Linux系统和网络安全

一、引言

下面，首先来看一下linux系统中压缩文件的管理。

二、系统安全：

1、主机前的登录操作

（1）使用单用户模式：

正常登录：不用密码直接root登录

方案：可以在开机管理程序中添加密码验证，可在系统安装时设置，若安装时未设置也可新增设置，方法如下：

[root@linux ~]#grub

[root@linux ~]# md5crypt

然后输入密码，生成一个加密的密码，把它复制下来，稍后粘贴到/etc/grub.conf中，输入quit离开

[root@linux ~]#vi /etc/grub.conf

在title前新增一行：

password --md5 加密的密码

然后，重新启动，按任意键进入开机画面，按e键无反应，按P键后输入密码才可使用E键进入开机菜单。

（2）ctrl+alt+del的管理：

在/etc/inittab中，默认是所有的用户可以使用ctrl+alt+del来重新开机，在/etc/inittab中的主要设置语句如下：

ca::ctrlaltdel:/sbin/shutdown  -t3 –r  now

如果不希望启动这个功能，在这行前加#再重新开机即可；

如果希望特定用户才能使用这项功能，那么可以多加一个-a的参数，如下：ca::ctrlaltdel:/sbin/shutdown  –a  -t3 –r  now

加了参数-a，shutdown在被执行时就会查看/etc/shutdown.allow这个文件，查看该用户有没有在其中。/etc/shutdown.allow这个文件需要自行增加，格式如下：

       john

       mary

设置完后重新开机即可生效。

（3）限制使用su命令：

如果不希望任何用户能够用su切换到root，可以编辑/etc/pam.d/su文件，增加如下两行：

 auth  sufficient  /lib/security/pam_rootok.so  debug

 auth   required  /lib/security/pam_wheel.so  group=isd

这样就只有isd组的用户可以用su切换到root；此后如果希望用户tom能够用su切换到root，可以运行如下命令：

[root@linux ~]#usermod  –G 10 admin

（4）登录终端设置：

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，编辑/etc/securetty文件进行注释，这样root用户将不能在被注释的终端中登录。

2、文件与目录的默认权限与隐藏权限：

（1）文件权限：

通过设定权限可以限制或允许以下3种用户访问：文件的所有者（属主）、文件所有者的同组用户、系统的其他用户。

文件权限有：

r：读取；

W：写入；

X：对文件而言是可执行的，对目录而言是具有进入目录的权限；

SUID：可执行文件搭配这个权限能得到特权，任意存取该文件的所有者能使用的全部系统资源，该权限只对二进制文件可用，不能用在目录和批处理文件（shell脚本）上；

SGID：设置在文件上面效果与SUID相同，只是将文件所有者换成用户组；可用在二进制文件和目录；

Sticky：/tmp和/var/tmp目录供所有用户暂时存取文件，添加上该权限用户只能对自己建立的文件或目录进行修改；只针对目录有效，对文件无效。

其中，SUID、SGID和Sticky占用x的位置，在表示上有大小写之分；如果同时开启执行权限和SUID、SGID、Sticky，权限字符是小写的s；如果关闭执行权限，权限字符变成大写S；

文件权限的数字表示：

R：4；

W：2；

X：1；

如果在3组数字前再加一个数字，最前面的数字就表示特殊权限，其中：

SUID：4；

SGID：2；

Sticky：1

（2）权限设置：

更改文件权限：主要在文件复制时使用

A、更改所属用户组：

命令：chgrp

语法：chgrp [-R]  文件名或目录名

 例1：修改文件amf的用户组为root

[root@linux ~]# chgrp root amf

B、更改文件拥有者：

命令：chown

语法：chown [-R] 账户名[:用户组名] 文件名或目录名

例1：将文件amf的所有者改为root

[root@linux ~]# chown  root  amf

C、更改文件权限：

命令：chmod

语法：chmod  [who][+|-|=][mode]  文件或目录名

参数意义：

     Who：有u、g、o、a分别表示所有者、用户组、其他用户和所有用户；

     操作符：+增加权限；-取消权限；=赋予权限；

     Mode：r可读，w可写，x可执行，t保存程序的文本到交换设备上，s分为“u+s”设置SUID权限和“g+s”设置SGID权限；

说明：在一个命令行中可给出多个权限方式，之间用逗号隔开；也可以使用数字方式设置。

例1：修改文件amf的权限

[root@linux ~]# chmod  u+rw,g+wx  amf

D、设置文件默认权限：

命令：umask

查看默认权限：umask  [-S]

设置默认权限：umask  要去掉的权限数字

（3）隐藏属性管理

A、查看隐藏属性：

命令：lsattr  [文件或目录]

B、设置隐藏属性：

命令：chattr [+-=][ASacdistu][文件或目录]

参数意义：

A：不得修改访问时间atime；

S：直接将数据写入磁盘，可以有效避免数据流失；

a：只能增加数据，不得删除数据，只有root才能设置；

c：对大文件有用，可对文件进行自动压缩和解压缩；

d：当执行dump备份时，可使文件具有转储功能；

i：不得修改该文件；有助于系统安全；

s：从硬盘空间完全删除；

u：与s相反，数据内容还存在磁盘中，可以用来还原删除；

 二、网络安全

1、阻止ping：

在/etc/rc.d/rc.local中增加一行：

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

保存文件后重启计算机。

2、防止IP欺骗：

在/etc/host.conf中增加几行：

Order  bind,hosts

Multi off

Nospoof on

3、XINETD：

服务位置：/etc/xinetd.d/下

开启服务：修改目录下的对应文件，将“disable=yes”改为“disable=no”；然后重启XINETD：

[root@linux ~]# /sbin/service xinetd restart

4、iptables：防火墙

（1）安装：yum install iptables

（2）启动：service iptables start

（3）关闭： service iptables stop

5、SELinux使用：

（1）暂时关闭：setenforce  0

（2）重新启动： setenforce  1

（3）完全关闭：修改/etc/selinux/config文件，将“SELINUX=enforcing”改为“SELINUX=disabled”，然后重新开机即可；推荐做法是将“SELINUX=enforcing”改为“SELINUX=permissive”。

6、安装补丁：

去官方网站下载补丁，使用命令安装：rpm –Fvh [文件名] 

四、小结