Linux系统安全总览

1、BIOS安全:
 
a、开机启动顺序(防止恶意用户通过光驱启动)
b、设置进入BIOS时密码和BIOS方式的开机密码。
 
2、GRUB安全:
 
a、设置进行单用户密码和进入系统时密码,密码采肜mdd5方式加密。可以通过/sbin/grup-md5-crypt获取指定密码的md5加密值。
cat /etc/grub.conf
 
default=0
timeout=5
password  --md5   md5密文  ---在此加入表示进入下列两个系统单用户或编辑grub时需要输入密码
#splashimage=(hd0,6)/boot/grub/splash.xpm.gz
hiddenmenu
title Fedora Core (2.6.11-1.1369_FC4)
        root (hd0,6)
        kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
        initrd /boot/initrd-2.6.11-1.1369_FC4.img
        password  --md5   md5密文 ---此处的密码是在进入系统时提示用户输入的,可以结合前一个密码一起使用或单独使用。       
title FC4
        root (hd0,6)
        kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
        initrd /boot/initrd-2.6.11-1.1369_FC4.img
 
更多关于grub信息请参考:http://www.linuxsir.org/main/?q=node/129
 
3、系统启动检查
 
系统日志文件位于/var/log目录。与系统启动有关的文件有boot.log,dmesg。/boot主要显示了系统开机及服务的开启和关闭等信息,在功能在RHEL5下已经被取消,dmesg用于读取系统开机时保存的信息,开机信息保存于/proc/kmsg文件中,可以通过dmesg命令直接显示其内容或者通过文件查看命令如more kmesg读取其内容,也可以与grep命令联合使用,如dmesg| grep 'eth',表示查看文件中的所有eth的信息。
 
a、检查内核版本是否匹配:检查dmesg中系统信息和uname -a得出的系统信息是否一致。
b、检查内存是否一致:grep -i mem /var/log/dmesg和free命令。
 
c、检查CPU信息:grep -i cpu dmesg
 
d、检查硬件信息
 
e、检查网络接口
 
4、init(/etc/inittab)
 
设置开机启动级别,禁用ctrl+alt+del,指定系统初始化文件,系统启动时对应的程序状态目录(如/etc/rc.d/rc3.d,K代表该程序不随系统开机而启动,S代表程序随系统启动而启动),
/etc/inittab文件中常见动作如下:
  • initdefault: 该配置项指定系统的默认运行级。
  • respawn: 该配置项所指定的进程如果被结束,则重新启动该进程。
  • wait: 该配置项指定的进程在运行结束之前不要执行下一条配置项。
  • once: 切换到对应的运行级之后,仅执行指定的进程一次。
  • sysinit: 无论以什么运行级启动,系统启动时都要执行该配置项指定的进程。
  • boot: 仅在系统启动时执行一次。
  • bootwait: 仅在系统启动时执行一次,在执行结束之前不执行下一条配置项
  • powerfail: 当接收到UPS的断电通知时执行该项指定的进程。
  • powerwait: 与powerfail相同,但init会等待进程执行结束。
  • powerokwait: 接收到UPS的供电通知时执行。
  • ctrlaltdel: 当用户同时按下 Ctrl+Alt+Del 时执行该项指定的进程。
  •  
    关于/etc/inittab文件部分字段解释如下:
    # 下面用 initdefault 动作设置默认的运行级。注意该项没有指定进程,
    # 但是最后的分号不要漏掉
    #   0 - 关机 (不要将此运行级设为默认)
    #   1 - 单用户模式
    #   2 - 多用户,不支持 NFS。若无网络则与 3 相同
    #   3 - 完整的多用户模式
    #   4 - 未使用
    #   5 - X11图形界面
    #   6 - 重新启动 (不要将此运行级设为默认)
    #
    id:5:initdefault:

    # 系统初始化,包括主机名设置、激活交换分区、检查根分区、
    # 以读写方式加载根分区、加载 /etc/fstab 中的分区、
    # 激活磁盘配额、加载内核模块等功能
    si::sysinit:/etc/rc.d/rc.sysinit

    # 执行 rc 脚本,启动各种系统服务
    l0:0:wait:/etc/rc.d/rc 0
    l1:1:wait:/etc/rc.d/rc 1
    l2:2:wait:/etc/rc.d/rc 2
    l3:3:wait:/etc/rc.d/rc 3
    l4:4:wait:/etc/rc.d/rc 4
    l5:5:wait:/etc/rc.d/rc 5
    l6:6:wait:/etc/rc.d/rc 6

    # 接管 CTRL-ALT-DELETE,按下时重新启动系统
    ca::ctrlaltdel:/sbin/shutdown -t3 -r now

    # 当 UPS 发来断电通知时,准备在 2 分钟之后关闭系统
    pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down"

    # 如果在关闭系统之前 UPS 恢复供电,则取消关闭系统
    pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled"


    # 在标准运行级时启动虚拟终端。这里准备了六个虚拟终端,
    # 要想改变虚拟终端的数目,只需要增删这里的配置项即可
    1:2345:respawn:/sbin/mingetty tty1
    2:2345:respawn:/sbin/mingetty tty2
    3:2345:respawn:/sbin/mingetty tty3
    4:2345:respawn:/sbin/mingetty tty4
    5:2345:respawn:/sbin/mingetty tty5
    6:2345:respawn:/sbin/mingetty tty6

    # 运行级 5 的时候启动 X 的登录管理器
    x:5:respawn:/etc/X11/prefdm -nodaemon
     
    安全性设置:
    a、使用3代替5(可以减少图形化界面下的软件的TCP连接,减少资源占用)
    b、禁用ctrl+alt+del。
    c、减少TTYs数量。
     
     
    5、TTY安全
     
    a、/etc/securetty文件保存了用户可以登录的终端。
    b、查看系统更新的软件包。
       rpm -qa > 'data +�F'.installed.packages.list 获取当前已经安装的 软件包文件
       rpm -qa > 2009-3-14.installed.packages.list   获取今天的软件包文件
       diff  以前的文件  今天的文件----得出变化的软件包情况。
    c、平时以非特权用户登录,必要时可以通过su命令切换至管理员登录。
     
     
    6、欢迎信息安全
     
    a、/etc/issue:里面的内容会在用户登录前被显示在终端上,默认将显示内核的版本信息,建议将内容进行修改(可以修改为只允许认证用户登录,非法用户登录将究法律责任的内容)。
    b、/etc/issue.net:文件内容在用户通过网络方式登录时被显示。
    c、/etc/motd:是message of today(今天的信息)的缩写,里面的信息会在用户登录后显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
    d、可以在服务器上调用issue的欢迎信息,如:
    echo  "Banner  /etc/issue">/etc/ssh/sshd_config
     
     
     
    last命令位于SysVinit软件包中。
    last命令用于返回最近登录系统的用户。
    wtmp
     
    8、lsof命令的使用
     
    a、/etc/services:记录服务所对应的端口文件。
    b、/etc/protocols:记录协议对应的协议号文件。
    c、lsof命令的使用:详细用法请参考: http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html
     
    9、
     
     
    15、nessus的使用
    下载nessus-installer-2.2.5.sh
    chmod +x  nessus-installer-2.2.5.sh 或者chmod 700 nessus-installer.2.2.5.sh
    ./nessus-installer-.22.5.sh
    需要先安装sharutils-....rpm软件包。可以先将光盘中的此软件包安装完成后,再安装nessus软件包。
    需要用户系统安装gtk+-2.0软件包。
    证书文件创建:/usr/local/sbin/nessus-mkcert
    添加用户:/usr/local/sbin/nessus-adduser
    启动程序:/usr/local/sbin/nessusd -D(端口号为1241)
    启动客户端:/usr/local/nessus
    卸载服务:2000
     
     
     
     
     
     
     
     
     
    16、
    17、

    你可能感兴趣的:(linux,职场,休闲,linux系统安全)