1 Linux服务器构建与运维管理 第7章:系统安全 阮跷龙 13938213680/ nd@hactcmeducn http://linux.xg.hactcm.edu.cn http://www.51xueweb.cn 问南中医药大学信息管理与信息系统教研室 信息技术字院网络与信息系统科研工作室 2019.1
2 提纲 口系统安全 D SELinuX ■ SELinux框架 ■ SELinux文件 ■ SELinux配置管理 防火墙 Linux防火墙 iptables 系统安全检测工具 ■安全审计工具:Nmap 入侵检测工具: snort、last、 lastb、 lastlog、 history 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
3 1系统安全 1目前存在的安全隐患 口 Linux是一个开放操作系统,许多程序或工具可对nux操作系统进行 管理,也使得攻击 Linux更容易。 Linux目前存在如下安全隐患,例如: 操作系统进行文件操作时可大致分为读、写和执行三种。 口一些系统文件一旦可写,就可能会被任意修改。 口在Lnux中,许多重要文件(如/ bin/login)如果被修改,就可随意侵入系统 ■进程终止后其运行时使用的内存等资源未能重置或清空,入侵者可能通过 未重置或清空资源获取信息,造成信息泄露。 ■重要进程不受保护。Liux中有些重要进程(如∨EB服务器守护进程)没 有得到操作系统的严格保护,容易受到破坏。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
4 1系统安全 1目前存在的安全隐患 口 Linux是一个开放操作系统,许多程序或工具可对nux操作系统进行 管理,也使得攻击 Linux更容易。 Linux目前存在如下安全隐患,例如: 服务性攻击。 口网络中存在的服务性攻击越来越多。如众所周知的smur攻击,如某台服务器将 大量含有虛假源地址的CMP包发送到一个或多个服务器上,会导致多个服务器 分别响应每一个MP包,整个网络充满广播包,致使系统繁忙而拒绝服务。 ■扫描工具恶意攻击。 ¤扫描工具可以对系统进行扫描,检测服务器是否存在安全漏洞,尽管其本身不 进行攻击,但是可以被配置成自动攻击的脚本进行攻击。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
5 1系统安全 12Lin安全机制 口 Linux内置多种安全保护机制。 PAM机制。 口PAM( Pluggable Authentication Modules)是一套共享库,其目的是提供一个 框架和一套编程接口,将认证工作由程序员交给管理员。 ¤PAM允许管理员在多种认证方法之间进行选择,能够在不重新编译与认证相关 的应用程序的情况下改变本地认证方法。 ■安全审计机制。 口即使运维人员在 Linux中采取了各种安全措施,但还会被发现一些新的漏洞,入 侵者可以在漏洞被修补之前攻破尽可能多的服务器 口虽然Lnu不能预测何时服务器会受到攻击,但是它可以记录攻击行为,同时记 录事件信息和网络连接情况,为后续进行复查提供支持。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn