day1-基本防护措施

信息安全概述

信息安全评估

LINUX的基本防护

引导和登录控制

用户切换与提权

   

信息安全防护的目标

保密性：Cibfudebtiality

完整性：Intergrity

可用性：Usability

可控制性：Controlability

不可否认性：Non-repudiation                                                                                                            

   

信息安全防护的原则

权限最好小化

分权制衡

安全隔离

   

从哪些环节防护

物理安全：各种设备/主机、机房环境

系统安全：主机或设备的操作系统

应用安全：各种网络服务、应用程序

网络安全：对网络访问的控制、防火墙规则

数据安全：信息的备份与恢复、加密解密

管理安全：各种保障性的规则、流程、方法

   

可信计算机安全评估标准

Tusted Computer System Evaluation Criteria

第一个评估计算机的系统安全的正式标准

美国国防部，于1985年12月发布

TCSEC 安全分级

D类，无保护级，只包括D1级别

C类，自主保护级，分为C1、C2两个级别

B类，强制保护级，分为B1、B2、B3三个级别

A类，验证保护级，只包括A1一个级别

   

1. 阻止普通用户关机

控制台助手机制

/usr/bin/consolehelper

配置目录

/etc/security/console.apps/

   

#cd /etc/security/console.apps/

#mkdir –m 700 locked

#mv poweroff locked/        //poweroff相当于其他类似程序：reboot、halt

   

当reboot、poweroff移动到locked目录下，输出这些命令是没有任何提示的

# tar zcpvf locked.tar.gz reboot halt poweroff --remove

 

1. 清理非登录账号

/sbin/nologin,禁止登录shell

删除冗余账号

# grep -v 'nologin' /etc/passwd

   

设置账户的时效和密码

使用chage工具

-d 0,强制修改密码

-E yyyy-mm-dd，指定失效日期（0表示立即过期-1表示永不过期）

 

chage –d 0 user1

 

设置前一天就无法登录了

 

#grep --color root /etc/shadow

loginname    用户登录名

encrypted password    加密的密码

date of last password change    密码上次什么时间改变的，从1970年1月1日开始。单位为天数

minimum password age        密码最短使用时间。为0表示任何时候都可以更改密码

maximum password age        密码最好长使用时间

password warning period    密码警告时间

password inactivity period    密码闲置时间

account expiration date         账号过期时间

reserved field        账号保留

   

可使用#chage –l root查看

   

账号的锁定/解锁

使用passwd命令

-l锁定、-u解锁、-S查看状态

使用usermod命令

-L锁定、-U解锁

 

强制定期修改密码

# vim /etc/login.defs

主要控制属性

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_WARN_AGE

 

减少历史命令的条数

环境变量HISTSIZE：默认记录为1000条

密码等敏感信息就避免在命令行输入：比如NFS挂载、加域等操作

#vim /etc/profile    更改HISTSIZE=值

使用CTRL+R可以进程历史命令搜索

更改后重启或source /etc/profile生效

   

安全作用程序和服务

禁用非必要的系统服务：ntsysv、chkconfig工具

禁止普通用户执行init.d目录下的脚本：限制"other"的权限

   

文件系统规划及挂载

合理规划系统分区

/boot、/hme、/var等采用独立的卷

mount挂载选项

-o nosuid、-o noexec选项

   

特殊权限SUID，以该文件用户身份去执行

   

文件锁定和解锁

EXT3/EXT4的文件属性控制

chattr、lsattr

+、-、=控制方式

属性i：不可变（immutable）

属性a：公可追加（append only）

可以使用lsattr 文件名    进行查看     

   

LINUX基本防护

禁止普通用户使用reboot、halt等程序

账户、密码/失效设置

账户锁定和解锁

文件锁定和解锁

   

引导和登录控制

开关机安全控制

服务器物理安全控制

BIOS或UEFI引导参数设置

调整启动顺序

设置管理密码

BIOS密码、GRUB密码

   

TTY终端控制

允许启用哪些tty终端

配置文件/etc/sysconfig/init

ACTIVE_CONSOLES=/dev/tty[1-6]

更改重启生效

立即禁止普通用户登录

/etc/nologin        touch /etc/nologin //touch一个空文件即可

 

只允许root从指定的几个终端登录

配置文件/etc/securetty

   

隐藏/etc/issue和/etc/issue.net 信息

   

禁止CTRL+ALT+DEL重启

停用CTRL+ALT+DEL热键配置

/etc/init/control-alt-delete.conf

注释以下

#start on control-alt-delete

#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

   

为grub加密

先用grub-md5-crypt生成密码

生成完成将密码写入/etc/grub.conf

title下用password --md5 加密后的密码

   

切换用户身份——su

用途Substiture User,换人

验证凭据：目标用户的口令

命令格式

su - 目标用户

su - -c "命令" 目标用户

   

su创建非登陆shell

su – 创建登陆shell

两个有不同处

su切换时，不会切换用户信息

推荐使用su – 用户名

   

提升执行权限——sudo

用途

Super or another Do，超级执行

验证凭据

当前用户的口令，需提前配置授权

命令格式

sudo 特权命令

sudo –u     目标用户 特权命令

   

推荐使用visudo去编辑文件，会做语法检查

   

可以使用sudo –l查看可使用命令

 

日志可在/var/log/secure

 

危险操作

# cp /bin/bash /sbin/11111111

$ sudo 11111111

无需密码直接进入 ROOT模式