第1章 强化Linux安全

《第1章 强化Linux安全》由会员分享，可在线阅读，更多相关《第1章 强化Linux安全（88页珍藏版）》请在装配图网上搜索。

1、第一章第一章第一章第一章 强化强化LinuxLinux安全安全 主主 讲：刘承良讲：刘承良2008年年3月月 课程名称：信息安全技术课程名称：信息安全技术 2课程说明课程说明课程说明课程说明考核方式：考查考核方式：考查考核方式：考查考核方式：考查适用班级适用班级适用班级适用班级:W0603/W0604/W0605:W0603/W0604/W0605课程学时安排课程学时安排课程学时安排课程学时安排 成绩比例成绩比例成绩比例成绩比例总学时总学时总学时总学时68 68 考试考试考试考试6060 作业作业作业作业2020 考勤考勤考勤考勤2020 3强化强化强化强化LinuxLinux安全安全安全安全

2、 第第1 1节节 LinuxLinux系统综述系统综述第第2 2节节 LinuxLinux发行版的通用命令发行版的通用命令第第3 3节节 LinuxLinux文件系统安全性文件系统安全性第第4 4节节 LinuxLinux账号安全性账号安全性第第5 5节节 LinuxLinux的安全配置文件的安全配置文件第第6 6节节 NFSNFS和和NISNIS安全安全第第7 7节节 LinuxLinux安全性的评估安全性的评估4LinuxLinux系统综述系统综述系统综述系统综述n什么是什么是LinuxLinuxnLinuxLinux纵览纵览nLinuxLinux内核内核nLinuxLinux的特性的特性

3、nLinuxLinux与其他操作系统的区别与其他操作系统的区别n典型应用层服务典型应用层服务 5什么是什么是什么是什么是Linux(Linux(一一一一)LinuxLinux是一套免费使用和自由传播的类是一套免费使用和自由传播的类UnixUnix操作系统操作系统LinuxLinux的出现，最早开始于一位名叫的出现，最早开始于一位名叫LinusLinus TorvaldsTorvalds的计算机业余爱好者，当时他是芬兰的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生赫尔辛基大学的学生LinuxLinux以它的高效性和灵活性著称。它能够在以它的高效性和灵活性著称。它能够在PCPC计算机上实现全部

4、的计算机上实现全部的UnixUnix特性，具有多任务、特性，具有多任务、多用户的能力多用户的能力 6什么是什么是什么是什么是LinuxLinux（二）二）二）二）LinuxLinux操作系统软件包不仅包括完整的操作系统软件包不仅包括完整的LinuxLinux操作系统，而且还包括了文本编辑器、操作系统，而且还包括了文本编辑器、高级语言编译器等应用软件高级语言编译器等应用软件还包括带有多个窗口管理器的还包括带有多个窗口管理器的X-WindowsX-Windows图图形用户界面，如同我们使用形用户界面，如同我们使用Windows NTWindows NT一一样，允许我们使用窗口、图标和菜单对系样，允

5、许我们使用窗口、图标和菜单对系统进行操作统进行操作 7什么是什么是什么是什么是LinuxLinux（三）三）三）三）LinuxLinux之所以受到广大计算机爱好者的喜之所以受到广大计算机爱好者的喜爱，主要原因有以下两个爱，主要原因有以下两个它属于自由软件，用户不用支付任何费用就它属于自由软件，用户不用支付任何费用就可以获得它和它的源代码，并且可以根据自可以获得它和它的源代码，并且可以根据自己的需要对它进行必要的修改，无偿对它使己的需要对它进行必要的修改，无偿对它使用，无约束地继续传播用，无约束地继续传播它具有它具有UnixUnix的全部功能，任何使用的全部功能，任何使用UnixUnix操作操作

6、系统或想要学习系统或想要学习UnixUnix操作系统的人都可以从操作系统的人都可以从LinuxLinux中获益中获益 8Linux Linux 纵览纵览纵览纵览LinuxLinux一般有四个主要部分一般有四个主要部分Linux9LinuxLinux内核内核内核内核 LinuxLinux系统的内核为系统的内核为Kernel,Kernel,它它提供了对硬件提供了对硬件的统一接口的统一接口 内核是在引导时装入的程序内核是在引导时装入的程序内核识别硬件；初始化启动脚本，并且运行网络内核识别硬件；初始化启动脚本，并且运行网络和终端守护程序和终端守护程序当启动完毕之后，内核又成为访问硬件的通路，当启动完毕

7、之后，内核又成为访问硬件的通路，用来提供用户层程序和硬件之间的接口用来提供用户层程序和硬件之间的接口10LinuxLinux内核的功能内核的功能内核的功能内核的功能11 LinuxShellLinuxShellShell是系统的用户界面，提供了用户与内是系统的用户界面，提供了用户与内核进行交互操作的一种接口核进行交互操作的一种接口它接收用户输入的命令并把它送入内核去它接收用户输入的命令并把它送入内核去执行执行 shell内核内核内核内核执行12ShellShell的多种版本的多种版本的多种版本的多种版本ShellShell也也有有多多种种不不同同的的版版本本。目目前前主主要要有有下列版本的下列

8、版本的ShellShellBourne ShellBourne Shell：是贝尔实验室开发的是贝尔实验室开发的 BASHBASH：是是GNUGNU的的Bourne Bourne Again Again ShellShell，是是GNUGNU操操作系统上默认的作系统上默认的shell shell KornKorn ShellShell：是是对对Bourne Bourne SHellSHell的的发发展展，在在大大部分内容上与部分内容上与Bourne ShellBourne Shell兼容兼容C ShellC Shell：是是SUNSUN公司公司ShellShell的的BSDBSD版本版本13L

9、inuxLinuxLinuxLinux文件结构文件结构文件结构文件结构 文件结构是文件存放在磁盘等存储设备上文件结构是文件存放在磁盘等存储设备上的组织方法。主要体现在对文件和目录的的组织方法。主要体现在对文件和目录的组织上。目录提供了管理文件的一个方便组织上。目录提供了管理文件的一个方便而有效的途径而有效的途径使用使用LinuxLinux，用户可以设置目录和文件的权用户可以设置目录和文件的权限，以便允许或拒绝其他人对其进行访问限，以便允许或拒绝其他人对其进行访问 LinuxLinux目录采用多级树形结构。用户可以浏目录采用多级树形结构。用户可以浏览整个系统，可以进入任何一个已授权进览整个系统，

10、可以进入任何一个已授权进入的目录，访问那里的文件入的目录，访问那里的文件 14LinuxLinuxLinuxLinux实用工具实用工具实用工具实用工具 标准的标准的LinuxLinux系统都有一套叫做实用工具的系统都有一套叫做实用工具的程序，它们是专门的程序程序，它们是专门的程序 ，实用工具可分实用工具可分三类三类 用于编辑文件用于编辑文件 用于接收数据并过滤数据用于接收数据并过滤数据 允允许许用用户户发发送送信信息息或或接接收收来来自自其他用户的信息其他用户的信息编辑器编辑器过滤器过滤器交互程序交互程序15内核的版本号内核的版本号内核的版本号内核的版本号 内核的版本号分为三部分（以内核的版本

11、号分为三部分（以2.0.352.0.35为例）为例）主主版版本本号号：此此内内核核是是2 2。它它表表明明对对内内核核的的重重大大改改进进，很少改变很少改变次次版版本本号号：此此内内核核是是0 0。它它表表明明内内核核的的稳稳定定性性。偶偶数数号号（如如0 0、2 2、4 4等等）的的内内核核是是稳稳定定的的产产品品版版本本。而而奇奇数数号号(如如1 1、3 3、5 5等等)的的内内核核是是处处于于开开发发过过程程中中的的内内核核，一一般般包包含含着着最最近近开开发发的的试试验验性性代代码码，它它不太稳定，有时可能包含着致命的错误。不太稳定，有时可能包含着致命的错误。修修订订号号：此此内内核核

12、是是3535。它它表表明明这这一一发发布布版版本本的的增增补级补级 16LinuxLinuxLinuxLinux特性特性特性特性 LinuxLinux主要特性主要特性可靠的系统安全可靠的系统安全 开放性开放性 多任务多任务 丰富的网络功能丰富的网络功能 多用户多用户 LinuxLinux主要特性主要特性主要特性主要特性良好的可移植性良好的可移植性 良好的用户界面良好的用户界面 设备独立性设备独立性 17LinuxLinuxLinuxLinux与其他操作系统的区别与其他操作系统的区别与其他操作系统的区别与其他操作系统的区别 LinuxLinux与与MSMSDOSDOS之间的区别之间的区别 Lin

13、uxLinux与与OS/2OS/2之间的区别之间的区别 LinuxLinux与与WindowsWindows之间的区别之间的区别 LinuxLinux与与Windows NTWindows NT之间的区别之间的区别 18LinuxLinux发行版的通用命令发行版的通用命令发行版的通用命令发行版的通用命令 nLinux系统管理命令系统管理命令nLinux与用户有关的命令与用户有关的命令nLinux常用命令常用命令 19LinuxLinuxLinuxLinux系统管理命令（一）系统管理命令（一）系统管理命令（一）系统管理命令（一）wallwall命令命令 这个命令的功能是对全部已登录的用户发送信息

14、这个命令的功能是对全部已登录的用户发送信息用户可以先把要发送的信息写好存入一个文件中，用户可以先把要发送的信息写好存入一个文件中，然后输入然后输入#wall#wall 文件名文件名 “”表示输入重定向表示输入重定向 20LinuxLinuxLinuxLinux系统管理命令（二）系统管理命令（二）系统管理命令（二）系统管理命令（二）writewrite命令命令 writewrite命命令令的的功功能能是是向向系系统统中中某某一一个个用用户户发发送送信信息息。该该命命令令的的一一般般格格式式为为：write write 用用户户帐帐号号 终端名称终端名称 希望退出发送状态时，按组合键希望退出发送状

15、态时，按组合键即可。即可。21LinuxLinuxLinuxLinux系统管理命令（三）系统管理命令（三）系统管理命令（三）系统管理命令（三）mesgmesg指令指令 mesgmesg命命令令设设定定是是否否允允许许其其他他用用户户用用writewrite命命令令给自己发送信息。给自己发送信息。如果允许别人给自己发送信息，输入命令：如果允许别人给自己发送信息，输入命令：#mesgmesg y y 否则，输入：否则，输入：#mesgmesg n n 22LinuxLinuxLinuxLinux系统管理命令（四）系统管理命令（四）系统管理命令（四）系统管理命令（四）syncsync命令命令sync

16、sync命令是在关闭命令是在关闭LinuxLinux系统时使用的。系统时使用的。用户不能用简单的关闭电源的方法关用户不能用简单的关闭电源的方法关闭系统闭系统因为因为LinuxLinux系统，在内存中缓存了许多数据，系统，在内存中缓存了许多数据，在关闭系统时需要进行内存数据与硬盘数据的在关闭系统时需要进行内存数据与硬盘数据的同步校验，保证硬盘数据在关闭系统时是最新同步校验，保证硬盘数据在关闭系统时是最新的，只有这样才能确保数据不会丢失。一般正的，只有这样才能确保数据不会丢失。一般正常的关闭系统的过程是自动进行这些工作的，常的关闭系统的过程是自动进行这些工作的，在系统运行过程中也会定时做这些工作，

17、不需在系统运行过程中也会定时做这些工作，不需要用户干预。要用户干预。syncsync命令是强制把内存中的数据写回命令是强制把内存中的数据写回硬盘，以免数据的丢失。硬盘，以免数据的丢失。23LinuxLinuxLinuxLinux系统管理命令（五）系统管理命令（五）系统管理命令（五）系统管理命令（五）shutdownshutdown命令命令 shutdown shutdown 命令可以安全地关闭或重启命令可以安全地关闭或重启LinuxLinux系系统。统。shutdown shutdown 选项选项 时间时间 警告信息警告信息 命令中命令中各选项的含义为各选项的含义为-k k 并不真正关机。而只

18、是发出警告信息给所有用户并不真正关机。而只是发出警告信息给所有用户 -r r 关机后立即重新启动关机后立即重新启动 -h h 关机后不重新启动关机后不重新启动 -f f 快速关机。重启动时跳过快速关机。重启动时跳过fsckfsck -n-n 快速关机。不经过快速关机。不经过initinit程序程序 -c c 取消一个已经运行的取消一个已经运行的shutdownshutdown-该命令只能由超级用户使用该命令只能由超级用户使用24LinuxLinuxLinuxLinux系统管理命令（六）系统管理命令（六）系统管理命令（六）系统管理命令（六）freefree命令命令freefree命令的功能是查看

19、当前系统内存的使用情况，命令的功能是查看当前系统内存的使用情况，它显示系统中剩余及已用的物理内存和交换内存，它显示系统中剩余及已用的物理内存和交换内存，以及共享内存和被核心使用的缓冲区以及共享内存和被核心使用的缓冲区 该命令的一般格式为：该命令的一般格式为：free-b|-k|-m free-b|-k|-m 命命令中各选项的含义如下令中各选项的含义如下-b b 以字节为单位显示以字节为单位显示-k k 以以K K字节为单位显示字节为单位显示-m m 以兆字节为单位显示以兆字节为单位显示 25LinuxLinuxLinuxLinux系统管理命令（七）系统管理命令（七）系统管理命令（七）系统管理命

20、令（七）uptimeuptime命令命令uptimeuptime命令显示系统已经运行了多长时间命令显示系统已经运行了多长时间它依次显示下列信息它依次显示下列信息现在时间现在时间系统已经运行了多长时间系统已经运行了多长时间目前有多少登录用户目前有多少登录用户系统在过去的系统在过去的1 1分钟、分钟、5 5分钟和分钟和1515分钟内的平均负载分钟内的平均负载 26LinuxLinuxLinuxLinux与用户有关的命令（一）与用户有关的命令（一）与用户有关的命令（一）与用户有关的命令（一）passwdpasswd命令命令 LinuxLinux系统中的每一个用户除了有其用户名外，系统中的每一个用户除

21、了有其用户名外，还有其对应的用户口令。因此需使用还有其对应的用户口令。因此需使用passwdpasswd命命令为每一位新增加的用户设置口令令为每一位新增加的用户设置口令用户以后还可以随时用用户以后还可以随时用passwdpasswd命令改变自己的命令改变自己的口令口令 只有超级用户可以使用只有超级用户可以使用“passwdpasswd 用户名用户名”修改其他用户的口令，普通用户只能修改其他用户的口令，普通用户只能用不带参数的用不带参数的passwdpasswd命令修改自己的口命令修改自己的口令令 27LinuxLinuxLinuxLinux与用户有关的命令（二）与用户有关的命令（二）与用户有关

22、的命令（二）与用户有关的命令（二）susu命令命令 它可以让一个普通用户拥有超级用户或其他用它可以让一个普通用户拥有超级用户或其他用户的权限，也可以让超级用户以普通用户的身户的权限，也可以让超级用户以普通用户的身份做一些事情份做一些事情普通用户使用这个命令时必须有超级用户或其普通用户使用这个命令时必须有超级用户或其他用户的口令他用户的口令输入输入exitexit离开当前用户的身份离开当前用户的身份 28LinuxLinuxLinuxLinux与用户有关的命令（三）与用户有关的命令（三）与用户有关的命令（三）与用户有关的命令（三）susu命令命令 该命令的一般形式为：该命令的一般形式为：su选项

23、选项?使用者使用者帐号帐号C C 执行一个命令后就结束执行一个命令后就结束-加了这个减号的目的是使环境变量和欲加了这个减号的目的是使环境变量和欲转换的用户相同转换的用户相同m保留环境变量不变保留环境变量不变 29LinuxLinuxLinuxLinux 常用命令常用命令常用命令常用命令 IfconfigIfconfig网络配置命令网络配置命令 LinuxLinux无论是自动安装还是手工安装，无论是自动安装还是手工安装，LinuxLinux都会向用户询问有关网络的问题并配置相关都会向用户询问有关网络的问题并配置相关的软件的软件用于配置网卡的基本命令为用于配置网卡的基本命令为ifconfigifc

24、onfig30进程管理相关命令（一）进程管理相关命令（一）进程管理相关命令（一）进程管理相关命令（一）psps命令命令查看系统运行的进程查看系统运行的进程#psps auxwauxw a a表示显示系统中所有用户的进程表示显示系统中所有用户的进程u u表示输出进程用户所属信息表示输出进程用户所属信息x x表示也显示没有控制台的进程表示也显示没有控制台的进程若显示行太长而被截断则可以使用若显示行太长而被截断则可以使用f f参数参数31进程管理相关命令（二）进程管理相关命令（二）进程管理相关命令（二）进程管理相关命令（二）netstatnetstat命令命令用来查看系统监听的服务用来查看系统监听的

25、服务#netstatnetstat-lnln l表示显示当前系统监听的端口信息表示显示当前系统监听的端口信息n表表示示端端口口按按照照端端口口号号来来显显示示，而而不不转转换换为为service文件中定义的端口名文件中定义的端口名若若希希望望了了解解各各个个端端口口都都是是由由哪哪些些进进程程监监听听则则可可以以使用使用p参数参数32进程管理相关命令（三）进程管理相关命令（三）进程管理相关命令（三）进程管理相关命令（三）TopTop命令命令用来查看当前系统使用情况用来查看当前系统使用情况 33LinuxLinux文件系统安全性文件系统安全性文件系统安全性文件系统安全性LinuxLinux文件系

26、统基础文件系统基础LinuxLinux文件系统安全性文件系统安全性34LinuxLinuxLinuxLinux文件系统基础文件系统基础文件系统基础文件系统基础LinuxLinux的树型结构的树型结构35LinuxLinuxLinuxLinux下一些主要目录的功用（一）下一些主要目录的功用（一）下一些主要目录的功用（一）下一些主要目录的功用（一）/bin bin 二进制可执行命令二进制可执行命令/dev dev 设备特殊文件设备特殊文件/etc etc 系统管理和配置文件系统管理和配置文件/etc/etc/rc.drc.d 启动的配置文件和脚本启动的配置文件和脚本/home home 用用户户主

27、主目目录录的的基基点点，比比如如用用户户useruser的的主主目目录录就就是是/home/userhome/user，可以用可以用 useruser表示表示/lib lib 标标准准程程序序设设计计库库，又又叫叫动动态态链链接接共共享享库库，作作用用类类似似windowswindows里的里的.dlldll文件文件/sbinsbin 系系统统管管理理命命令令，这这里里存存放放的的是是系系统统管管理理员员使使用用的的管管理程序理程序36LinuxLinuxLinuxLinux下一些主要目录的功用（二）下一些主要目录的功用（二）下一些主要目录的功用（二）下一些主要目录的功用（二）/tmptmp

28、公用的临时文件存储点公用的临时文件存储点/root root 系统管理员的主目录系统管理员的主目录/mntmnt 系系统统提提供供这这个个目目录录是是让让用用户户临临时时挂挂载载其其他他的的文文件件系系统。统。/lost+found lost+found 这这个个目目录录平平时时是是空空的的，系系统统非非正正常常关关机机而而留留下下“无家可归无家可归”的文件（的文件（windowswindows下叫下叫.chkchk）就在这里就在这里/proc proc 虚虚拟拟的的目目录录，是是系系统统内内存存的的映映射射。可可直直接接访访问问这这个个目录来获取系统信息。目录来获取系统信息。/varvar

29、某些大文件的溢出区，比方说各种服务的日志文件某些大文件的溢出区，比方说各种服务的日志文件37LinuxLinuxLinuxLinux下一些主要目录的功用（三）下一些主要目录的功用（三）下一些主要目录的功用（三）下一些主要目录的功用（三）/usrusr 最最庞庞大大的的目目录录，要要用用到到的的应应用用程程序序和和文文件件几几乎乎都都在在这这个目录。其中包含：个目录。其中包含：/usr/X11R6 usr/X11R6 存放存放X windowX window的目录的目录/usrusr/bin/bin 众多的应用程序众多的应用程序/usr/sbinusr/sbin 超级用户的一些管理程序超级用户的

30、一些管理程序/usrusr/doc/doc linuxlinux文档文档/usrusr/include/include linuxlinux下开发和编译应用程序所需要的头文件下开发和编译应用程序所需要的头文件/usrusr/lib/lib 常用的动态链接库和软件包的配置文件常用的动态链接库和软件包的配置文件38LinuxLinuxLinuxLinux下一些主要目录的功用（四）下一些主要目录的功用（四）下一些主要目录的功用（四）下一些主要目录的功用（四）/usrusr/man/man 帮助文档帮助文档/usr/srcusr/src 源源代代码码，linuxlinux内内核核的的源源代代码码就就放

31、放在在/usr/src/linuxusr/src/linux里里/usrusr/local/bin/local/bin 本地增加的命令本地增加的命令/usrusr/local/lib/local/lib 本地增加的库本地增加的库 39LinuxLinux文件系统文件系统文件系统文件系统 文件系统指文件存在的物理空间，文件系统指文件存在的物理空间，LinuxLinux系系统中每个分区都是一个文件系统，都有自统中每个分区都是一个文件系统，都有自己的目录层次结构。己的目录层次结构。linuxlinux会将这些分属不同分区的、单独的文会将这些分属不同分区的、单独的文件系统按一定的方式形成一个系统的总的

32、件系统按一定的方式形成一个系统的总的目录层次结构。目录层次结构。40LinuxLinuxLinuxLinux系统分区系统分区系统分区系统分区硬盘的分区主要分为硬盘的分区主要分为基本分区（基本分区（Primary Primary PartionPartion）扩充分区扩充分区(Extension Extension PartionPartion)基本分区和扩充分区的数目之和不能大于四个基本分区和扩充分区的数目之和不能大于四个。基本分区基本分区扩充分区扩充分区41安装时的分区安装时的分区安装时的分区安装时的分区可以将可以将LinuxLinux安装在一个或多个类型为安装在一个或多个类型为Linux

33、nativeLinux native 的硬盘分区的硬盘分区.还需要还需要一个一个交换交换(swap)swap)分区分区,这个分区的类型这个分区的类型是是Linux swapLinux swap.就是说安装就是说安装LinuxLinux至至少需要两个硬盘分区。少需要两个硬盘分区。一个或多个一个或多个 Linux nativeLinux native类型的分区类型的分区 一个一个 Linux swapLinux swap类型的分区类型的分区 42分区命名规则分区命名规则分区命名规则分区命名规则LinuxLinux通过字母和数字的组合来标识硬盘分通过字母和数字的组合来标识硬盘分区区,归纳如下归纳如下

34、 前两个字母前两个字母前两个字母前两个字母-分区名的前两个字母表明分区所在设分区名的前两个字母表明分区所在设分区名的前两个字母表明分区所在设分区名的前两个字母表明分区所在设备的类型备的类型备的类型备的类型.您将通常看到您将通常看到您将通常看到您将通常看到hdhdhdhd(指指指指IDEIDEIDEIDE硬盘硬盘硬盘硬盘),),),),或或或或sdsdsdsd(指指指指SCSISCSISCSISCSI硬盘硬盘硬盘硬盘)下一个字母下一个字母下一个字母下一个字母-这个字母表明分区在哪个设备这个字母表明分区在哪个设备这个字母表明分区在哪个设备这个字母表明分区在哪个设备.例如例如例如例如,/dev/de

35、v/dev/dev/hdahdahdahda(第一个第一个第一个第一个IDEIDEIDEIDE硬盘硬盘硬盘硬盘)或或或或/dev/dev/dev/dev/sdbsdbsdbsdb(第二个第二个第二个第二个SCSISCSISCSISCSI硬盘硬盘硬盘硬盘)数字数字数字数字-代表分区代表分区代表分区代表分区.前四个分区前四个分区前四个分区前四个分区(主分区或扩展分区主分区或扩展分区主分区或扩展分区主分区或扩展分区)用数字用数字用数字用数字1 1 1 1 到到到到4 4 4 4表示表示表示表示.逻辑分区从逻辑分区从逻辑分区从逻辑分区从5 5 5 5开始开始开始开始.例如例如例如例如,/dev/hda

36、3dev/hda3dev/hda3dev/hda3第一个第一个第一个第一个 IDEIDEIDEIDE硬盘上的第三个主分区或扩展分硬盘上的第三个主分区或扩展分硬盘上的第三个主分区或扩展分硬盘上的第三个主分区或扩展分区区区区;/;/;/;/dev/sdb6dev/sdb6dev/sdb6dev/sdb6是第二个是第二个是第二个是第二个SCSISCSISCSISCSI硬盘上的第二个逻辑分区硬盘上的第二个逻辑分区硬盘上的第二个逻辑分区硬盘上的第二个逻辑分区 43推荐的最简单的分区配置推荐的最简单的分区配置推荐的最简单的分区配置推荐的最简单的分区配置 一个交换分区一个交换分区一个交换分区一个交换分区-交

37、换分区用来支持虚拟内存，交换交换分区用来支持虚拟内存，交换交换分区用来支持虚拟内存，交换交换分区用来支持虚拟内存，交换分区的尺寸通常是内存的大小的两倍分区的尺寸通常是内存的大小的两倍分区的尺寸通常是内存的大小的两倍分区的尺寸通常是内存的大小的两倍 一个根分区一个根分区一个根分区一个根分区-根分区是根分区是根分区是根分区是/(/(/(/(root)root)root)root)所在地，保存内核和所在地，保存内核和所在地，保存内核和所在地，保存内核和有关文件。这个分区不需要很大。需要注意的是要选有关文件。这个分区不需要很大。需要注意的是要选有关文件。这个分区不需要很大。需要注意的是要选有关文件。这

38、个分区不需要很大。需要注意的是要选择择择择LinuxLinuxLinuxLinux本身作为这个根分区的分区类型。本身作为这个根分区的分区类型。本身作为这个根分区的分区类型。本身作为这个根分区的分区类型。一个一个一个一个/usrusrusrusr 分区分区分区分区-/-/-/-/usrusrusrusr 是是是是Red Hat LinuxRed Hat LinuxRed Hat LinuxRed Hat Linux系统的许系统的许系统的许系统的许多软件的所在的地方，根据交换安装的包的数量确定多软件的所在的地方，根据交换安装的包的数量确定多软件的所在的地方，根据交换安装的包的数量确定多软件的所在的

39、地方，根据交换安装的包的数量确定 一个一个一个一个/home home home home 分区分区分区分区-这是用户的这是用户的这是用户的这是用户的homehomehomehome目录所在地；它目录所在地；它目录所在地；它目录所在地；它的大小取决于系统有多少用户的大小取决于系统有多少用户的大小取决于系统有多少用户的大小取决于系统有多少用户,以及这些用户将存放以及这些用户将存放以及这些用户将存放以及这些用户将存放多少数据多少数据多少数据多少数据44挂载文件系统（一）挂载文件系统（一）挂载文件系统（一）挂载文件系统（一）linuxlinux系统中每个分区都是一个文件系统，系统中每个分区都是一个文

40、件系统，都有自己的目录层次结构。都有自己的目录层次结构。linuxlinux会将这些会将这些分属不同分区的、单独的文件系统按一定分属不同分区的、单独的文件系统按一定的方式形成一个系统的总的目录层次结构。的方式形成一个系统的总的目录层次结构。这里所说的这里所说的“按一定方式按一定方式”就是指的挂载就是指的挂载挂载点必须是一个目录挂载点必须是一个目录一个分区挂载在一个已存在的目录上，这个目一个分区挂载在一个已存在的目录上，这个目录可以不为空，但挂载后这个目录下以前的内录可以不为空，但挂载后这个目录下以前的内容将不可用容将不可用45挂载文件系统（二）挂载文件系统（二）挂载文件系统（二）挂载文件系统（

41、二）挂载时使用挂载时使用mountmount命令命令格式：格式：mount-mount-参数参数 设备名称设备名称 挂载点挂载点 46LinuxLinuxLinuxLinux文件系统安全性（一）文件系统安全性（一）文件系统安全性（一）文件系统安全性（一）禁止使用控制台程序禁止使用控制台程序 禁止控制台的访问禁止控制台的访问 防止防止sendmailsendmail被没有授权的用户滥用被没有授权的用户滥用 使系统对使系统对pingping没有反应没有反应 不要显示系统提示信息不要显示系统提示信息 路由协议路由协议 使使TCP SYN CookieTCP SYN Cookie保护生效保护生效 防火

42、墙防火墙47LinuxLinuxLinuxLinux文件系统安全性（二）文件系统安全性（二）文件系统安全性（二）文件系统安全性（二）资源限制资源限制 更好地控制更好地控制mountmount上的文件系统上的文件系统 把把rpmrpm程序转移到一个安全的地方，程序转移到一个安全的地方，并改变默认的访问许可并改变默认的访问许可 登录登录shell shell 创建所有重要的日志文件的硬拷贝创建所有重要的日志文件的硬拷贝 改变改变“/etc/etc/rc.d/init.drc.d/init.d/”目录目录下的脚本文件的访问许可下的脚本文件的访问许可 48LinuxLinuxLinuxLinux文件系

43、统安全性（三）文件系统安全性（三）文件系统安全性（三）文件系统安全性（三）异常和隐含文件异常和隐含文件 查找所有查找所有SUID/SGIDSUID/SGID位有效的文件位有效的文件查找任何人都有写权限的文件和目录查找任何人都有写权限的文件和目录 查找没有主人的文件查找没有主人的文件 查找查找“.rhostsrhosts”文件文件 使使Control-Alt-DeleteControl-Alt-Delete关机键无效关机键无效 49LinuxLinux账号安全性账号安全性账号安全性账号安全性系统安全记录文件系统安全记录文件 启动和登录安全性启动和登录安全性 50系统安全记录文件系统安全记录文件系

44、统安全记录文件系统安全记录文件操作系统内部的记录文件是检测是否有网操作系统内部的记录文件是检测是否有网络入侵的重要线索络入侵的重要线索 可以运行可以运行#more/var/log/secure|greprefused来检查系统所受到的攻击来检查系统所受到的攻击51启动和登录安全性启动和登录安全性启动和登录安全性启动和登录安全性BIOSBIOS安全安全 设置设置BIOSBIOS密码且修改引导次序禁止从软盘启动密码且修改引导次序禁止从软盘启动系统系统52用户口令用户口令用户口令用户口令 口令口令口口令令至至少少要要有有6 6个个字字符符，最最好好包包含含一一个个以以上上的的数数字字或特殊字符或特殊

45、字符 口口令令不不能能太太简简单单，所所谓谓的的简简单单就就是是很很容容易易猜猜出出来来，也也就就是是用用自自己己的的名名字字，电电话话号号码码、生生日日、职职业业或或者者其它个人信息作为口令其它个人信息作为口令 口口令令必必须须是是有有有有效效期期的的，在在一一段段时时间间之之后后就就要要更更换换口令口令 口口令令在在这这种种情情况况下下必必须须作作废废或或者者重重新新设设定定：如如果果发发现有人试图猜测你的口令，而且已经试过很多次了现有人试图猜测你的口令，而且已经试过很多次了 53账号（一）账号（一）账号（一）账号（一）特殊的账号特殊的账号禁止操作系统中不必要的预置账号禁止操作系统中不必要

46、的预置账号 删除一些不必要的组删除一些不必要的组 在系统中加入必要的用户在系统中加入必要的用户 “不许改变不许改变”位可以用来保护文件使其不被意外地删位可以用来保护文件使其不被意外地删除或重写，也可以防止有些人创建这个文件的符号连除或重写，也可以防止有些人创建这个文件的符号连接接 54帐号（二）帐号（二）帐号（二）帐号（二）rootroot帐号帐号“rootroot”帐号是帐号是UnixUnix系统中享有特权的帐号系统中享有特权的帐号“rootroot”帐号是不受任何限制和制约的帐号是不受任何限制和制约的 不要随便用不要随便用rootroot帐号登录帐号登录 55帐号（三）帐号（三）帐号（三）

47、帐号（三）加密加密 加密时要用到密匙，密匙是一个特殊的数字，加密时要用到密匙，密匙是一个特殊的数字，把密匙和需要加密的信息经过加密算法加密之把密匙和需要加密的信息经过加密算法加密之后，只有知道密匙的人才能把信息读出来后，只有知道密匙的人才能把信息读出来 56口令文件口令文件口令文件口令文件 chattrchattr命命令令给给下下面面的的文文件件加加上上不不可可更更改改属属性，从而防止非授权用户获得权限。性，从而防止非授权用户获得权限。#chattrchattr+i/etc/+i/etc/passwdpasswd#chattrchattr+i/etc/shadow +i/etc/shadow#

48、chattrchattr+i/etc/group +i/etc/group#chattrchattr+i/etc/+i/etc/gshadowgshadow 57禁止禁止禁止禁止Ctrl+Alt+DeleteCtrl+Alt+DeleteCtrl+Alt+DeleteCtrl+Alt+Delete重新启动机器命令重新启动机器命令重新启动机器命令重新启动机器命令修改修改/etc/etc/inittabinittab文件文件将将“ca:ctrlaltdel:/sbin/shutdownca:ctrlaltdel:/sbin/shutdown-t3-r -t3-r nownow”一行注释掉一行注释掉

49、重新设置重新设置/etc/etc/rc.d/init.drc.d/init.d/目录下所有文目录下所有文件的许可权限，运行如下命令件的许可权限，运行如下命令#chmodchmod-R 700/etc/-R 700/etc/rc.d/init.drc.d/init.d/*/*58限制限制限制限制susususu命令命令命令命令 防止任何人都可以用防止任何人都可以用susu命令成为命令成为root root 在在“/etc/etc/pam.d/supam.d/su”文件中加入文件中加入 auth sufficient/lib/security/auth sufficient/lib/securit

50、y/pam_rootok.sopam_rootok.so debug debug auth required/lib/security/auth required/lib/security/pam_wheel.sopam_wheel.so group=wheel group=wheel这两行的意思是只有这两行的意思是只有“wheelwheel”组的成员才能用组的成员才能用susu命令成为命令成为rootroot。注注意，意，“wheelwheel”组是系统中用于这个目的的特殊帐号。不能用别的组组是系统中用于这个目的的特殊帐号。不能用别的组名名举例：让举例：让adminadmin用户成为用户成为

51、“wheel”wheel”组的成员，这样组的成员，这样就可以用就可以用“susu”命令成为命令成为“root”root”rootdeep#rootdeep#usermodusermod-G10 admin -G10 admin“G”是表示用户所在的其它组。是表示用户所在的其它组。“10”是是“wheel”组的组的ID值，值，“admin”是我们加到是我们加到“wheel”组的用户。用同样的命令可以让其他组的用户。用同样的命令可以让其他的用户可以用的用户可以用su命令成为命令成为root 59删减登录信息删减登录信息删减登录信息删减登录信息 默认情况下，登录提示信息包括默认情况下，登录提示信息包

52、括LinuxLinux发行版、内核版本名和服务器主机名发行版、内核版本名和服务器主机名等等 编辑编辑/etc/etc/rc.d/rc.localrc.d/rc.local将输出系统信将输出系统信息的注释掉息的注释掉60LinuxLinux的安全配置文件（一）的安全配置文件（一）的安全配置文件（一）的安全配置文件（一）“/etc/exportsetc/exports”文件文件“/etc/etc/inetd.confinetd.conf”文件文件“/etc/aliasesetc/aliases”文件文件“/etc/host.confetc/host.conf”文件文件“/etc/servicese

53、tc/services”文件文件“/etc/etc/securettysecuretty”文件文件 “/etc/etc/lilo.conflilo.conf”文件文件GRUBGRUB多重启动管理器多重启动管理器61LinuxLinux的安全配置文件的安全配置文件的安全配置文件的安全配置文件“/etc/etc/rc.d/rc.localrc.d/rc.local”文件文件 “/etc/etc/sysctl.confsysctl.conf”文件文件syslogsyslog 系统日志工具系统日志工具 /etc/etc/sysconfigsysconfig/network-scripts/networ

54、k-scripts/目录目录/etc/etc/sysconfigsysconfig/network/network 62NFSNFSNFSNFS和和和和NISNISNISNIS安全安全安全安全什么是什么是NFS什么是什么是NISNFS和和NIS的安全问题的安全问题63什么是什么是什么是什么是NFSNFSNFSNFS基于基于RPCRPC（remote procedure callremote procedure call）协议协议的网络文件系统是由的网络文件系统是由Sun MicrosystemsSun Microsystems公公司最早于司最早于19801980年实现的，用于在异种年实现的，用

55、于在异种UNIXUNIX操作系统共享文件操作系统共享文件NFSNFS的客户端的客户端/服务器实现结构使得远程磁服务器实现结构使得远程磁盘对于本地客户端是透明可见的。它通过盘对于本地客户端是透明可见的。它通过几个守护进程和配置文件来实现文件共享几个守护进程和配置文件来实现文件共享64NFS NFS NFS NFS 如何工作如何工作如何工作如何工作由于由于NFSNFS运行于面向无连接（不需要对传输数据运行于面向无连接（不需要对传输数据包进行任何确认）的包进行任何确认）的UDPUDP协议上，协议上，NFSNFS则试图强则试图强迫对它发送的每一个命令进行确认迫对它发送的每一个命令进行确认如果收到确认，

56、则继续发送数据。如果在特定如果收到确认，则继续发送数据。如果在特定时间内未收到确认，数据将被重传时间内未收到确认，数据将被重传 74563212745632126451ack2ack确认65NFSNFSNFSNFS的配置文件的配置文件的配置文件的配置文件NFSNFS的配置文件的配置文件/etc/exportsetc/exports，它定义了哪些共享和对谁是可它定义了哪些共享和对谁是可用的用的/etc/etc/fstabfstab，它包含了在客户端上被安装的文它包含了在客户端上被安装的文件系统列表件系统列表 66什么是什么是什么是什么是NISNISNISNISNetwork Informatio

57、n ServiceNetwork Information Service（网络信息服网络信息服务），通常还称为务），通常还称为Yellow PagesYellow Pages（黄页），黄页），是一种集中管理系统通用访问文件的分布是一种集中管理系统通用访问文件的分布式数据库系统。式数据库系统。mastermaster服务器存放这些文服务器存放这些文件，而客户端则通过网络访问其中的信息件，而客户端则通过网络访问其中的信息67NISNISNISNIS的实现的实现的实现的实现NISNIS的实现是通过几个守护进程的实现是通过几个守护进程ypservypserv是服务器守护进程是服务器守护进程ypbind

58、ypbind是客户端进程以构造是客户端进程以构造NISNIS请求请求mapsmaps可以在更新后手工（使用可以在更新后手工（使用yppushyppush）传送到传送到slaveslave服务器，或者通过服务器，或者通过ypxfrdypxfrd进程自动进程自动（slaveslave服务器检查服务器上的时间戳以进行服务器检查服务器上的时间戳以进行正确的更新）传送。正确的更新）传送。68NFSNFSNFSNFS和和和和NISNISNISNIS的安全问题的安全问题的安全问题的安全问题NFSNFS的安全问题的安全问题NISNIS服务的安全问题服务的安全问题保护保护NFS NFS 保护保护NIS NIS

59、69NFSNFSNFSNFS的安全问题的安全问题的安全问题的安全问题 NFSNFS使使用用AUTH_UNIXAUTH_UNIX的的认认证证方方法法，即即非非显显式式信信任任NFSNFS客客户户端端在在服服务务器器的的UIDUID（用用户户IDID）和和GIDGID（组组IDID）对对于于文文件件系系统统共共享享输输出出（exportexport）时时被被明明确确地地指指定定了了允允许许rootroot用用户户访访问问的的权权限限，任任何何在在NFSNFS客客户户端端获获取取了了rootroot权限的攻击者都可能会轻易控制权限的攻击者都可能会轻易控制NFSNFS服务器。服务器。攻攻击击者者通通过

60、过编编写写设设置置UIDUID和和GIDGID值值的的程程序序，使使其其有有权权访问访问NFSNFS服务器端任何用户的文件服务器端任何用户的文件 NFSNFS守守护护进进程程服服务务器器还还不不时时被被发发现现存存在在缓缓冲冲区区溢溢出出漏洞漏洞70NISNISNISNIS服务的安全问题服务的安全问题服务的安全问题服务的安全问题DoSDoS攻击（在多台客户端上使用攻击（在多台客户端上使用fingerfinger服务）服务）缓冲区溢出攻击（缓冲区溢出攻击（libnasllibnasl）NIS mapsNIS maps查询弱认证和其各个守护进程也查询弱认证和其各个守护进程也存在各自的安全问题存在各

61、自的安全问题71保护保护保护保护 NFSNFSNFSNFS 安装了最新的安装了最新的NFSNFS补丁补丁 检查检查/etc/exportsetc/exports文件文件 确保所有被共享的文件名不超过确保所有被共享的文件名不超过256256字符字符 确保确保/etc/exportsetc/exports和和/etc/etc/netgroupsnetgroups的访的访问权限为问权限为644644，属主为，属主为rootroot，组用户为组用户为rootroot或或sys sys 在被输出文件系统机器上运行在被输出文件系统机器上运行fsirandfsirand 激活激活NFSNFS的端口监视的端口

62、监视 72保护保护保护保护 NISNISNISNIS确定安装了最新的确定安装了最新的NFSNFS补丁补丁 确保确保NIS mapsNIS maps是否与本地口令文件是相互是否与本地口令文件是相互独立的独立的 检查用户口令强度检查用户口令强度 检查空口令检查空口令 确保口令域中确保口令域中*的正确使用的正确使用 73典型应用层服务典型应用层服务典型应用层服务典型应用层服务FTP(Wu-Ftpd)TelnetSMTP(Sendmail)WWW (Apache)74FTP(Wu-FTP(Wu-FTP(Wu-FTP(Wu-FtpdFtpdFtpdFtpd)FTPFTP服务器的配置文件服务器的配置文件/

63、etc/etc/ftpusersftpusers/etc/etc/ftpconversionsftpconversions/etc/etc/ftpgroupsftpgroups/etc/etc/ftphostsftphosts/etc/etc/ftpaccessftpaccess75TelnetTelnetTelnetTelnetTelnetTelnet面临的主要安全问题面临的主要安全问题使用者认证使用者认证 数据传送保密数据传送保密 防范针对防范针对telnettelnet的攻击的攻击76TelnetTelnetTelnetTelnet本身的缺陷本身的缺陷本身的缺陷本身的缺陷没没有有口口令令

64、保保护护，远远程程用用户户的的登登陆陆传传送送的的帐帐号号和和密密码码都都是是明明文文，使使用用普普通通的的sniffersniffer都都可以被截获可以被截获没没有有强强力力认认证证过过程程。只只是是验验证证连连接接者者的的帐帐户和密户和密没没有有完完整整性性检检查查。传传送送的的数数据据没没有有办办法法知知道是否完整的，而不是被篡改过的数据。道是否完整的，而不是被篡改过的数据。传送的数据都没有加密传送的数据都没有加密77数据传送保密数据传送保密数据传送保密数据传送保密使数据在使数据在TelnetTelnet会话中安全传送的方法会话中安全传送的方法使使用用DESDES、TripleDESTr

65、ipleDES、IDEAIDEA的的随随机机密密钥钥加加密密会会话话使用使用Diffie-HellmanDiffie-Hellman进行密钥交换进行密钥交换使用公钥私钥加密签名使用公钥私钥加密签名78SMTPSMTPSMTPSMTP（SendmailSendmailSendmailSendmail）SendmailSendmail是在是在UnixUnix环境下使用最广泛的实现环境下使用最广泛的实现邮件发送邮件发送/接受的邮件传输代理程序接受的邮件传输代理程序79设置设置设置设置SendmailSendmailSendmailSendmail使用使用使用使用 smrshsmrshsmrshsmr

66、sh 决定决定smrshsmrsh可以允许可以允许sendmailsendmail运行的命令列运行的命令列表表 在在“/“/etc/etc/smrshsmrsh”目录中创建允许目录中创建允许sendmailsendmail运行的程序的符号连接运行的程序的符号连接 配置配置sendmailsendmail使之使用受限使之使用受限shellshell80避免避免避免避免SendmailSendmailSendmailSendmail被未授权的用户滥用被未授权的用户滥用被未授权的用户滥用被未授权的用户滥用编辑编辑/etc/etc/sendmail.cfsendmail.cf 文件，修改这个文件，修改这个配置文件，使邮件服务器能够挡住欺骗邮配置文件，使邮件服务器能够挡住欺骗邮件件 100001北京市XXXXXXXXX（收）XXXXXX10008881限制可以审核邮件队列内容的人员限制可以审核邮件队列内容的人员限制可以审核邮件队列内容的人员限制可以审核邮件队列内容的人员为了限制可以审核邮件队列内容的人员，为了限制可以审核邮件队列内容的人员，只要在只要在“/“/etc/etc/sendmail.c