系统安全性
- Linux一直以稳定高效且安全著称, 但世无完物,其存在于系统内的细小安全 隐患同样不可小觑。
- 帐号安全性
- 常见漏洞安全性
- SELinux
账号安全
- (1)root帐号安全
-
- 当管理员在离开时忘了把root注销,这就存在隐患,所以我们希望系统能够自动从shell中注销,以达到保护root帐户的安全。
-
- 解决方法为:设置一个特殊的变量“tmout”,即编辑文件/etc/profile,在“histfilesize=”命令行的下一行增加“tmout=900”,表示所有用户如果在15分钟内无任何操作将自动注销此帐户。
-
- 注意,增加了此命令行后,请重新用root登录,更改才能生效
- Linux提供了多种帐号类型,以下是可以有选择性删除的系统帐号:
-
- Sendmail服务器帐号:news、uucp、operator
-
- X windows服务器帐号:gopher
-
- 具有某些特权的帐号:adm、shutdown、mail、sync
-
- 还有某些系统用户、组用户、匿名FTP帐户等
-
- 账号删除命令格式为:[root@主机名]# userdel username
常见的漏洞安全性
-
(1)缓冲区溢出
-
- 如果用root分区记录数据,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。
-
- 很多系统专家建议:为/var目录设立单独的分区用于存放日志和邮件,避免root分区被溢出;为特殊的应用程序单独设立分区;以及为/home目录单独设立一个区。
-
- 经过这样的单独分区,可以有效避免针对Linux分区溢出的某些恶意攻击
-
2)监听服务配置文件/etc/inetd.conf
-
此文件定制/usr/sbin/inetd将要监听的服务,建议把不用的服务关闭。操作方法:
-
显示系统开放的所有服务
[root@主机名]# grep -v “#” /etc/inetd.conf -
运行命令关闭不需要的服务
[root@主机名]# killall -HUP inetd -
配置后将其改为“不可更改,只能用root 帐户才能解开”
[root@主机名]# chattr -i /etc/inetd.conf -
最后查看哪些服务在正常运行
[root@主机名]# netstat -na --ip -
3)限制用户资源
-
对系统上的用户资源作适当限制可以有效防止DoS类型的攻击,如最大进程数等。操作方法为:
-
如果是对所有用户作限制,先编辑/etc/pam.d/login文件,检查是否有session required /lib/security/pam_limits.so,然后编辑/etc/security/limits.con,并加入以下几行:
-
hard core 0----------(禁止core files)
-
hard rss 5000-------(限制内存使用)
-
hard nproc 20 ------(限制进程数)
SETLINUX
- SELinux,是NSA(美国国家安全局)和SCC开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以GNU GPL发布。并非所有的 Linux 发行版都支持SELinux。
- SELinux是一个在内核中执行,提供强制访问控制MAC能力的子系统,以弥补传统的自主访问控制DAC架构的不足。
介绍
- MAC针对特定的进程与特定的文件资源来管理权限。即使是root,在使用不同进程的时候,所获得的权限也不一定是root,要根据当前的进程定。那么针对控制的【主体】变成了【进程】而不是用户。此外,主体进程也不能任意使用系统文件资源,每个资源文件对主体进程设置了可使用的权限
运行模式
- SELInux通过MAC的方式管理进程,控制主体是进程,目标是该进程能否读取【文件资源】。由于进程和文件数量庞大,需要依据某些服务订制基本的读写安全性策略。CentOS 7.x中三个主要策略:
-
- targeted:针对网络服务限制较多,针对本机限制较少,默认策略
-
- minimum:有target自定义而来,针对选择的进程来保护
-
- mls:完成的SELinux限制,限制比较严格
安全上下文
- SELinux系统中的每一个进程与对象都会记录一条安全上下文。SELinux的安全上下文的格式为:
- USER:ROLE:TYPE:[LEVEL:[CATEGORY]]
- SELinux启动之后,如果要查看文件和进程的安全上下文, 可使用以下命令:
查看帐号安全上下文:[root@主机名]# id –Z
查看文件安全上下文:[root@主机名]# ls –Z - 查看进程安全上下文:[root@主机名]# ps –Z
安装和配置
- SELinux 默认安装在Fedora和Red Hat Enterprise Linux上,也可以通过安装包安装在其它发行版上。
- 判断是否已安装SELinux包的shell命令为:[root@主机名]# rpm -qa | grep selinux
- SELinux的配置文件为:/etc/selinux/config
- 其中SELinux参数有三个选项,分别代表:
- disabled:完全禁止SELinux的功能。
- permissive:使用 SELinux 的策略文件验证操作,当操作不被允许的时候发出警告,但允许继续执行操作而不阻止操作进行;适合不知道使用SELinux会对系统造成什么影响的人使用。
- enforcing:使用SELinux的策略文件验证操作,当操作不被允许时直接禁止操作执行。
安全类型
- SELINUXTYPE参数有两个选项:
- targeted:只会对特定的限制级的域下面启动的进程进行策略检查,而对于无限制的域下面运行的进程则不检查策略文件。
- strict:将会对所有进程进行策略检查,被设计用来对于不同安全级别的域进行更好的策略控制,可以建立多级分层策略控制。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
