linux網(wǎng)絡(luò)操作系統(tǒng)的安全策略(一）

freyson

linux是一個(gè)優(yōu)秀的、日益成熟的操作系統(tǒng)，它支持多用戶、多進(jìn)程及多線程，實(shí)時(shí)性好，功能強(qiáng)大而穩(wěn)定。同時(shí)它又具有良好的兼容性和可移植性，本文從linux系統(tǒng)中的賬戶、密碼策略、文件權(quán)限、日志管理等方面來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全過(guò)程。
1、Linux系統(tǒng)的用戶帳號(hào)策略
   linux操作系統(tǒng)中提供了嚴(yán)格的權(quán)限管理機(jī)制，系統(tǒng)管理員在工作中重要的一個(gè)環(huán)節(jié)就是帳號(hào)管理，在管理linux主機(jī)帳號(hào)時(shí)，一方面確保每一個(gè)UID僅僅使用一次。另外就是設(shè)置有限的登陸次數(shù)，來(lái)預(yù)防無(wú)休止的登陸攻擊，通過(guò)編輯/etc/pam.d/system-auth文件，在文件中增加下面兩段，例如可以設(shè)置賬戶最多連續(xù)登陸6次，超過(guò)6次賬戶將被鎖定，只有管理員磁能幫助解鎖。
   auth required pam_tally.so deny=5
   account required pam_tally.so
2、密碼策略
1）口令實(shí)效和口令長(zhǎng)度的設(shè)置
    早期的linux系統(tǒng)中，/etc/passwd文件包含有系統(tǒng)每個(gè)用戶的信息，當(dāng)用戶的口令經(jīng)過(guò)一定的數(shù)字與邏輯算法后把一個(gè)運(yùn)算結(jié)果（可見(jiàn)字符串）放到了passwd文件中，加密強(qiáng)度并不大。早期的黑客們只要拿到/etc/passwd這個(gè)文件，系統(tǒng)就已經(jīng)被攻入一半了。
     后來(lái)，隨著安全級(jí)別的提高，出現(xiàn)passwd文件中口令單獨(dú)加密的情況，密碼加密后結(jié)果和其他一些輔助信息存到了/etc/shadow文件，至于采用何種保存形式和機(jī)密算法，可以用/usr/sbin/authconfig程序來(lái)設(shè)置。用戶登陸時(shí)輸入的口令經(jīng)過(guò)計(jì)算后與/etc/passwd和/etc/shadow中的結(jié)果相比較，符合則允許登陸，否則拒絕登陸，
      口令實(shí)效和口令長(zhǎng)度時(shí)一種系統(tǒng)機(jī)制，用于強(qiáng)制口令在特定的時(shí)間長(zhǎng)度后失效。對(duì)用戶來(lái)說(shuō)，可能有些麻煩，但是可以確�？诹顣�(huì)定期進(jìn)行更改，在win下安全方面是要修改的，也非常簡(jiǎn)單，在linux容易被忽略，而且大多數(shù)情況小linux版本并沒(méi)有打開(kāi)口令時(shí)效。這個(gè)就需要編輯/etc/login.defs文件，可以指定下面幾個(gè)參數(shù)：
     PASS_MAX_DAYS   99999
     PASS_MIN_DAYS   0
     PASS_MIN_LEN    5
     PASS_WARN_AGE   7
   PASS_MAX_DAYS（設(shè)置密碼過(guò)期日期）當(dāng)設(shè)置口令時(shí)效的天數(shù)為99999時(shí)，實(shí)際上相當(dāng)與關(guān)閉了口令時(shí)效。更明智的設(shè)定一半為60天，每60天強(qiáng)制更改一次密碼。
   PASS_MIN_DAYS(設(shè)置密碼最少更改日期）參數(shù)則設(shè)定了在本次密碼修改后，下次允許更改密碼之前所需要的最少天數(shù)。
    PASS_MIN_LEN(設(shè)置密碼最小長(zhǎng)度）時(shí)指密碼設(shè)置的最小長(zhǎng)度，一般定義為8位以上。
    PASS_WARN_AGE(設(shè)置過(guò)期提前警告天數(shù)）參數(shù)指明了在口令失效前多少天開(kāi)始通知用戶更改密碼（一般在用戶登陸系統(tǒng)時(shí)就會(huì)收到警告通知）
2）設(shè)置賬戶鎖定登陸失敗鎖定次數(shù)、鎖定時(shí)間
   通過(guò)編輯/etc/pam.d/system-auth設(shè)定密碼重用檢查方法：
  ＃cat /etc/pam.d/system-auth查看有無(wú)auth required pam_tally.so條目設(shè)置
  如果有我們可以現(xiàn)備份這個(gè)文件，cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
  然后編輯：
  ＃vi ／etc/pam.d/system-auth
   auth required pam_tally.so onerr=fail deny=6 unlock_time=300
設(shè)置位密碼連續(xù)六次鎖定，鎖定時(shí)間300秒；
  解鎖用戶 faillog -u   需要PAM包的支持，對(duì)pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登陸；當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages和/var/log/secure中的輸入信息。
3、linux基本文件權(quán)限策略
   linux系統(tǒng)中每個(gè)文件和目錄都有訪問(wèn)許可權(quán)限，通過(guò)過(guò)設(shè)置文件權(quán)可以對(duì)文件和目錄進(jìn)行訪問(wèn)和操作。文件或目錄的訪問(wèn)權(quán)限可分位可讀（r）、可寫（w）、可執(zhí)行（x）三種權(quán)限。可讀權(quán)限對(duì)文件而言，具有讀取文件內(nèi)容的權(quán)限，對(duì)目錄來(lái)說(shuō)，具有瀏覽目錄的權(quán)限。可寫權(quán)限對(duì)文件而言，具有新增、修改文件內(nèi)容的權(quán)限，對(duì)目錄來(lái)說(shuō)具有刪除、移動(dòng)目錄內(nèi)文件的權(quán)限。可執(zhí)行對(duì)文件而言，具有執(zhí)行文件的權(quán)限，對(duì)目錄來(lái)說(shuō)該用具有進(jìn)入目錄的權(quán)限，文件被創(chuàng)建時(shí)，文件所有者自動(dòng)擁有對(duì)該文件的讀、寫和可執(zhí)行權(quán)限。用戶也可根據(jù)需要把訪問(wèn)權(quán)限設(shè)置位需業(yè)娜魏巫楹稀Ｓ腥?植煌?嘈偷撓沒(méi)Э啥暈?zāi)?蚰柯冀?蟹夢(mèng)�；文�??姓擼?募??糇橛沒(méi)В?淥?沒(méi)АＮ募??姓咭話閌蔽募?拇唇ㄕ擼??姓嚦梢栽市磽?橛沒(méi)в腥ǚ夢(mèng)飾募??箍梢越?募?姆夢(mèng)嗜ㄏ薷秤柘低持械鈉淥?沒(méi)В??鏻s -l命令顯示文件或目錄的詳細(xì)信息時(shí)：
ls -l messages
-rw-r--r--  1 root root    493 Feb 23 09:40 messages
最左邊的一列為文件的訪問(wèn)權(quán)限，文件所有者具備可讀（r）、可寫（w）權(quán)限，文件所屬組用戶和其他用戶分別具備可讀（r）的權(quán)限。
4、linux系統(tǒng)日志策略
  日志對(duì)系統(tǒng)安全來(lái)說(shuō)非常重要，它紀(jì)錄了系統(tǒng)每天發(fā)生的各種各樣的事情，可以通過(guò)系統(tǒng)日志來(lái)檢查錯(cuò)誤發(fā)生的原因，或者受到攻擊時(shí)供給者留下的痕跡。因此，保護(hù)系統(tǒng)日志的安全，不被內(nèi)部用戶和外部入侵者修改或刪除顯得尤為重要。
   linux系統(tǒng)一般有3個(gè)主要得日志子系統(tǒng)：連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)日志和錯(cuò)誤日志連接時(shí)間日志－－有多個(gè)程序執(zhí)行，把紀(jì)錄分別寫到/var/log/wtmp和/var/log/utmp等文件中，使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登陸到系統(tǒng)。
   進(jìn)程統(tǒng)計(jì)日志－－有系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程在進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的時(shí)為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。
   錯(cuò)誤日志－－由syslogd（8）執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。這里給出一寫常用服務(wù)的日志：
              access-log    紀(jì)錄HTTP/Web的傳輸
              acct/pacct    紀(jì)錄用戶命令
              aculog        紀(jì)錄MODEM的活動(dòng)
              btmp          紀(jì)錄失敗的紀(jì)錄
              lastlog       紀(jì)錄最近幾次成功登陸的事件和最后一次不成功的登陸
              messages      從syslog中紀(jì)錄信息（有的鍵接到syslog文件）
              sudolog       紀(jì)錄使用sudo發(fā)出的命令
              sulog         紀(jì)錄使用su命令的使用
              syslog        從syslog中紀(jì)錄信息（通常鏈到messages文件）
              utmp          紀(jì)錄當(dāng)前登陸的每個(gè)用戶
              wtmp          一個(gè)用戶每次登陸進(jìn)入和退出事件的永久紀(jì)錄
              xferlog       紀(jì)錄FTP會(huì)話
  如果服務(wù)器支持很多用戶，這些日志文件的大小也會(huì)隨著而漲，必須定期做好日志備份和清除的工作是非常重要的。
               
               
               
               

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u1/49765/showart_2185079.html