《《国内100强IT公司-内部培训资料-Linux_安全基础》.pptVIP

Linux 系统安全基础 Agenda 安全问题概述 服务器安全的威胁 如何配置安全的Linux系统 安全性的测试 入侵和事件响应 常见的漏洞和攻击 QA 安全问题概述 什么是计算机安全？ 安全标准 安全控制 什么是计算机安全？ 国际标准化委员会: 为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露 美国国防部国家计算机安全中心: 安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。 公安部: 计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害 安全标准 安全标准 必威体育官网网址性 — 必威体育官网网址信息必须只能够被一组预先限定的人员存取。对这类信息的未经授权的传输和使用应该被严格限制。 例如，信息必威体育官网网址性会确保顾客的个人和财务信息不被未经授权的人员获取以用于窃取身份或信用卡贪污之类的不良企图。 完整性 — 信息不应该被能够导致它不完整或不正确的方式改变。未经授权的用户不应该具备修改或破坏必威体育官网网址信息的能力。 可用性 — 信息应该能够被授权的用户在任何需要的时候都可以被存取。可用性是信息能够在规定的时间范围内、按照规定的频率而能够被获取的保证。这通常是按照百分比来衡量的，并且被网络服务器提供者和他们的企业客户使用的服务级别协议（SLA）正式达成协议。 安全控制 物理控制 闭路监控照相机,动作或热像报警系统,警卫人员,照片证件,锁，生物测定 技术控制 加密,智能卡,网络验证,访问存取控制列表（ACL）,文件完好性审查软件 管理控制 培训和警惕性,灾难预备和恢复计划,人员招聘和分工策略,人员注册和记录 服务器安全的威胁 未用的服务和打开的端口 未打补丁的服务 管理疏忽 带有固有不安全因素的服务 如何配置安全的Linux系统 安全更新 工作站安全 服务器安全 防火墙 安全更新 手动安装 1.通过安全网站发现有漏洞的软件及修正包的下载地址 2.下载软件包并校验软件包的完整性 3. 安装软件包并测试 自动安装 使用Redhat NetWork,Suse Zenworks 工作站安全 BIOS 和引导装载程序的安全性 设置BIOS和Lilo 口令 防止对 BIOS 设置的改变 防止系统被引导 防止进入单用户模式 防止进入非安全的操作系统 口令安全 设置有使用期限复杂的密码 管理控制 禁止根存取权限，限制根存取权限 可用的网络服务 不安全服务rlogin,rsh,telnet等采用ssh 替代 ftp 采用sftp 替代 不在公网上使用nfs,samba,如需要使用请放置在防火墙里面 经安全强化的通信工具 ssh — 一个安全远程控制台存取客户。 scp — 一个安全远程复制命令。 sftp — 一个允许不互动文件传输会话的伪 ftp 客户。 服务器安全 使用TCP wrappers维护服务安全 保护 Portmap 的安全性 使用TCP wrappers保护 使用iptables 保护 保护 NFS 的安全 不要使用 no_root_squash 服务器安全 校验哪些端口正在监听 使用 nmap 之类的端口扫描器来检查哪些端口正在监听网络 netstat –anp lsof -i 防火墙 防火墙工作方式 NAT 分组过滤器 代理 注意事项 在处理添加的规则时，REJECT（拒绝）目标和 DROP（放弃）目标这两种行动有所不同。REJECT 会拒绝目标分组的进入，并给企图连接服务的用户返回一个 connection refused 的错误消息。DROP 会放弃分组，而对用户不发出任何警告。管理员可酌情考虑如何使用这些目标。不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用 REJECT 目标。 防火墙 iptables 和连接跟踪 NEW — 请求新连接的分组，如 HTTP 请求。 ESTABLISHED — 属于当前连接的一部分的分组。 RELATED — 请求新连接的分组，但是它也是当前连接的一部分，如消极 FTP 连接，其连接端口是 20，但是其传输端口却是 1024 以上的未使用端口。 INVALID — 不属于连接跟踪表内任何连