Linux系统和网络安全


Linux系统和网络安全
 
一、引言
 
下面,首先来看一下linux系统中压缩文件的管理。
 
二、系统安全:
 
1、主机前的登录操作
 
(1)使用单用户模式:
 
正常登录:不用密码直接root登录
 
方案:可以在开机管理程序中添加密码验证,可在系统安装时设置,若安装时未设置也可新增设置,方法如下:
 
[root@linux ~]#grub
 
[root@linux ~]# md5crypt
 
然后输入密码,生成一个加密的密码,把它复制下来,稍后粘贴到/etc/grub.conf中,输入quit离开
 
[root@linux ~]#vi /etc/grub.conf
 
在title前新增一行:
 
password --md5 加密的密码
 
然后,重新启动,按任意键进入开机画面,按e键无反应,按P键后输入密码才可使用E键进入开机菜单。
 
(2)ctrl+alt+del的管理:
 
在/etc/inittab中,默认是所有的用户可以使用ctrl+alt+del来重新开机,在/etc/inittab中的主要设置语句如下:
 
ca::ctrlaltdel:/sbin/shutdown  -t3 –r  now
 
如果不希望启动这个功能,在这行前加#再重新开机即可;
 
如果希望特定用户才能使用这项功能,那么可以多加一个-a的参数,如下:ca::ctrlaltdel:/sbin/shutdown  –a  -t3 –r  now
 
加了参数-a,shutdown在被执行时就会查看/etc/shutdown.allow这个文件,查看该用户有没有在其中。/etc/shutdown.allow这个文件需要自行增加,格式如下:
 
       john
 
       mary
 
设置完后重新开机即可生效。
 
(3)限制使用su命令:
 
如果不希望任何用户能够用su切换到root,可以编辑/etc/pam.d/su文件,增加如下两行:
 
 auth  sufficient  /lib/security/pam_rootok.so  debug
 
 auth   required  /lib/security/pam_wheel.so  group=isd
 
 
这样就只有isd组的用户可以用su切换到root;此后如果希望用户tom能够用su切换到root,可以运行如下命令:
 
[root@linux ~]#usermod  –G 10 admin
 
(4)登录终端设置:
 
/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,编辑/etc/securetty文件进行注释,这样root用户将不能在被注释的终端中登录。
 
2、文件与目录的默认权限与隐藏权限:
 
(1)文件权限:
 
通过设定权限可以限制或允许以下3种用户访问:文件的所有者(属主)、文件所有者的同组用户、系统的其他用户。
 
文件权限有:
 
r:读取;
 
W:写入;
 
X:对文件而言是可执行的,对目录而言是具有进入目录的权限;
 
SUID:可执行文件搭配这个权限能得到特权,任意存取该文件的所有者能使用的全部系统资源,该权限只对二进制文件可用,不能用在目录和批处理文件(shell脚本)上;
 
SGID:设置在文件上面效果与SUID相同,只是将文件所有者换成用户组;可用在二进制文件和目录;
 
Sticky:/tmp和/var/tmp目录供所有用户暂时存取文件,添加上该权限用户只能对自己建立的文件或目录进行修改;只针对目录有效,对文件无效。
 
其中,SUID、SGID和Sticky占用x的位置,在表示上有大小写之分;如果同时开启执行权限和SUID、SGID、Sticky,权限字符是小写的s;如果关闭执行权限,权限字符变成大写S;
 
文件权限的数字表示:
 
R:4;
 
W:2;
 
X:1;
 
如果在3组数字前再加一个数字,最前面的数字就表示特殊权限,其中:
 
SUID:4;
 
SGID:2;
 
Sticky:1
 
(2)权限设置:
 
更改文件权限:主要在文件复制时使用
 
A、更改所属用户组:
 
命令:chgrp
 
语法:chgrp [-R]  文件名或目录名
 
 例1:修改文件amf的用户组为root
 
[root@linux ~]# chgrp root amf
 
B、更改文件拥有者:
 
命令:chown
 
语法:chown [-R] 账户名[:用户组名] 文件名或目录名
 
例1:将文件amf的所有者改为root
 
[root@linux ~]# chown  root  amf
 
C、更改文件权限:
 
命令:chmod
 
语法:chmod  [who][+|-|=][mode]  文件或目录名
 
参数意义:
 
     Who:有u、g、o、a分别表示所有者、用户组、其他用户和所有用户;
 
     操作符:+增加权限;-取消权限;=赋予权限;
 
     Mode:r可读,w可写,x可执行,t保存程序的文本到交换设备上,s分为“u+s”设置SUID权限和“g+s”设置SGID权限;
 
说明:在一个命令行中可给出多个权限方式,之间用逗号隔开;也可以使用数字方式设置。
 
例1:修改文件amf的权限
 
[root@linux ~]# chmod  u+rw,g+wx  amf
 
D、设置文件默认权限:
 
命令:umask
 
查看默认权限:umask  [-S]
 
设置默认权限:umask  要去掉的权限数字
 
(3)隐藏属性管理
 
A、查看隐藏属性:
 
命令:lsattr  [文件或目录]
 
B、设置隐藏属性:
 
命令:chattr [+-=][ASacdistu][文件或目录]
 
参数意义:
 
A:不得修改访问时间atime;
 
S:直接将数据写入磁盘,可以有效避免数据流失;
 
a:只能增加数据,不得删除数据,只有root才能设置;
 
c:对大文件有用,可对文件进行自动压缩和解压缩;
 
d:当执行dump备份时,可使文件具有转储功能;
 
i:不得修改该文件;有助于系统安全;
 
s:从硬盘空间完全删除;
 
u:与s相反,数据内容还存在磁盘中,可以用来还原删除;
 
 二、网络安全
 
1、阻止ping:
 
在/etc/rc.d/rc.local中增加一行:
 
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
 
保存文件后重启计算机。
 
2、防止IP欺骗:
 
在/etc/host.conf中增加几行:
 
Order  bind,hosts
 
Multi off
 
Nospoof on
 
3、XINETD:
 
服务位置:/etc/xinetd.d/下
 
开启服务:修改目录下的对应文件,将“disable=yes”改为“disable=no”;然后重启XINETD:
 
[root@linux ~]# /sbin/service xinetd restart
 
4、iptables:防火墙
 
(1)安装:yum install iptables
 
(2)启动:service iptables start
 
(3)关闭: service iptables stop
 
5、SELinux使用:
 
(1)暂时关闭:setenforce  0
 
(2)重新启动: setenforce  1
 
(3)完全关闭:修改/etc/selinux/config文件,将“SELINUX=enforcing”改为“SELINUX=disabled”,然后重新开机即可;推荐做法是将“SELINUX=enforcing”改为“SELINUX=permissive”。
 
6、安装补丁:
 
去官方网站下载补丁,使用命令安装:rpm –Fvh [文件名] 
 
四、小结
 

相关内容

    暂无相关文章