Linux系统和网络安全
一、引言
下面,首先来看一下linux系统中压缩文件的管理。
二、系统安全:
1、主机前的登录操作
(1)使用单用户模式:
正常登录:不用密码直接root登录
方案:可以在开机管理程序中添加密码验证,可在系统安装时设置,若安装时未设置也可新增设置,方法如下:
[root@linux ~]#grub
[root@linux ~]# md5crypt
然后输入密码,生成一个加密的密码,把它复制下来,稍后粘贴到/etc/grub.conf中,输入quit离开
[root@linux ~]#vi /etc/grub.conf
在title前新增一行:
password --md5 加密的密码
然后,重新启动,按任意键进入开机画面,按e键无反应,按P键后输入密码才可使用E键进入开机菜单。
(2)ctrl+alt+del的管理:
在/etc/inittab中,默认是所有的用户可以使用ctrl+alt+del来重新开机,在/etc/inittab中的主要设置语句如下:
ca::ctrlaltdel:/sbin/shutdown -t3 –r now
如果不希望启动这个功能,在这行前加#再重新开机即可;
如果希望特定用户才能使用这项功能,那么可以多加一个-a的参数,如下:ca::ctrlaltdel:/sbin/shutdown –a -t3 –r now
加了参数-a,shutdown在被执行时就会查看/etc/shutdown.allow这个文件,查看该用户有没有在其中。/etc/shutdown.allow这个文件需要自行增加,格式如下:
john
mary
设置完后重新开机即可生效。
(3)限制使用su命令:
如果不希望任何用户能够用su切换到root,可以编辑/etc/pam.d/su文件,增加如下两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这样就只有isd组的用户可以用su切换到root;此后如果希望用户tom能够用su切换到root,可以运行如下命令:
[root@linux ~]#usermod –G 10 admin
(4)登录终端设置:
/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,编辑/etc/securetty文件进行注释,这样root用户将不能在被注释的终端中登录。
2、文件与目录的默认权限与隐藏权限:
(1)文件权限:
通过设定权限可以限制或允许以下3种用户访问:文件的所有者(属主)、文件所有者的同组用户、系统的其他用户。
文件权限有:
r:读取;
W:写入;
X:对文件而言是可执行的,对目录而言是具有进入目录的权限;
SUID:可执行文件搭配这个权限能得到特权,任意存取该文件的所有者能使用的全部系统资源,该权限只对二进制文件可用,不能用在目录和批处理文件(shell脚本)上;
SGID:设置在文件上面效果与SUID相同,只是将文件所有者换成用户组;可用在二进制文件和目录;
Sticky:/tmp和/var/tmp目录供所有用户暂时存取文件,添加上该权限用户只能对自己建立的文件或目录进行修改;只针对目录有效,对文件无效。
其中,SUID、SGID和Sticky占用x的位置,在表示上有大小写之分;如果同时开启执行权限和SUID、SGID、Sticky,权限字符是小写的s;如果关闭执行权限,权限字符变成大写S;
文件权限的数字表示:
R:4;
W:2;
X:1;
如果在3组数字前再加一个数字,最前面的数字就表示特殊权限,其中:
SUID:4;
SGID:2;
Sticky:1
(2)权限设置:
更改文件权限:主要在文件复制时使用
A、更改所属用户组:
命令:chgrp
语法:chgrp [-R] 文件名或目录名
例1:修改文件amf的用户组为root
[root@linux ~]# chgrp root amf
B、更改文件拥有者:
命令:chown
语法:chown [-R] 账户名[:用户组名] 文件名或目录名
例1:将文件amf的所有者改为root
[root@linux ~]# chown root amf
C、更改文件权限:
命令:chmod
语法:chmod [who][+|-|=][mode] 文件或目录名
参数意义:
Who:有u、g、o、a分别表示所有者、用户组、其他用户和所有用户;
操作符:+增加权限;-取消权限;=赋予权限;
Mode:r可读,w可写,x可执行,t保存程序的文本到交换设备上,s分为“u+s”设置SUID权限和“g+s”设置SGID权限;
说明:在一个命令行中可给出多个权限方式,之间用逗号隔开;也可以使用数字方式设置。
例1:修改文件amf的权限
[root@linux ~]# chmod u+rw,g+wx amf
D、设置文件默认权限:
命令:umask
查看默认权限:umask [-S]
设置默认权限:umask 要去掉的权限数字
(3)隐藏属性管理
A、查看隐藏属性:
命令:lsattr [文件或目录]
B、设置隐藏属性:
命令:chattr [+-=][ASacdistu][文件或目录]
参数意义:
A:不得修改访问时间atime;
S:直接将数据写入磁盘,可以有效避免数据流失;
a:只能增加数据,不得删除数据,只有root才能设置;
c:对大文件有用,可对文件进行自动压缩和解压缩;
d:当执行dump备份时,可使文件具有转储功能;
i:不得修改该文件;有助于系统安全;
s:从硬盘空间完全删除;
u:与s相反,数据内容还存在磁盘中,可以用来还原删除;
二、网络安全
1、阻止ping:
在/etc/rc.d/rc.local中增加一行:
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
保存文件后重启计算机。
2、防止IP欺骗:
在/etc/host.conf中增加几行:
Order bind,hosts
Multi off
Nospoof on
3、XINETD:
服务位置:/etc/xinetd.d/下
开启服务:修改目录下的对应文件,将“disable=yes”改为“disable=no”;然后重启XINETD:
[root@linux ~]# /sbin/service xinetd restart
4、iptables:防火墙
(1)安装:yum install iptables
(2)启动:service iptables start
(3)关闭: service iptables stop
5、SELinux使用:
(1)暂时关闭:setenforce 0
(2)重新启动: setenforce 1
(3)完全关闭:修改/etc/selinux/config文件,将“SELINUX=enforcing”改为“SELINUX=disabled”,然后重新开机即可;推荐做法是将“SELINUX=enforcing”改为“SELINUX=permissive”。
6、安装补丁:
去官方网站下载补丁,使用命令安装:rpm –Fvh [文件名]
四、小结
