1、Linux系統(tǒng)安全Linux系統(tǒng)安全Lynis安全漏洞掃描工具Linux系統(tǒng)口令安全網(wǎng)絡(luò)訪問權(quán)限的控制Linux文件系統(tǒng)安全Lynis安全漏洞掃描工具第一部分Lynis安全漏洞掃描工具Lynis：是一款Unix系統(tǒng)的安全審計以及加固工具，能夠進(jìn)行深層次的安全掃描，其目的是檢測潛在危險并對系統(tǒng)加固提供建議。在紅帽系統(tǒng)上，我們可以利用yum install lynis命令安裝該軟件。并利用man lynis命令查看其命令參數(shù)。Lynis安全漏洞掃描工具利用lynis audit system -Q命令對系統(tǒng)進(jìn)行安全掃描，如下圖所示Lynis安全漏洞掃描工具一旦掃描完畢，會自動生成審查報告，并保存在

2、/var/log/lynis.log中。審查報告含有該工具檢測到的潛在安全漏洞方面的警告信息以及給出的建議。利用grep命令可以查看/var/log/lynis.log日志文件中的警告信息以及建議，如下圖所示Linux系統(tǒng)口令安全第二部分安全口令規(guī)則 1.口令長度至少為八個字符 口令越長越好。若使用 MD5 口令，它應(yīng)該至少有15個字符。若使用 DES 口令，使用最長長度（8個字符）。 2. 混和大小寫字母 紅帽企業(yè) Linux 區(qū)分大小寫，因此混和大小寫會增加口令的強健程度。 3. 混和字母和數(shù)字 在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強口令的強健性。 4.包括字母和

3、數(shù)字以外的字符 &、$、和 之類的特殊字符可以極大地增強口令的強健性（若使用 DES 口令則不能使用此類字符）。 5.挑選一個可以記住的口令 如果你記不住你的口令，那么它再好也沒有用；使用簡寫或其它記憶方法來幫助你記憶口令。修改口令老化時間通過編輯/etc/login.defs文件，可以修改密碼最大有效時間、密碼最短修改時間、密碼最短長度、提醒用戶修改密碼時間等值。從而保證用戶定期更換密碼，起到安全防護作用。用口令保護GRUB-測試Linux系統(tǒng)沒有GRUB口令保護的安全隱患1. 在引導(dǎo)界面快速按任意鍵，可以進(jìn)入GRUB啟動菜單界面2. 按E鍵，進(jìn)入“命令編輯菜單”界面選擇“Kernel /v

4、mlinuz ”選項。 3. 進(jìn)入命令界面，在“rhgb quiet”后面輸入 14. 輸入完成后，按回車返回界面，按B鍵，用單用戶模式啟動系統(tǒng)。系統(tǒng)啟動后，使用passwd命令來修改root用戶口令，再輸入命令“reboot”重啟系統(tǒng)。此時就完成了對root用戶密碼的修改，存在極大的安全隱患。用口令保護GRUB-測試Linux系統(tǒng)沒有GRUB口令保護的安全隱患為了防止GRUB安全漏洞，我們可以利用“/sbin/grub-md5-crypt”命令，設(shè)置GRUB口令，從而起到保護作用。用口令保護GRUB這樣如果啟動時想進(jìn)入GRUB引導(dǎo)系統(tǒng)需要先輸入密碼。Linux用戶網(wǎng)絡(luò)訪問權(quán)限的控制第三部分禁

5、止根ShellVSFTP：在Linux系統(tǒng)中，我們經(jīng)常利用wu-ftpd或VSFTP（Very Secure FTP）軟件搭建文件服務(wù)器，但是其安全性也是其開發(fā)者Chris Evans考慮的首要問題之一。如右圖所示，黑客截獲了FTP服務(wù)器的賬戶和密碼，利用user1賬戶登錄到FTP服務(wù)器，對FTP服務(wù)器根目錄中的文件進(jìn)行操作。從而造成威脅。禁止根Shell禁止根shell和用戶本地登錄： 1. 修改配置文件/etc/passwd，禁止user1登錄2.再用user1登錄，會提示登錄錯誤。禁止終端登錄Telnet和SSH: Telnet和SSH服務(wù)允許授權(quán)用戶進(jìn)入網(wǎng)絡(luò)中的其它 UNIX 機器并且

6、就像用戶在現(xiàn)場操作一樣。一旦進(jìn)入主機，用戶可以操作主機允許的任何事情。遠(yuǎn)程登錄服務(wù)原理圖 禁止終端登錄黑客經(jīng)常利用Telnet命令來探測某個端口是否開放。 telnet某目標(biāo)主機80端口狀態(tài)禁止終端登錄禁止遠(yuǎn)程終端登錄：修改/etc/securetty文件，將該文件清空，即可禁止黑客利用telnet命令通過遠(yuǎn)程終端登錄。再次登錄時，會顯示登錄失敗 禁止終端登錄禁止SSH：修改/etc/ssh/sshd.config文件，將PermitRootLogin 修改為no，禁止進(jìn)行根登錄。Linux文件系統(tǒng)安全第四部分文件系統(tǒng)安全NFS: NFS 網(wǎng)絡(luò)文件系統(tǒng)，是一種用于Linux系統(tǒng)之間進(jìn)行資源共享

7、的網(wǎng)絡(luò)訪問協(xié)議。Samba：Samba服務(wù)主要用于Linux和Windows系統(tǒng)之間進(jìn)行資源共享的網(wǎng)絡(luò)訪問協(xié)議。黑客有可能利用NFS和Samba服務(wù)漏洞來實現(xiàn)對Linux系統(tǒng)的遠(yuǎn)程攻擊。下面我們以NFS服務(wù)為例講一下如何加強Linux文件系統(tǒng)安全。NFS文件系統(tǒng)安全1. 修改/etc/exports文件合理設(shè)置安全權(quán)限。最好能使用nonuid,anongid以使MOUNT到NFS SERVER的CLIENT僅僅有最小的權(quán)限,最好不要使用root_squash. /mnt/mp3 68(ro,async,anonuid，anongid)具體的可選參數(shù)如下所示：rw：可讀寫的權(quán)限。ro：只讀的權(quán)限

8、。no_root_squash：登入到NFS主機的用戶如果是ROOT用戶，他就擁有ROOT的權(quán)限r(nóng)oot_squash：在登入NFS主機使用目錄的使用者如果是root時，那么這個使用者的權(quán)限將被壓縮成為匿名使用者，通常他的UID與GID都會變成nobody那個身份。all_squash：不管登陸NFS主機的用戶是什么都會被重新設(shè)定為nobody。anonuid：將登入NFS主機的用戶都設(shè)定成指定的userid,此ID必須存在于/etc/passwd中。anongid：同anonuid，但是變成groupID就是了。sync資料同步寫入存儲器中。async：資料會先暫時存放在內(nèi)存中，不會直接寫入

9、硬盤。insecure允許從這臺機器過來的非授權(quán)訪問。NFS文件系統(tǒng)安全2. 使用IPTABLE防火墻限制能夠連接到NFS SERVER的機器范圍iptables -A INPUT -i eth0 -p TCP -s /24 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p UDP -s /24 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p TCP -s /8 -dport 2049 -j ACCEPTiptables -A INPUT -i eth0 -p UDP -s /8 -dport 2049 -j ACCEPT3. 修改/etc/hosts.allow和/etc /hosts.deny達(dá)到限制CLIENT的目的/etc/hosts.allowportmap: / : allowportmap: 25 : allow/etc/hosts.denyportmap: ALL : deny4. 改變默認(rèn)的