11-linux操作系统安全

linux操作系统分为账户安全、文件系统安全、日志分析等三类。

linux系统标识与鉴别----安全主体

　　安全主体

　　用户：身份标识userID；组：身份标识group ID

　　文件必须有所有者，必须属于某个或多个组，用户和组的关系灵活（一对多，多对多等都可以），根用户拥有所有权限。

　　信息存储-用户信息：/etc/passwd，/etc/shadow，组信息：/etc/group，/etc/gshadow， /etc/passwd存放用户信息，/etc/shadow存放用户密码信息，/etc/group存放组信息，然后在文件系统中的每个文件的文件头里面添加了用户和文件之间的关系信息。

　　账户口令安全--账户通用配置

---检查，清除系统中多余账户，查看/etc/passwd, /etc/shadow

----清除多余账户，锁定账户，通过passwd -l 用户名    进行锁定，解锁使用passwd -u 用户名，

　　禁用root之外的超级用户，检查id=0的都有哪些，除root之外都可以禁用或者删除。

　　检查是否存在空口令账户，通过awk -F: '($2==""){print $1}' /etc/shadow，如果存在空口令，则对其进行锁定，或者加密码。

　　设置登录失败锁定次数和时间，访问/etc/pam.d/system-auth，设置atuh required pam_tally.so onen=fail deny=6 unlock_time=300

　　修改账户超时值：设置自动注销时间，访问/etc/profile，设置 TMOUT=600

　　保护root账户：禁止使用root账户登录系统，只允许普通账户登录，使用su切换，不要随意把root shell留在终端上，不要把当前目录./和普通用户bin目录放在root账户的环境变量PATH中。不以root运行不熟悉的程序、

　　口令安全策略：要求使用安全口令，设置有效期，设置口令修改提示，设置账户锁定登录失败次数，锁定时间。vi /etc/logon/def

　　系统服务器配置：禁止危险网络服务，比如：telnet。FTP，echo，chargen，shell，finger，NFS，RPC等

　　关闭非必要的网络服务，比如talk，ntalk。

　　远程登录安全：禁用telnet，使用ssh进行管理；限制登录IP；禁止root 远程；限定信任主机；修改banner信息。

　　使用ssh，限制登录IP：编辑/etc/ssh/sshd_config 添加ALLOWUsers xxx@192.168.1.1来登录本机，或者可以使用ALLowUsers *@192.168.*.*来允许这个网段的通过ssh访问。

　　禁止root/限定信任主机，cat /etc/ssh/sshd_config,确保PermitRootLogin为no

　　限定信任主机：cat/etc/hosts.equiv，cat /etc$HOME

　　修改banner信息：这里有操作系统名称，版本号，主机名称等

　　修改banner信息：查看修改sshd_config，vi /etc/ssh/sshd_config,如存在，则将banner字段设置为NONE。

　　查看motd： vi etc/motd

　　创建文件时的默认umask值，可以通过编辑/etc/prifile来设置，编辑好后文件的默认umask值就是设置好的。

　　启用syslogd服务，配置日志存储策略，打开/etc/logrotate.d/syslog检查其对日志存储空间的大小和时间的设置

LINUX系统安全：

　　账户安全：超级，系统用户和普通用户，超级用户UID=0，系统用户：正常运行系统时使用的账户，比如某个进程以何种身份运行，这些身份就是系统里对应的用户账户。普通用户：权限受控。

　　账户安全：用户在passwd下，密码文件在shadow下，用户组文件在etc/group里

　　passwd下从左到右以：隔开，依次是用户名，密码，ID，主组ID，用户全程，主目录和登录sehll。但是passwd下的密码全部用x替代。所有密码都是经过加密后保存在shadows中，

　　shadow文件格式：用户名：密码：上次修改时间：两次修改密码间隔最少天数：两次修改最多天数：提前几天警告用户密码过期：密码过期几天禁用用户：过期时间：保留字段。所有密码都是经过MD5算法加密处理过的，只有具备超级用户权限才能查看这个文件。

　　group文件中保存的是系统中所有组的属性信息。每一行代表一个单独的组，每一个组的属性信息分别用“：”隔开，从左到右依次是组名、密码、组ID和用户列表。

　　gshadow文件用于保存系统中所有组的密码和/etc/shadow一样所有的密码都经过MD5算法加密处理，只有超级用户才能查看。

　　账户安全：禁止su到root，vi /etc/pam.d/su，添加下面两行  

　　auth    sufficient    pam_rootok.so

　　auth    required      pam_wheel.so  group=wheel

　　设置用户登录失败N次锁定

　　auth   required    pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60