|
3�、嚴(yán)格審計(jì):系統(tǒng)登錄用戶管理
在進(jìn)入Linux系統(tǒng)之前���,所有用戶都需要登錄���,也就是說,用戶需要輸入用戶賬號(hào)和密碼�����,只有它們通過系統(tǒng)驗(yàn)證之后�,用戶才能進(jìn)入系統(tǒng)。
與其他Unix操作系統(tǒng)一樣�,Linux一般將密碼加密之后,存放在/etc/passwd文件中��。Linux系統(tǒng)上的所有用戶都可以讀到/etc /passwd文件���,雖然文件中保存的密碼已經(jīng)經(jīng)過加密�,但仍然不太安全。因?yàn)橐话愕挠脩艨梢岳矛F(xiàn)成的密碼破譯工具���,以窮舉法猜測出密碼���。比較安全的方法是設(shè)定影子文件/etc/shadow�����,只允許有特殊權(quán)限的用戶閱讀該文件����。
在Linux系統(tǒng)中,如果要采用影子文件����,必須將所有的公用程序重新編譯,才能支持影子文件����。這種方法比較麻煩,比較簡便的方法是采用插入式驗(yàn)證模塊(PAM)���。很多Linux系統(tǒng)都帶有Linux的工具程序PAM�����,它是一種身份驗(yàn)證機(jī)制��,可以用來動(dòng)態(tài)地改變身份驗(yàn)證的方法和要求����,而不要求重新編譯其他公用程序。這是因?yàn)镻AM采用封閉包的方式�����,將所有與身份驗(yàn)證有關(guān)的邏輯全部隱藏在模塊內(nèi)�����,因此它是采用影子檔案的最佳幫手���。
此外�����,PAM還有很多安全功能:它可以將傳統(tǒng)的DES加密方法改寫為其他功能更強(qiáng)的加密方法�,以確保用戶密碼不會(huì)輕易地遭人破譯���;它可以設(shè)定每個(gè)用戶使用電腦資源的上限����;它甚至可以設(shè)定用戶的上機(jī)時(shí)間和地點(diǎn)。
Linux系統(tǒng)管理人員只需花費(fèi)幾小時(shí)去安裝和設(shè)定PAM�����,就能大大提高Linux系統(tǒng)的安全性���,把很多攻擊阻擋在系統(tǒng)之外。
4����、設(shè)定:用戶賬號(hào)安全等級(jí)管理
除密碼之外,用戶賬號(hào)也有安全等級(jí)��,這是因?yàn)樵贚inux上每個(gè)賬號(hào)可以被賦予不同的權(quán)限���,因此在建立一個(gè)新用戶ID時(shí)���,系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號(hào)不同的權(quán)限,并且歸并到不同的用戶組中�����。
在Linux系統(tǒng)中的部分文件中,可以設(shè)定允許上機(jī)和不允許上機(jī)人員的名單�����。其中�����,允許上機(jī)人員名單在/etc/hosts.allow中設(shè)置���,不允許上機(jī)人員名單在/etc/hosts.deny中設(shè)置�����。此外���,Linux將自動(dòng)把允許進(jìn)入或不允許進(jìn)入的結(jié)果記錄到/var/log/secure文件中,系統(tǒng)管理員可以據(jù)此查出可疑的進(jìn)入記錄��。
每個(gè)賬號(hào)ID應(yīng)該有專人負(fù)責(zé)��。在企業(yè)中,如果負(fù)責(zé)某個(gè)ID的職員離職�����,管理員應(yīng)立即從系統(tǒng)中刪除該賬號(hào)�����。很多入侵事件都是借用了那些很久不用的賬號(hào)����。
在用戶賬號(hào)之中,黑客最喜歡具有root權(quán)限的賬號(hào)���,這種超級(jí)用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置,可以在系統(tǒng)中暢行無阻����。因此,在給任何賬號(hào)賦予root權(quán)限之前��,都必須仔細(xì)考慮����。
Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號(hào)登錄的終端機(jī)名稱。例如,在RedHatLinux系統(tǒng)中��,該文件的初始值僅允許本地虛擬控制臺(tái)(rtys)以root權(quán)限登錄��,而不允許遠(yuǎn)程用戶以root權(quán)限登錄�。最好不要修改該文件,如果一定要從遠(yuǎn)程登錄為 root權(quán)限�,最好是先以普通賬號(hào)登錄,然后利用su命令升級(jí)為超級(jí)用戶�����。
5�、謹(jǐn)慎使用:“r系列”遠(yuǎn)程程序管理
在Linux系統(tǒng)中有一系列r字頭的公用程序,比如rlogin����,rcp等等。它們非常容易被黑客用來入侵我們的系統(tǒng)�,因而非常危險(xiǎn),因此絕對(duì)不要將root賬號(hào)開放給這些公用程序�����。由于這些公用程序都是用.rhosts文件或者h(yuǎn)osts.equiv文件核準(zhǔn)進(jìn)入的��,因此一定要確保root賬號(hào)不包括在這些文件之內(nèi)。
由于r等遠(yuǎn)程指令是黑客們用來攻擊系統(tǒng)的較好途徑���,因此很多安全工具都是針對(duì)這一安全漏洞而設(shè)計(jì)的��。例如�,PAM工具就可以用來將r字頭公用程序有效地禁止掉����,它在/etc/pam.d/rlogin文件中加上登錄必須先核準(zhǔn)的指令,使整個(gè)系統(tǒng)的用戶都不能使用自己home目錄下的.rhosts文件���。
6�����、限制:root用戶權(quán)限管理
Root一直是Linux保護(hù)的重點(diǎn)��,由于它權(quán)力無限,因此最好不要輕易將超級(jí)用戶授權(quán)出去�。但是,有些程序的安裝和維護(hù)工作必須要求有超級(jí)用戶的權(quán)限���,在這種情況下���,可以利用其他工具讓這類用戶有部分超級(jí)用戶的權(quán)限��。sudo就是這樣的工具�。
sudo程序允許一般用戶經(jīng)過組態(tài)設(shè)定后�����,以用戶自己的密碼再登錄一次�,取得超級(jí)用戶的權(quán)限,但只能執(zhí)行有限的幾個(gè)指令�。例如,應(yīng)用sudo后���,可以讓管理磁帶備份的管理人員每天按時(shí)登錄到系統(tǒng)中����,取得超級(jí)用戶權(quán)限去執(zhí)行文檔備份工作��,但卻沒有特權(quán)去作其他只有超級(jí)用戶才能作的工作���。
sudo不但限制了用戶的權(quán)限����,而且還將每次使用sudo所執(zhí)行的指令記錄下來,不管該指令的執(zhí)行是成功還是失敗�。在大型企業(yè)中,有時(shí)候有許多人同時(shí)管理Linux系統(tǒng)的各個(gè)不同部分�����,每個(gè)管理人員都有用sudo授權(quán)給某些用戶超級(jí)用戶權(quán)限的能力����,從sudo的日志中,可以追蹤到誰做了什么以及改動(dòng)了系統(tǒng)的哪些部分���。
值得注意的是�����,sudo并不能限制所有的用戶行為�,尤其是當(dāng)某些簡單的指令沒有設(shè)置限定時(shí)��,就有可能被黑客濫用���。例如,一般用來顯示文件內(nèi)容的/etc/cat指令�����,如果有了超級(jí)用戶的權(quán)限,黑客就可以用它修改或刪除一些重要的文件���。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級(jí)提供商�!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
