《Llinux基础及应用》课程PPT教学课件：第十章 Linux系统安全

10)Lnux系统安全

10 Linux系统安全

Linux 101 Linux的主要安全问题 linux基础及应用 操作系统的安全与否,直接影响用户的工作和应 用,以及整个网络的安全。因此分析Lnux系统的安 全机制,找出可能存在的安全隐患,给出相应的安全 策略和保护措施是十分必要的。本节将从系统安全、 用户安全和网络服务安全等方面介绍基本的安全知识

10.1 Linux的主要安全问题 操作系统的安全与否，直接影响用户的工作和应 用，以及整个网络的安全。因此分析Linux系统的安 全机制，找出可能存在的安全隐患，给出相应的安全 策略和保护措施是十分必要的。本节将从系统安全、 用户安全和网络服务安全等方面介绍基本的安全知识

Linux 系统安全 linux基础及应用 (1)设置BOS密码 (2)分区安全 (3)文件权限安全 对于系统中的某些关键文件,可修改其属性,防止意外 修改和被普通用户查看

系统安全 （1）设置BIOS密码 （2）分区安全 （3）文件权限安全 对于系统中的某些关键文件,可修改其属性，防止意外 修改和被普通用户查看

Linux 用户安全 linux基础及应用 (1)帐号安全 应禁用默认被操作系统启用但不需要的帐号。 (2)口令安全 增加口令的最小长度,限制口令的使用时间。 (3)roo用户安全 (4)用户资源限制 为了防止大量恶意的请求和攻击,可以对系统中的用 户都设置资源限制,如最大进程数,内存数量等

用户安全 （1）帐号安全 应禁用默认被操作系统启用但不需要的帐号。 （2）口令安全 增加口令的最小长度，限制口令的使用时间。 （3）root用户安全 （4）用户资源限制 为了防止大量恶意的请求和攻击，可以对系统中的用 户都设置资源限制，如最大进程数，内存数量等

Linux 网络服务安全 linux基础及应用 (1)系统运行服务的安全 修改/etc/ services文件来关闭不使用的服务。 统计当前系统打开的服务: # ps -eaf|wc+统计当前系统打开服务的总数 (2)系统启动脚本安全 通过修改启动脚本来设置系统启动的服务和程序。 (3)ping命令安全 禁止主机系统对该命令做出响应

网络服务安全 （1）系统运行服务的安全 修改/etc/services文件来关闭不使用的服务。 统计当前系统打开的服务： # ps -eaf | wc –l //统计当前系统打开服务的总数 （2）系统启动脚本安全 通过修改启动脚本来设置系统启动的服务和程序。 （3）ping命令安全 禁止主机系统对该命令做出响应

Linux 10.2PAM认证机制 linux基础及应用 PAM(Pluggable Authentication Modules 插入式认证模块)是由Sun提出的一种认证机制。它 通过提供一些动态链接库和一套统一的APl,将系统 提供的服务和该服务的认证方式分开,使得系统管理 员可以根据需要给不同的服务配置以不同的认证方式 ,且无需更改服务程序,同时也便于向系统中添加新 的认证手段。PAM最初是集成在 Solaris中,目前已移 植到其它系统中,如 Linux、 SunOS和HPUX9.0等

10.2 PAM认证机制 PAM（Pluggable Authentication Modules， 插入式认证模块）是由Sun提出的一种认证机制。它 通过提供一些动态链接库和一套统一的API，将系统 提供的服务和该服务的认证方式分开，使得系统管理 员可以根据需要给不同的服务配置以不同的认证方式 ，且无需更改服务程序，同时也便于向系统中添加新 的认证手段。PAM最初是集成在Solaris中，目前已移 植到其它系统中，如Linux、SunOS和HP-UX 9.0等

Linux PAM的分层体系结构 linux基础及应用 PAM为了实现插件功能和易用性,采取了分层设 计思想,让各认证模块从应用程序中独立出来,然后 通过 PAM API作为两者之间的接口。 「应用1应用2 用3 用程序层 PAM API+配置文們应用接层 认证管目帐号管目会话管口令管 理模块理模块理模块目理模块‖[认证模块层

PAM的分层体系结构 PAM为了实现插件功能和易用性，采取了分层设 计思想，让各认证模块从应用程序中独立出来，然后 通过PAM API作为两者之间的接口

Linux PAM的分层体系结构 linux基础及应用 认证模块层 它向上层接 口层提供用户认证等服务,所有具体的认证工作都是 由该层的模块来完成的。 应用接口层 应用接口层位于PAM结构的中间部分,它对上层应用 程序屏蔽了用户认证等过程的具体细节,对下调用模块层中 的具体模块所提供的特定服务。它主要由 PAMAP和配置文 件两部分组成

PAM的分层体系结构 认证模块层处于整个结构的最底层，它向上层接 口层提供用户认证等服务，所有具体的认证工作都是 由该层的模块来完成的。 1 认证模块层 2 应用接口层 应用接口层位于PAM结构的中间部分，它对上层应用 程序屏蔽了用户认证等过程的具体细节，对下调用模块层中 的具体模块所提供的特定服务。它主要由PAM API和配置文 件两部分组成

Linux 1022PAM配置实例 linux基础及应用 (1)控制可以登录系统的用户;只有root可以从本地 登录,bxs以及stu用户可以从1921681000网段 telnet登录,其他用户均不可以登录系统。 修改/ etc/pam. d/login文件,在原来的基础上加入 了以下这一条规则: account required pam access.so accessfile=/etc/login. conf

10.2.2 PAM配置实例 （1）控制可以登录系统的用户；只有root可以从本地 登录，bxs以及stu用户可以从192.168.100.0网段 telnet登录，其他用户均不可以登录系统。 修改/etc/pam.d/login文件,在原来的基础上加入 了以下这一条规则： account required pam_access.so accessfile=/etc/login.conf

Linux PAM配置实例(续1 linux基础及应用 etc/ ogin. conf文件内容如下: +root LOCAL ∥root用户可以从本地登录 : bxs stu:192.168.100. ∥bXs和stu可以从192168100.024网段 telnet登录 -ALLALL ∥拒绝其他任何人登录

PAM配置实例（续1） /etc/login.conf文件内容如下： +:root:LOCAL //root用户可以从本地登录 +:bxs stu:192.168.100. //bxs和stu可以从192.168.100.0/24网段telnet登录 -:ALL:ALL //拒绝其他任何人登录