Linux系统和网络安全

一、引言

下面,首先来看一下linux系统中压缩文件的管理。

二、系统安全:

1、主机前的登录操作

1)使用单用户模式:

正常登录:不用密码直接root登录

方案:可以在开机管理程序中添加密码验证,可在系统安装时设置,若安装时未设置也可新增设置,方法如下:

[root@linux ~]#grub

[root@linux ~]# md5crypt

然后输入密码,生成一个加密的密码,把它复制下来,稍后粘贴到/etc/grub.conf中,输入quit离开

[root@linux ~]#vi /etc/grub.conf

title前新增一行:

password --md5 加密的密码

然后,重新启动,按任意键进入开机画面,按e键无反应,按P键后输入密码才可使用E键进入开机菜单。

2ctrl+alt+del的管理:

/etc/inittab中,默认是所有的用户可以使用ctrl+alt+del来重新开机,在/etc/inittab中的主要设置语句如下:

ca::ctrlaltdel:/sbin/shutdown  -t3 r  now

如果不希望启动这个功能,在这行前加#再重新开机即可;

如果希望特定用户才能使用这项功能,那么可以多加一个-a的参数,如下:ca::ctrlaltdel:/sbin/shutdown  a  -t3 r  now

加了参数-ashutdown在被执行时就会查看/etc/shutdown.allow这个文件,查看该用户有没有在其中。/etc/shutdown.allow这个文件需要自行增加,格式如下:

       john

       mary

设置完后重新开机即可生效。

3)限制使用su命令:

如果不希望任何用户能够用su切换到root,可以编辑/etc/pam.d/su文件,增加如下两行:

 auth  sufficient  /lib/security/pam_rootok.so  debug

 auth   required  /lib/security/pam_wheel.so  group=isd

这样就只有isd组的用户可以用su切换到root;此后如果希望用户tom能够用su切换到root,可以运行如下命令:

[root@linux ~]#usermod  –G 10 admin

4)登录终端设置:

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,编辑/etc/securetty文件进行注释,这样root用户将不能在被注释的终端中登录。

2、文件与目录的默认权限与隐藏权限:

1)文件权限:

通过设定权限可以限制或允许以下3种用户访问:文件的所有者(属主)、文件所有者的同组用户、系统的其他用户。

文件权限有:

r:读取;

W:写入;

X:对文件而言是可执行的,对目录而言是具有进入目录的权限;

SUID:可执行文件搭配这个权限能得到特权,任意存取该文件的所有者能使用的全部系统资源,该权限只对二进制文件可用,不能用在目录和批处理文件(shell脚本)上;

SGID:设置在文件上面效果与SUID相同,只是将文件所有者换成用户组;可用在二进制文件和目录;

Sticky/tmp/var/tmp目录供所有用户暂时存取文件,添加上该权限用户只能对自己建立的文件或目录进行修改;只针对目录有效,对文件无效。

其中,SUIDSGIDSticky占用x的位置,在表示上有大小写之分;如果同时开启执行权限和SUIDSGIDSticky,权限字符是小写的s;如果关闭执行权限,权限字符变成大写S

文件权限的数字表示:

R:4

W:2

X:1

如果在3组数字前再加一个数字,最前面的数字就表示特殊权限,其中:

SUID4

SGID2

Sticky1

2)权限设置:

更改文件权限:主要在文件复制时使用

A、更改所属用户组:

命令:chgrp

语法:chgrp [-R]  文件名或目录名

 例1:修改文件amf的用户组为root

[root@linux ~]# chgrp root amf

B、更改文件拥有者:

命令:chown

语法:chown [-R] 账户名[:用户组名文件名或目录名

例1将文件amf的所有者改为root

[root@linux ~]# chown  root  amf

C、更改文件权限:

命令:chmod

语法:chmod  [who][+|-|=][mode]  文件或目录名

参数意义:

     Who:有ugoa分别表示所有者、用户组、其他用户和所有用户;

     操作符:+增加权限;-取消权限;=赋予权限;

     Moder可读,w可写,x可执行,t保存程序的文本到交换设备上,s分为“u+s”设置SUID权限和“g+s”设置SGID权限;

说明:在一个命令行中可给出多个权限方式,之间用逗号隔开;也可以使用数字方式设置。

例1修改文件amf的权限

[root@linux ~]# chmod  u+rw,g+wx  amf

D、设置文件默认权限:

命令:umask

查看默认权限:umask  [-S]

设置默认权限:umask  要去掉的权限数字

3)隐藏属性管理

A、查看隐藏属性:

命令:lsattr  [文件或目录]

B、设置隐藏属性:

命令:chattr [+-=][ASacdistu][文件或目录]

参数意义:

A:不得修改访问时间atime

S:直接将数据写入磁盘,可以有效避免数据流失;

a:只能增加数据,不得删除数据,只有root才能设置

c:对大文件有用,可对文件进行自动压缩和解压缩;

d:当执行dump备份时,可使文件具有转储功能;

i:不得修改该文件;有助于系统安全;

s:从硬盘空间完全删除;

u:与s相反,数据内容还存在磁盘中,可以用来还原删除;

 二、网络安全

1、阻止ping

/etc/rc.d/rc.local中增加一行:

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

保存文件后重启计算机。

2、防止IP欺骗:

/etc/host.conf中增加几行:

Order  bind,hosts

Multi off

Nospoof on

3XINETD

服务位置:/etc/xinetd.d/

开启服务:修改目录下的对应文件,将“disable=yes”改为“disable=no”;然后重启XINETD

[root@linux ~]# /sbin/service xinetd restart

4iptables:防火墙

1)安装:yum install iptables

2)启动:service iptables start

3)关闭: service iptables stop

5SELinux使用:

1)暂时关闭:setenforce  0

2)重新启动: setenforce  1

3)完全关闭:修改/etc/selinux/config文件,将“SELINUX=enforcing”改为“SELINUX=disabled”,然后重新开机即可;推荐做法是将“SELINUX=enforcing”改为“SELINUX=permissive”。

6、安装补丁:

去官方网站下载补丁,使用命令安装:rpm –Fvh [文件名

四、小结


  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值