|
3��、嚴格審計:系統(tǒng)登錄用戶管理
在進入Linux系統(tǒng)之前���,所有用戶都需要登錄����,也就是說,用戶需要輸入用戶賬號和密碼��,只有它們通過系統(tǒng)驗證之后���,用戶才能進入系統(tǒng)�。
與其他Unix操作系統(tǒng)一樣����,Linux一般將密碼加密之后,存放在/etc/passwd文件中���。Linux系統(tǒng)上的所有用戶都可以讀到/etc /passwd文件���,雖然文件中保存的密碼已經(jīng)經(jīng)過加密,但仍然不太安全�。因為一般的用戶可以利用現(xiàn)成的密碼破譯工具,以窮舉法猜測出密碼���。比較安全的方法是設定影子文件/etc/shadow�,只允許有特殊權限的用戶閱讀該文件����。
在Linux系統(tǒng)中�,如果要采用影子文件�����,必須將所有的公用程序重新編譯�,才能支持影子文件。這種方法比較麻煩��,比較簡便的方法是采用插入式驗證模塊(PAM)����。很多Linux系統(tǒng)都帶有Linux的工具程序PAM,它是一種身份驗證機制���,可以用來動態(tài)地改變身份驗證的方法和要求,而不要求重新編譯其他公用程序�。這是因為PAM采用封閉包的方式,將所有與身份驗證有關的邏輯全部隱藏在模塊內(nèi)����,因此它是采用影子檔案的最佳幫手。
此外�����,PAM還有很多安全功能:它可以將傳統(tǒng)的DES加密方法改寫為其他功能更強的加密方法,以確保用戶密碼不會輕易地遭人破譯���;它可以設定每個用戶使用電腦資源的上限����;它甚至可以設定用戶的上機時間和地點��。
Linux系統(tǒng)管理人員只需花費幾小時去安裝和設定PAM�,就能大大提高Linux系統(tǒng)的安全性,把很多攻擊阻擋在系統(tǒng)之外�。
4、設定:用戶賬號安全等級管理
除密碼之外�,用戶賬號也有安全等級,這是因為在Linux上每個賬號可以被賦予不同的權限���,因此在建立一個新用戶ID時�����,系統(tǒng)管理員應該根據(jù)需要賦予該賬號不同的權限�����,并且歸并到不同的用戶組中�����。
在Linux系統(tǒng)中的部分文件中����,可以設定允許上機和不允許上機人員的名單。其中��,允許上機人員名單在/etc/hosts.allow中設置�����,不允許上機人員名單在/etc/hosts.deny中設置����。此外,Linux將自動把允許進入或不允許進入的結果記錄到/var/log/secure文件中��,系統(tǒng)管理員可以據(jù)此查出可疑的進入記錄���。
每個賬號ID應該有專人負責。在企業(yè)中�,如果負責某個ID的職員離職,管理員應立即從系統(tǒng)中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號�����。
在用戶賬號之中�����,黑客最喜歡具有root權限的賬號��,這種超級用戶有權修改或刪除各種系統(tǒng)設置�����,可以在系統(tǒng)中暢行無阻����。因此,在給任何賬號賦予root權限之前���,都必須仔細考慮��。
Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱�。例如����,在RedHatLinux系統(tǒng)中�����,該文件的初始值僅允許本地虛擬控制臺(rtys)以root權限登錄�,而不允許遠程用戶以root權限登錄�。最好不要修改該文件,如果一定要從遠程登錄為 root權限���,最好是先以普通賬號登錄��,然后利用su命令升級為超級用戶���。
5、謹慎使用:“r系列”遠程程序管理
在Linux系統(tǒng)中有一系列r字頭的公用程序����,比如rlogin,rcp等等�。它們非常容易被黑客用來入侵我們的系統(tǒng),因而非常危險����,因此絕對不要將root賬號開放給這些公用程序。由于這些公用程序都是用.rhosts文件或者hosts.equiv文件核準進入的���,因此一定要確保root賬號不包括在這些文件之內(nèi)����。
由于r等遠程指令是黑客們用來攻擊系統(tǒng)的較好途徑�,因此很多安全工具都是針對這一安全漏洞而設計的。例如���,PAM工具就可以用來將r字頭公用程序有效地禁止掉�,它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令�,使整個系統(tǒng)的用戶都不能使用自己home目錄下的.rhosts文件。
6���、限制:root用戶權限管理
Root一直是Linux保護的重點���,由于它權力無限,因此最好不要輕易將超級用戶授權出去�����。但是�����,有些程序的安裝和維護工作必須要求有超級用戶的權限,在這種情況下�,可以利用其他工具讓這類用戶有部分超級用戶的權限。sudo就是這樣的工具��。
sudo程序允許一般用戶經(jīng)過組態(tài)設定后��,以用戶自己的密碼再登錄一次���,取得超級用戶的權限����,但只能執(zhí)行有限的幾個指令��。例如�����,應用sudo后���,可以讓管理磁帶備份的管理人員每天按時登錄到系統(tǒng)中��,取得超級用戶權限去執(zhí)行文檔備份工作�����,但卻沒有特權去作其他只有超級用戶才能作的工作�����。
sudo不但限制了用戶的權限�����,而且還將每次使用sudo所執(zhí)行的指令記錄下來�����,不管該指令的執(zhí)行是成功還是失敗�。在大型企業(yè)中�����,有時候有許多人同時管理Linux系統(tǒng)的各個不同部分��,每個管理人員都有用sudo授權給某些用戶超級用戶權限的能力����,從sudo的日志中����,可以追蹤到誰做了什么以及改動了系統(tǒng)的哪些部分����。
值得注意的是,sudo并不能限制所有的用戶行為���,尤其是當某些簡單的指令沒有設置限定時���,就有可能被黑客濫用。例如�,一般用來顯示文件內(nèi)容的/etc/cat指令,如果有了超級用戶的權限����,黑客就可以用它修改或刪除一些重要的文件。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
