1、网络安全技术第 2 页Linux系统安全Lynis安全漏洞扫描工具Linux系统口令安全网络访问权限的控制Linux文件系统安全Lynis安全漏洞扫描工具第一部分网络安全技术第 4 页Lynis安全漏洞扫描工具Lynis:是一款Unix系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在危险并对系统加固提供建议。在红帽系统上,我们可以利用yum install lynis命令安装该软件。并利用man lynis命令查看其命令参数。网络安全技术第 5 页Lynis安全漏洞扫描工具利用lynis audit system-Q命令对系统进行安全扫描,如下图所示网络安全技术第 6 页
2、Lynis安全漏洞扫描工具一旦扫描完毕,会自动生成审查报告,并保存在/var/log/lynis.log中。审查报告含有该工具检测到的潜在安全漏洞方面的警告信息以及给出的建议。利用grep命令可以查看/var/log/lynis.log日志文件中的警告信息以及建议,如下图所示Linux系统口令安全第二部分网络安全技术第 8 页安全口令规则 1.口令长度至少为八个字符 口令越长越好。若使用 MD5 口令,它应该至少有15个字符。若使用 DES 口令,使用最长长度(8个字符)。2.混和大小写字母 红帽企业 Linux 区分大小写,因此混和大小写会增加口令的强健程度。3.混和字母和数字 在口令中添加
3、数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。4.包括字母和数字以外的字符&、$、和 之类的特殊字符可以极大地增强口令的强健性(若使用 DES 口令则不能使用此类字符)。5.挑选一个可以记住的口令 如果你记不住你的口令,那么它再好也没有用;使用简写或其它记忆方法来帮助你记忆口令。网络安全技术第 9 页修改口令老化时间通过编辑/etc/login.defs文件,可以修改密码最大有效时间、密码最短修改时间、密码最短长度、提醒用户修改密码时间等值。从而保证用户定期更换密码,起到安全防护作用。网络安全技术第 10 页用口令保护GRUB-测试Linux系统没有GRUB口令保护的安全隐
4、患1.在引导界面快速按任意键,可以进入GRUB启动菜单界面2.按E键,进入“命令编辑菜单”界面选择“Kernel/vmlinuz”选项。网络安全技术第 11 页3.进入命令界面,在“rhgb quiet”后面输入 14.输入完成后,按回车返回界面,按B键,用单用户模式启动系统。系统启动后,使用passwd命令来修改root用户口令,再输入命令“reboot”重启系统。此时就完成了对root用户密码的修改,存在极大的安全隐患。用口令保护GRUB-测试Linux系统没有GRUB口令保护的安全隐患网络安全技术第 12 页为了防止GRUB安全漏洞,我们可以利用“/sbin/grub-md5-crypt
5、”命令,设置GRUB口令,从而起到保护作用。用口令保护GRUB这样如果启动时想进入GRUB引导系统需要先输入密码。Linux用户网络访问权限的控制第三部分网络安全技术第 14 页禁止根ShellVSFTP:在Linux系统中,我们经常利用wu-ftpd或VSFTP(Very Secure FTP)软件搭建文件服务器,但是其安全性也是其开发者Chris Evans考虑的首要问题之一。如右图所示,黑客截获了FTP服务器的账户和密码,利用user1账户登录到FTP服务器,对FTP服务器根目录中的文件进行操作。从而造成威胁。网络安全技术第 15 页禁止根Shell禁止根shell和用户本地登录:1.修
6、改配置文件/etc/passwd,禁止user1登录2.再用user1登录,会提示登录错误。网络安全技术第 16 页禁止终端登录Telnet和SSH:Telnet和SSH服务允许授权用户进入网络中的其它 UNIX 机器并且就像用户在现场操作一样。一旦进入主机,用户可以操作主机允许的任何事情。远程登录服务原理图 网络安全技术第 17 页禁止终端登录黑客经常利用Telnet命令来探测某个端口是否开放。telnet某目标主机80端口状态网络安全技术第 18 页禁止终端登录禁止远程终端登录:修改/etc/securetty文件,将该文件清空,即可禁止黑客利用telnet命令通过远程终端登录。再次登录时
7、,会显示登录失败 网络安全技术第 19 页禁止终端登录禁止SSH:修改/etc/ssh/sshd.config文件,将PermitRootLogin 修改为no,禁止进行根登录。Linux文件系统安全第四部分网络安全技术第 21 页文件系统安全NFS:NFS 网络文件系统,是一种用于Linux系统之间进行资源共享的网络访问协议。Samba:Samba服务主要用于Linux和Windows系统之间进行资源共享的网络访问协议。黑客有可能利用NFS和Samba服务漏洞来实现对Linux系统的远程攻击。下面我们以NFS服务为例讲一下如何加强Linux文件系统安全。网络安全技术第 22 页NFS文件系统
8、安全1.修改/etc/exports文件合理设置安全权限。最好能使用nonuid,anongid以使MOUNT到NFS SERVER的CLIENT仅仅有最小的权限,最好不要使用root_squash./mnt/mp3 192.168.10.168(ro,async,anonuid,anongid)具体的可选参数如下所示:rw:可读写的权限。ro:只读的权限。no_root_squash:登入到NFS主机的用户如果是ROOT用户,他就拥有ROOT的权限root_squash:在登入NFS主机使用目录的使用者如果是root时,那么这个使用者的权限将被压缩成为匿名使用者,通常他的UID与GID都会变
9、成nobody那个身份。all_squash:不管登陆NFS主机的用户是什么都会被重新设定为nobody。anonuid:将登入NFS主机的用户都设定成指定的userid,此ID必须存在于/etc/passwd中。anongid:同anonuid,但是变成groupID就是了。sync资料同步写入存储器中。async:资料会先暂时存放在内存中,不会直接写入硬盘。insecure允许从这台机器过来的非授权访问。网络安全技术第 23 页NFS文件系统安全2.使用IPTABLE防火墙限制能够连接到NFS SERVER的机器范围iptables-A INPUT-i eth0-p TCP-s 192.1
10、68.0.0/24-dport 2049-j ACCEPTiptables-A INPUT-i eth0-p UDP-s 192.168.0.0/24-dport 2049-j ACCEPTiptables-A INPUT-i eth0-p TCP-s 140.0.0.0/8-dport 2049-j ACCEPTiptables-A INPUT-i eth0-p UDP-s 140.0.0.0/8-dport 2049-j ACCEPT3.修改/etc/hosts.allow和/etc/hosts.deny达到限制CLIENT的目的/etc/hosts.allowportmap:192.168.0.0/255.255.255.0:allowportmap:140.116.44.125:allow/etc/hosts.denyportmap:ALL:deny4.改变默认的NFS 端口NFS默认使用2049端口,可以使用port参数改变端口,这样就可以在一定程度上增强安全性.小结与作业第五部分网络安全技术第 25 页Linux系统安全Lynis安全漏洞扫描工具Linux系统口令安全网络访问权限的控制Linux文件系统安全完成Linux系统安全部分的实验。
