Linux服务器构建与运维管理 第7章:系统安全 阮晓龙 3938213680/rxl@hactcm.edu.cn http://linux.xg.hactcm.edu.cn 河南中医药大学信息管理与信息系统教研室 信息技术学院网络与信息系统科研工作室 2020.2
Linux服务器构建与运维管理 第7章:系统安全 1 阮晓龙 13938213680 / rxl@hactcm.edu.cn http://linux.xg.hactcm.edu.cn 河南中医药大学信息管理与信息系统教研室 信息技术学院网络与信息系统科研工作室 2020.2
2 提纲 口系统安全 D SELinux SELinux框架 SELinux文件 SELinux配置管理 口防火墙 Linux防火墙 iptables 口系统安全检测工具 安全审计工具:Nmap 入侵检测工具:snot、last、 lastb、 lastlog、 history 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 提纲 系统安全 SELinux ◼ SELinux框架 ◼ SELinux文件 ◼ SELinux配置管理 防火墙 ◼ Linux防火墙 ◼ iptables 系统安全检测工具 ◼ 安全审计工具:Nmap ◼ 入侵检测工具:snort、last、lastb、lastlog、history 2
3 1系统安全 11目前存在的安全隐患 Linux是一个开放操作系统,许多程序或工具可对Lin操作系统进 管理,也使得攻击Linx更容易 Linux目前存在如下安全隐患,例如 操作系统进行文件操作时可大致分为读、写和执行三种。 口一些系统文件一旦可写,就可能会被任意修改。 口在inux中,许多重要文件(如/bin/ogin)如果被修改,就可随意侵入系统。 进程终止后其运行时使用的内存等资源未能重置或清空,入侵者可能通过 未重置或清空资源获取信息,造成信息泄露。 重要进程不受保护。Liηux中有些重要进程(如ⅥBB服务器守护进程)没 有得到操作系统的严格保护,容易受到破坏。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 1.系统安全 3 1.1目前存在的安全隐患 Linux是一个开放操作系统,许多程序或工具可对Linux操作系统进行 管理,也使得攻击Linux更容易。 Linux目前存在如下安全隐患,例如: ◼ 操作系统进行文件操作时可大致分为读、写和执行三种。 一些系统文件一旦可写,就可能会被任意修改。 在Linux中,许多重要文件(如/bin/login)如果被修改,就可随意侵入系统。 ◼ 进程终止后其运行时使用的内存等资源未能重置或清空,入侵者可能通过 未重置或清空资源获取信息,造成信息泄露。 ◼ 重要进程不受保护。Linux中有些重要进程(如VJEB服务器守护进程)没 有得到操作系统的严格保护,容易受到破坏
4 1系统安全 11目前存在的安全隐患 Linux是一个开放操作系统,许多程序或工具可对Lin操作系统进 管理,也使得攻击Linx更容易 Linux目前存在如下安全隐患,例如 服务性攻击。 口网络中存在的服务性攻击越来越多。如众所周知的smur攻击,如某台服务器将 大量含有虚假源地址的CMP包发送到一个或多个服务器上,会导致多个服务器 分别响应每—个MP包,整个网络充满广播包,致使系统繁忙而拒绝服务。 ■扫描工具恶意攻击。 ¤扫描工具可以对系统进行扫描,检测服务器是否存在安全漏洞,尽管其本身不 进行攻击,但是可以被配置成自动攻击的脚本进行攻击。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 1.系统安全 4 1.1目前存在的安全隐患 Linux是一个开放操作系统,许多程序或工具可对Linux操作系统进行 管理,也使得攻击Linux更容易。 Linux目前存在如下安全隐患,例如: ◼ 服务性攻击。 网络中存在的服务性攻击越来越多。如众所周知的smurf攻击,如某台服务器将 大量含有虚假源地址的ICMP包发送到一个或多个服务器上,会导致多个服务器 分别响应每一个ICMP包,整个网络充满广播包,致使系统繁忙而拒绝服务。 ◼ 扫描工具恶意攻击。 扫描工具可以对系统进行扫描,检测服务器是否存在安全漏洞,尽管其本身不 进行攻击,但是可以被配置成自动攻击的脚本进行攻击
1系统安全 1.2 Linux安全机制 口 Linux内置多种安全保护机制。 PAM机制。 PAM( Pluggable Authentication Modules)是一套共享库,其目的是提供一个 框架和一套编程接口,将认证工作由程序员交给管理员。 ¤PAM允许管理员在多种认证方法之间进行选择,能够在不重新编译与认证相关 的应用程序的情况下改变本地认证方法。 安全审计机制。 ¤即使运维人员在 Linux中采取了各种安全措施,但还会被发现一些新的漏洞,入 侵者可以在漏洞被修补之前攻破尽可能多的服务器。 口虽然Lnux不能预测何时服务器会受到攻击,但是它可以记录攻击行为,同时记 录事件信息和网络连接情况,为后续进行复查提供支持。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 1.系统安全 Linux内置多种安全保护机制。 ◼ PAM机制。 PAM(Pluggable Authentication Modules)是一套共享库,其目的是提供一个 框架和一套编程接口,将认证工作由程序员交给管理员。 PAM允许管理员在多种认证方法之间进行选择,能够在不重新编译与认证相关 的应用程序的情况下改变本地认证方法。 ◼ 安全审计机制。 即使运维人员在Linux中采取了各种安全措施,但还会被发现一些新的漏洞,入 侵者可以在漏洞被修补之前攻破尽可能多的服务器。 虽然Linux不能预测何时服务器会受到攻击,但是它可以记录攻击行为,同时记 录事件信息和网络连接情况,为后续进行复查提供支持。 5 1.2 Linux安全机制