Linux系统安全总览
1、BIOS安全:
a、开机启动顺序(防止恶意用户通过光驱启动)
b、设置进入BIOS时密码和BIOS方式的开机密码。
2、GRUB安全:
a、设置进行单用户密码和进入系统时密码,密码采肜mdd5方式加密。可以通过/sbin/grup-md5-crypt获取指定密码的md5加密值。
cat /etc/grub.conf
default=0
timeout=5
timeout=5
password --md5 md5密文 ---在此加入表示进入下列两个系统单用户或编辑grub时需要输入密码
#splashimage=(hd0,6)/boot/grub/splash.xpm.gz
hiddenmenu
title Fedora Core (2.6.11-1.1369_FC4)
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img
#splashimage=(hd0,6)/boot/grub/splash.xpm.gz
hiddenmenu
title Fedora Core (2.6.11-1.1369_FC4)
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img
password --md5 md5密文 ---此处的密码是在进入系统时提示用户输入的,可以结合前一个密码一起使用或单独使用。
title FC4
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img
更多关于grub信息请参考:http://www.linuxsir.org/main/?q=node/129
3、系统启动检查
系统日志文件位于/var/log目录。与系统启动有关的文件有boot.log,dmesg。/boot主要显示了系统开机及服务的开启和关闭等信息,在功能在RHEL5下已经被取消,dmesg用于读取系统开机时保存的信息,开机信息保存于/proc/kmsg文件中,可以通过dmesg命令直接显示其内容或者通过文件查看命令如more kmesg读取其内容,也可以与grep命令联合使用,如dmesg| grep 'eth',表示查看文件中的所有eth的信息。
a、检查内核版本是否匹配:检查dmesg中系统信息和uname -a得出的系统信息是否一致。
b、检查内存是否一致:grep -i mem /var/log/dmesg和free命令。
c、检查CPU信息:grep -i cpu dmesg
d、检查硬件信息
e、检查网络接口
4、init(/etc/inittab)
设置开机启动级别,禁用ctrl+alt+del,指定系统初始化文件,系统启动时对应的程序状态目录(如/etc/rc.d/rc3.d,K代表该程序不随系统开机而启动,S代表程序随系统启动而启动),
/etc/inittab文件中常见动作如下:
关于/etc/inittab文件部分字段解释如下:
# 下面用 initdefault 动作设置默认的运行级。注意该项没有指定进程,
# 但是最后的分号不要漏掉
# 0 - 关机 (不要将此运行级设为默认)
# 1 - 单用户模式
# 2 - 多用户,不支持 NFS。若无网络则与 3 相同
# 3 - 完整的多用户模式
# 4 - 未使用
# 5 - X11图形界面
# 6 - 重新启动 (不要将此运行级设为默认)
#
id:5:initdefault:
# 系统初始化,包括主机名设置、激活交换分区、检查根分区、
# 以读写方式加载根分区、加载 /etc/fstab 中的分区、
# 激活磁盘配额、加载内核模块等功能
si::sysinit:/etc/rc.d/rc.sysinit
# 执行 rc 脚本,启动各种系统服务
l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6
# 接管 CTRL-ALT-DELETE,按下时重新启动系统
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
# 当 UPS 发来断电通知时,准备在 2 分钟之后关闭系统
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down"
# 如果在关闭系统之前 UPS 恢复供电,则取消关闭系统
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled"
# 在标准运行级时启动虚拟终端。这里准备了六个虚拟终端,
# 要想改变虚拟终端的数目,只需要增删这里的配置项即可
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
# 运行级 5 的时候启动 X 的登录管理器
x:5:respawn:/etc/X11/prefdm -nodaemon
# 但是最后的分号不要漏掉
# 0 - 关机 (不要将此运行级设为默认)
# 1 - 单用户模式
# 2 - 多用户,不支持 NFS。若无网络则与 3 相同
# 3 - 完整的多用户模式
# 4 - 未使用
# 5 - X11图形界面
# 6 - 重新启动 (不要将此运行级设为默认)
#
id:5:initdefault:
# 系统初始化,包括主机名设置、激活交换分区、检查根分区、
# 以读写方式加载根分区、加载 /etc/fstab 中的分区、
# 激活磁盘配额、加载内核模块等功能
si::sysinit:/etc/rc.d/rc.sysinit
# 执行 rc 脚本,启动各种系统服务
l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6
# 接管 CTRL-ALT-DELETE,按下时重新启动系统
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
# 当 UPS 发来断电通知时,准备在 2 分钟之后关闭系统
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down"
# 如果在关闭系统之前 UPS 恢复供电,则取消关闭系统
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled"
# 在标准运行级时启动虚拟终端。这里准备了六个虚拟终端,
# 要想改变虚拟终端的数目,只需要增删这里的配置项即可
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
# 运行级 5 的时候启动 X 的登录管理器
x:5:respawn:/etc/X11/prefdm -nodaemon
安全性设置:
a、使用3代替5(可以减少图形化界面下的软件的TCP连接,减少资源占用)
b、禁用ctrl+alt+del。
c、减少TTYs数量。
5、TTY安全
a、/etc/securetty文件保存了用户可以登录的终端。
b、查看系统更新的软件包。
rpm -qa > 'data +�F'.installed.packages.list 获取当前已经安装的 软件包文件
rpm -qa > 2009-3-14.installed.packages.list 获取今天的软件包文件
diff 以前的文件 今天的文件----得出变化的软件包情况。
diff 以前的文件 今天的文件----得出变化的软件包情况。
c、平时以非特权用户登录,必要时可以通过su命令切换至管理员登录。
6、欢迎信息安全
a、/etc/issue:里面的内容会在用户登录前被显示在终端上,默认将显示内核的版本信息,建议将内容进行修改(可以修改为只允许认证用户登录,非法用户登录将究法律责任的内容)。
b、/etc/issue.net:文件内容在用户通过网络方式登录时被显示。
c、/etc/motd:是message of today(今天的信息)的缩写,里面的信息会在用户登录后显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
d、可以在服务器上调用issue的欢迎信息,如:
echo "Banner /etc/issue">/etc/ssh/sshd_config
last命令位于SysVinit软件包中。
last命令用于返回最近登录系统的用户。
wtmp
8、lsof命令的使用
a、/etc/services:记录服务所对应的端口文件。
b、/etc/protocols:记录协议对应的协议号文件。
c、lsof命令的使用:详细用法请参考: http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html
9、
15、nessus的使用
下载nessus-installer-2.2.5.sh
chmod +x nessus-installer-2.2.5.sh 或者chmod 700 nessus-installer.2.2.5.sh
./nessus-installer-.22.5.sh
需要先安装sharutils-....rpm软件包。可以先将光盘中的此软件包安装完成后,再安装nessus软件包。
需要用户系统安装gtk+-2.0软件包。
证书文件创建:/usr/local/sbin/nessus-mkcert
添加用户:/usr/local/sbin/nessus-adduser
启动程序:/usr/local/sbin/nessusd -D(端口号为1241)
启动客户端:/usr/local/nessus
卸载服务:2000
16、
17、