮，以及日后服務(wù)器的多用戶管理，應(yīng)該在一開始就對服務(wù)器的root用戶進行禁用，僅使用sudo命令來執(zhí)行某些root才能執(zhí)行的命令?！纠?1-4】禁用root賬號登錄。訪問遠程服務(wù)器或VPS的最常用方法是通過SSH并阻止其下的root用戶登錄，需要編輯/etc/ssh/sshd_config文件。（1）在終端執(zhí)行：[root@localhost～]#vi/etc/ssh/sshd_config（2）

查找

#PermitRootLoginyes，將前面的

#

去掉，短尾yes改為no，并保存文件，即將PermitRootLoginyes修改為PermitRootLoginno。（3）修改完畢，重啟sshd服務(wù)：[root@localhost～]#servicesshdrestart2．超時自動注銷賬號在使用SSH登錄Linux服務(wù)器的時候，有時需要離開電腦，如果在此期間有其他人使用電腦對Linux服務(wù)器進行一些錯誤操作，可能會帶來一定損失。如果設(shè)置一個自動超時注銷，相對來說就安全得多了，自動超時注銷即在一定時間內(nèi)沒有做任何操作就自動注銷。以root用戶登錄系統(tǒng)，輸入vi/etc/profile命令，編輯profile文件。查找TMOUT，若沒有，則可以在文件最后添加如下語句：TMOUT=300exportTMOUT其中，300表示自動注銷的時間為300秒。編輯好文件后，保存，退出，重新登錄，設(shè)置即生效。3．禁用重啟熱鍵在Linux里，出于對安全性的考慮，允許任何人使用組合鍵Ctrl+Alt+Del來重啟系統(tǒng)。但是在生產(chǎn)環(huán)境中，應(yīng)該停用組合鍵Ctrl+Alt+Del重啟系統(tǒng)的功能。查看文件：[root@localhost～]#vi/etc/init/control-alt-delete.conf（三）

網(wǎng)絡(luò)安全設(shè)置1．取消不必要的進程和服務(wù)（1）進程的管理。ps命令能夠給出當(dāng)前系統(tǒng)中進程的快照?！纠?1-5】查看當(dāng)前系統(tǒng)進程數(shù)目。[root@localhost～]#psaux|wc-l2．禁止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的Ping請求修改文件/proc/sys/net/ipv4/icmp_echo_ignore_all的值。默認(rèn)情況下icmp_echo_ignore_all的值為0，表示響應(yīng)Ping操作。切換到root，輸入命令：[root@localhost～]#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all這樣就將/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0臨時改為了1，從而實現(xiàn)禁止ICMP報文的所有請求，達到禁止Ping的效果。網(wǎng)絡(luò)中的其他主機Ping該主機時會顯示“請求超時”，但該服務(wù)器此時是可以Ping其他主機的。3．防火墻防火墻（FireWall）指的是一個由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種獲取安全性方法的形象說法。它是一種計算機硬件和軟件的結(jié)合，使互聯(lián)網(wǎng)（Internet）與內(nèi)聯(lián)網(wǎng)（Intranet）之間建立起一個安全網(wǎng)關(guān)（SecurityGateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。（1）iptables的工作原理。iptables可以將規(guī)則組成一個列表，實現(xiàn)絕對詳細的訪問控制功能。iptables是定義規(guī)則的工具，本身并不算是防火墻。它定義的規(guī)則，可以讓在內(nèi)核空間中的netfilter來讀取并實現(xiàn)防火墻功能。而放入內(nèi)核的地方必須是特定的位置，必須是TCP/IP的協(xié)議棧經(jīng)過的地方。而這個TCP/IP協(xié)議棧必須經(jīng)過的，能夠?qū)崿F(xiàn)讀取規(guī)則的地方叫作netfilter（網(wǎng)絡(luò)過濾器）。（2）iptables的工作機制。由于數(shù)據(jù)包尚未進行路由決策，還不知道數(shù)據(jù)要走向哪里，所以在進出口是沒辦法實現(xiàn)數(shù)據(jù)過濾的?；谝陨显?，要在內(nèi)核空間里設(shè)置轉(zhuǎn)發(fā)的關(guān)卡，進入用戶空間的關(guān)卡以及從用戶空間出去的關(guān)卡。因為在做NAT和DNAT的時候，目標(biāo)地址轉(zhuǎn)換必須在路由之前進行，所以必須在外網(wǎng)和內(nèi)網(wǎng)的接口處設(shè)置關(guān)卡?！纠?1-8】iptables命令使用實例。開放指定的端口：[root@localhost～]#iptables-AINPUT-ptcp--dport22-jACCEPT#允許訪問22端口[root@localhost～]#iptables-AINPUT-ptcp--dport80-jACCEPT#允許訪問80端口[root@localhost～]#iptables-AINPUT-ptcp--dport21-jACCEPT#允許訪問21端口查看已添加的iptables規(guī)則：[root@localhost～]#iptables-L-n–vChainINPUT(policyACCEPT20017packets,49Mbytes)pktsbytestargetprotoptinoutsourcedestination…00ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:2200ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:8000ACCEPTtcp--**0.0.0.0/00.0.0.0/0tcpdpt:21…任務(wù)11.2Linux日志管理

工作任務(wù)通過閱讀文獻、查閱資料了解與認(rèn)識Linux日志管理。日志文件包含有關(guān)內(nèi)核、服務(wù)和在其上運行的應(yīng)用程序等的系統(tǒng)信息，日志中的信息有助于解決問題或監(jiān)視系統(tǒng)功能。Linux系統(tǒng)擁有非常靈活和強大的日志功能，可以保存幾乎所有的操作記錄，并可以從中檢索出需要的信息。Linux系統(tǒng)內(nèi)核和許多程序會產(chǎn)生各種錯誤信息、警告信息和其他提示信息，這些信息對管理員了解系統(tǒng)的運行狀態(tài)是非常有用的，所以應(yīng)該把它們寫到日志文件中去，這樣當(dāng)有錯誤發(fā)生時，可以通過查閱特定的日志文件來看出發(fā)生了什么。Linux中的日志文件以明文方式記錄，不需要特殊的工具來解釋，任何文本閱讀器都可以顯示日志文件。RHEL8系統(tǒng)中有以下兩個服務(wù)來處理系統(tǒng)的日志信息:一個是systemd-journald守護進程，一個是Rsyslog服務(wù)。systemd-journald守護進程從各種各樣的來源收集信息并且將信息轉(zhuǎn)發(fā)到Rsyslog做進一步的處理。systemd-journald守護進程從以下來源收集信息，內(nèi)核Kernel、啟動過程的早期階段、啟動運行時的標(biāo)準(zhǔn)輸出和錯誤輸出以及Syslog日志。（二）日志查看1．動態(tài)跟蹤日志文件：tail命令Linux中tail命令是依照要求將指定的文件的最后部分輸出到標(biāo)準(zhǔn)設(shè)備，通常是終端，通俗地講，就是把某個檔案文件的最后幾行顯示到終端上，假設(shè)該檔案有更新，tail會自己主動刷新，確保你看到最新的檔案內(nèi)容。下面是tail監(jiān)控日志的例子，輸入命令：[root@localhost～]#tailf/var/log/secure2、journalctl命令查看日志journalctl是命令行工具，可以和日志進行交互。使用journalctl命令可以讀取日志，實時監(jiān)控日志，根據(jù)時間、服務(wù)、嚴(yán)重性和其他參數(shù)過濾日志。journalctl是一個強大的命令行工具，可以用來讀取、過濾和監(jiān)控日志。它可以訪問系統(tǒng)日志，以及由systemd日志服務(wù)收集和存儲的其他日志。默認(rèn)情況下，系統(tǒng)日志被存儲在/run/log/journal目錄下，而journalctl命令可以訪問這些日志。您可以使用journalctl命令來查看指定服務(wù)的日志、按時間范圍過濾日志、按嚴(yán)重性級別過濾日志等。如使用journalctl命令顯示最后3行日志。[root@localhost/]#journalctl-n3（三）日志維護1．日志的總管家：rsyslog在RHEL中，日志由系統(tǒng)服務(wù)rsyslog進行管理和控制。安裝RHEL后，rsyslog服務(wù)默認(rèn)是開啟的。【例11-11】查看rsyslog服務(wù)狀態(tài)。在終端運行命令systemctlstarusrsyslog【例11-12】自定義sshd日志類型及日志文件。系統(tǒng)將sshd產(chǎn)生的日志定義為authpriv類型，保存在