第十章 Linux安全管理及高级应用.ppt

1、基于Linux操作系统教程,Operating System Course based on Linux,第十章 Linux安全管理及高级应用,目标 掌握Linux安全管理和超级用户 掌握Linux文件系统的安全 了解安全检查和物理安全 掌握全屏幕编辑软件的使用,第十章 Linux安全管理及高级应用,开 始,Linux安全管理及高级应用,10.1 Linux 安全管理,10.2 常用应用软件,返回本章首页,10.1 Linux 安全管理,10.1.1 Linux 安全管理和超级用户,10.1.2 Linux 文件系统安全,10.1.3 作为root运行的程序,10.1.4 校验用户口令 /et

2、c/passwd文件,10.1.5 查找同组用户 /etc/group文件,10.1.6 增加、删除、用户,10.1.7 安全检查,10.1.8 加限制的环境,10.1.9 物理安全,返回本章首页,10.1.1 Linux 安全管理和超级用户,Linux 安全管理主要分为四个方面： （1）防止未授权存取：这是计算机安全最重要的问题。用户意识，良好的口令管理（由系统管理员和用户双方配合），登录活动记录和报告，用户和网络活动的周期检查，这些都是防止未授权存取的关键。 （2）防止泄密：这也是计算机安全的一个重要问题。防止已授权或未授权的用户相互存取相互的重要信息。文件系统查帐，su登录和报告，用户意

3、识，加密都是防止泄密的关键。（3）防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。一个系统不应被一个有意试图使用过多资源的用户损害。（4）防止丢失系统的完整性：这一安全方面与一个好系统管理员的实际工作（例如：周期地备份文件系统，系统崩溃后运行fsck检查，修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件）和保持一个可靠的操作系统有关（即用户不能经常性地使系统崩溃）。,返回本节,10.1.2 Linux 文件系统安全,（1）LINUX文件系统概述,（2）设备文件,（3）/etc/mknod命令,（4）安全考虑,（5）find命令,（6） secure程序,（7）nchec

4、k命令,（8）安装和拆卸文件系统,返回本节,（1）Linux文件系统概述,Linux文件系统是Linux系统的心脏部分，提供了层次结构的目录和文件。文件系统将磁盘空间划分为每1024个字节一组，称为块（block）。编号从0到整个磁盘的最大块数。全部块可划分为四个部分，块0称为引导块，文件系统不用该块；块1称为专用块，专用块含有许多信息，其中有磁盘大小和全部块的其它两部分的大小。从块2开始是索引节点表，索引节点表中含有索引节点，表的块数是可变的。索引节点表之后是空闲存储块（数据存储块），可用于存放文件内容。在linux系统中有一个表，告诉文件系统如何将物理结构转换为逻辑结构。这就涉及到索引节点

5、了。索引节点是一个64字节长的表，含有有关一个文件的信息，其中有文件大小，文件所有者，文件存取许可方式，以及文件为普通文件，目录文件还是特别文件等。,返回本节,（2）设备文件,在/dev中的文件通常称为设备文件，用ls /dev命令可以看看系统中的一些设备：acuo 呼叫自动拨号器 console 系统控制台dsknn 块方式操作磁盘分区 kmem 核心内存mem 内存 lp 打印机mto 块方式操作磁带 rdsknn 流方式操作的磁盘分区rmto 流方式操作的磁带 swap 交换区syscon 系统终端 ttynn 终端口x25 网络端口,返回本节,（3）/etc/mknod命令,用于建立设

6、备文件。只有root能使用这个命令建立设备文件。其参数是文件名，字母c或b分别代表字符特别文件或块特别文件，主设备号，次设备号。块特别文件是像磁带，磁盘这样一些以块为单位存取数据的设备。字符特别文件是如像终端，打印机，MODEM，或者其它任何与系统通讯时，一次传输一个字符的设备，包括模仿对磁盘进行字符方式存取的磁盘驱动器。主设备号指定了系统子程序（设备驱动程序），当在设备上执行I/O时，系统将调用这个驱动程序。调用设备驱动程序时，次设备号将传递给该驱动程序（次设备规定具体的磁盘驱 动器，带驱动器，信号线编号，或磁盘分区）。每种类型的设备一般都有自己的设备驱动程序。,返回本节,（4）安全考虑,从

7、安全的观点来看，任何设备上进行的I/O操作只经过了少量的渠道（即设备文件）。用户不能直接地存取设备。所以如果正确地设置了磁盘分区的存取许可，用户就只能通过LINUX文件系统存取磁盘。文件系统有内部安全机制（文件许可）是很好的。不幸的是，如果磁盘分区设置得不正确，任何用户都能够写一个程序读磁盘分区中的每个文件，作法很简单：读一索引节点，然后以磁盘地址表中块号出现的顺序，依次读这些块号指出的存有文件内容的块。故除了root以外，决不要使盘分区对任何人可写。要避免磁盘分区（以及其它设备）可读可写，应当在建立设备文件前先用umask命令设置文件建立屏蔽值。,返回本节,Umask值：Umask的值确定新

8、创建的文件的初始许可， 由mode变成umask值。缺省的umask值为002. 一般而言，文件的mode为666， 目录和可执行文件为777。 若有了umask，则新创建的文件的许可就成为:666-002=664；Umask的值在/etc/profile中进行设置。,（5）find命令,find命令用于搜索目录树，并对目录树上的所有文件执行某种操作，参数是目录名表，还可给出一个或多个选项，规定对每个文件执行什么操作。find / -print 将列出当前工作目录下的目录树的每一个文件。find / -user bob -print 将列出在系统中可找到的属于bob用户的所有文件。find /

9、usr/bob -perm 666 -print 将列出/usr/bob目录树下所有存取许可为666的文件。若将666改为-666则将列出所有具有包含了666在内的存取许可方式的文件（如777）。find /usr/bob -type b -print 将列出/usr/bob目录树下所有块特别文件（c为字符特别文件）。,返回本节,（6）secure程序,系统管理员应当做一个程序以定期检查系统中的各个系统文件，包括检查设备文件和SUID，SGID程序，尤其要注意检查SUID，SGID程序，检查/etc/passwd和/etc/group文件，寻找久未登录的户头和校验各重要文件是否被修改。,返回本

10、节,（7）ncheck命令,用于检查文件系统，只用一个磁盘分区名作为参数，将列出i节点号及相应的文件名。i节点相同的文件为建链文件。也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件，使用-s选项来完成此项功能。,返回本节,（8）安装和拆卸文件系统,LINUX文件系统是可安装的，这意味着每个文件系统可以连接到整个目录树的任意节点上（根目录总是被安装上的）。安装文件系统的目录称为安装点。 /etc/mount命令用于安装文件系统，用这条命令可将文件系统安装在现有目录结构的任意处。用户的文件系统用完后，可用umount命令卸下文件系统。并将安装点目录的所有者改回root，存取许可改

11、为755。,返回本节,10.1.3 作为root运行的程序,（1）启动系统 ：LINUX系统的单用户方式启动，使系统管理员能在允许普通用户登录以前，先检查系统操作，确保系统一切正常，当系统处于单用户方式时，控制台作为超级用户，命令提示是“#”，有些LINUX系统不要确认超级用户口令就认可控制台是root，给出“#”提示符。,（2）init进程 ：init进程控制系统运行级，它读入文件/etc/inittab。,（3）进入多用户 ：当LINUX系统进入多用户方式时，将激发一系列事件，接着开始执行gettys，允许其他用户登录进入系统。如果再看看/etc/inittab文件，会看到gettys定义

12、在运行级2，至少三个shell程序/etc/brc，/etc/bcheckrc，/etc/rc*也定义在运行级2。这些程序都在gettys启动前运行。,返回本节,作为root运行的程序,（4）shutdown命令 ：用shutdown命令关闭系统， shutdown shell程序发送警告通知所有用户离开系统，在“给定的期限时间”到了后，就终止进程，拆卸文件系统，进入单用户方式或关机状态。一旦进入单用户方式，所有的gettys停止运行，用户再不能登录。,（5）系统V的cron程序 ：cron在LINUX系统是多用户方式时运行，根据规定的时间安排执行指定的命令，每隔一分钟检查一次文件/usr/l

13、ib/crontab，寻找是否有应当运行的程序? 如果找到要运行的程序，就运行该程序，否则睡眠等待一分钟。,作为root运行的程序,（6） 系统V版本2之后的cron程序：这个版本的cron命令的安全程度比前一个高，因为用户只能看自己的crontab，系统管理员也不必担心其他用户的程序是否会作为root运行，由于允许每个系统登录用户有自己的crontab，也简化了对程序必须由cron运行，但不必作为root运行的系统程序的处理。,（7）/etc/profile ：每当用户（包括root在内）登录时，由shell执行/etc/profile文件，应确保这个文件以及从这个文件运行的程序和命令都仅对

14、root可写。,Linux系统采用组的方式有效地管理用户的权限；任何用户都是一个或多个组中的成员。 Linux安装好后，创建了一些标准用户和标准组。 每个用户有一个UID，标识用户的唯一性。 每个组有一个GID，标识组的唯一性。 命令 # id root uid=0(root) gid=0(root) Group=0(root),1(bin),2(demon),3(sys),Linux中使用以下文件/目录来维护用户与组的帐号信息。/etc/passwd/etc/default/useradd/etc/skel,/etc/passwd： 该文件存储所有用户的信息，对于系统中的每个用户， 该文件按

15、以下格式记录每一个记录： 用户名：口令：用户ID：组ID：注释：HOME目录：登陆SHELL,/etc/default/useradd： 该文件存储新用户的缺省信息，这些信息在 useradd命令时创建。下面是该文件的列表： # useradd defaults file Group=100 Home=/home Inactive=-1 Expire= Shell=/bin/bash Skel=/etc/skel,/etc/skel目录 该目录相当于一个骨架的HOME目录 以下显示的是该目录的内容： #ls l /etc/skel Total 12 Drwxrwxrw- 4 root root

16、 1024 oct 31 21:36 . Drwrw-x 33 root root 3072 nov 2 08:48 -rwxrw-x 1 root root 1422 nov 5 11:09 .xdefault -rw-rr- 1 root root 24 jul 12 1998.bashrc 你可以修改该目录，以便所有新用户在他们的HOME目录中可得到文件的集合。,10.1.4 校验用户口令 /etc/passwd文件,/etc/passwd文件是LINUX安全的关键文件之一。该文件用于用户登录时校验用户的口令，当然应当仅对root可写。文件中每行的一般格式为： LOGNAME：PASSW

17、ORD：UID：GID：USERINFO：HOME：SHELL每行的头两项是登录名和加密后的口令，后面的两个数是UID和GID，接着的一项是系统管理员想写入的有关该用户的任何信息，最后两项是两个路径名：一个是分配给用户的HOME目录，第二个是用户登录后将执行的shell（若为空格则缺省为/bin/sh）。,返回本节,口令时效,/etc/passwd文件的格式使系统管理员能要求用户定期地改变他们的口令。 在口令文件中可以看到，有些加密后的口令有逗号，逗号后有几个字符和一个冒号。如： steve：xyDfccTrt180x，M。y8：0：0：admin：/：/bin/sh restrict：pom

18、Jk109Jky41，。1：0：0：admin：/：/bin/sh pat：xmotTVoyumjls：0：0：admin：/：/bin/sh,UID和GID,/etc/passwd中UID信息很重要，系统使用UID而不是登录名区别用户。一般来说，用户的UID应当是独一无二的，其他用户不应当有相同的UID数值。根据惯例，从0到99的UID保留用作系统用户的UID（root，bin，uucp等）。 如果在/etc/passwd文件中有两个不同的入口项有相同的GID，则这两个用户对相互的文件具有相同的存取权限。,10.1.5 查找同组用户 /etc/group文件,/etc/group文件含有关于

19、小组的信息，/etc/passwd中的每个GID在本文件中应当有相应的入口项，入口项中列出了小组名和小组中的用户。这样可方便地了解每个小组的用户，否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组用户。 由于用户登录时，系统从/etc/passwd文件中取GID，而不是从/etc/group中取GID，所以group文件和口令文件应当具有一致性。对于一个用户的小组，UID和GID应当是相同的。多用户小组的GID应当不同于任何用户的UID，一般为5位数，这样在查看/etc/passwd文件时，就可根据5位数据的GID识别多用户小组。,返回本节,10.1.6 增加、删除、用户,（1

20、）增加用户 ：增加用户有三个过程： 在/etc/passwd文件中写入新用户的入口项。 为新登录用户建立一个HOME目录。 在/etc/group中为新用户增加一个入口项。,（2）删除用户 ：删除用户与加用户的工作正好相反，首先在/etc/passwd和/etc/group文件中删除用户的入口项，然后删除用户的HOME目录和所有文件。 rm -r /usr/loginname 删除整个目录树。,下一页,将用户移到另一个系统,搜索该用户的全部文件，将文件的原UID和GID改成新的UID和GID，用find命令可以完成这一修改： find . -user olduid -exec chown ne

21、wuid ; find . -group oldgid -exec chgrp newgid ; 也许还要为用户移走其它一些文件： /usr/mail/user和/usr/spool/cron/crontabs/user。,返回本节,10.1.7 安全检查,（1）记帐 ：由记帐系统也可获得有关每个用户的CPU利用率，运行的进程数等统计数据。,（2）其它检查命令：du：报告在层次目录结构中各目录占用的磁盘块数。df：报告整个文件系统当前的空间使用情况。 ps：检查当前系统中正在运行的所有进程。 who：可以告诉系统管理员系统中工作的进展情况等等许多信息，检查用户的登录时间，登录终端。su：命令将

22、在/usr/adm/sulog文件中写一条信息，若该文件记录了大量试图用su进入root的无效操作信息，则表明了可能有人企图破译root口令。 login：在一些系统中，login程序记录了无效的登录企图。,返回本节,10.1.8 加限制的环境,（1）加限制的shell（rsh）：该shell几乎与普通的shell相同，但是该shell的设计能限制一个用户的能力，不允许用户有某些标准shell所允许的行为。,（2）用chroot（）限制用户：如果的确想限制一个用户，可用chroot（）子程序为用户建立一个完全隔离的环境，改变了进程对根目录的概念，因此可用于将一个用户封在整个文件系统的某一层目录

23、结构中，使用户无法用cd命令转出该层目录结构，不能存取文件系统中其余部分的任何文件。,返回本节,10.1.9 物理安全,物理安全包括：报警系统，警卫，所有安置在不能上锁的地方的通讯设施，包括有线通讯线，电话线，局域网，远程网，应答MODEM，钥匙或信用卡识别设备，给用户的口令和钥匙分配，任何前置通讯设施的加密装置，文件保护，备份或恢复方案 。物理安全中考虑是：在安全方案上所付出的代价不应当多于值得保护的（硬件或软件的）价值。,返回本节,10.2 常用应用软件,10.2.1 全屏幕文本编辑器VI,10 .2 .2 DOSEMU仿真器,10 .2 .3 HOST域名查找,10 .2 .4 Linu

24、x定时处理,10 .2 .5 Linux硬盘提速,返回本章首页,10.2.1 全屏幕文本编辑器VI,（1） VI及其三种运行模式 ：编辑模式、插入模式和命令模式 。 （2）进入插入模式 ：在插入模式下，主要是进行文字的输入工作。insert命令，append命令，所插入的内容都是从当前行中的某个位置开始的。若我们希望在某行之前或某行之后插入一些新行，则应使用打开命令。,（3）编辑模式下的操作 ：在Vi中“字”有两种含义。一种是广义的字，它可以是两个空格之间的任何内容，另一种字是狭义上的字，在这种意义之下，英文单词、标点符号和非字母字符（如! # $ % & * ( ) _ + | /等）均被当

25、成是一个字。 Vi中使用大写命令一般就是指将字作为广义来对待，使用小写命令就是作为狭义对待。,下一页,（4）命令模式下的操作：只要在编辑模式下输入“：”就可以转换到命令模式，不能直接从插入模式到命令模式。,全屏幕文本编辑器VI,返回本节,10 .2 .2 DOSEMU仿真器,特性,安装,设置,使用,返回本节,特性,l 支持彩色文本模式和全功能键盘仿真 l 内置X-Windows支持，甚至包括IBM的设置字体 l 控制台的图形模式兼容大部分的显卡 l X-Windows内置的图形模式仿真支持256色甚至真彩色 l 支持保护模式DPMI 0.9 l 在X-Windows中或控制台中支持运行Wind

26、ows 3.1 l 支持运行Borland C+ 3.X IDE及命令行编译器 l 已支持在控制台运行包括DOS/4GW模式在内的少数32位DPMI模式的游戏 l 支持CDROM l 支持声卡（包括模拟DMA） l NetWare和其它网络内置IPX协议支持,返回本小节,安装,DOSEMU在我们所装的REDHAT LINUX 5.X版本中提供了， 如果没有安装，请找出REDHAT LINUX的光盘放入光驱中，用“mount /mnt/cdrom”指令将光盘安装好，然后用进入RedHat/Rpms目录中，输入“rpm -i dos*.rpm”，DOSEMU就将自动安装了。,返回本小节,设置,一般

27、来说,DOSEMU并不需要设置即可使用，但进行一些必要的设置是进行一些高级的DOS应用所必须的。 DOSEMU的设置文件为/etc/dosemu.conf和/etc/dosemu.user，前者为DOSEMU的配置文件，后者是设置各用户使用DOSEMU的权限的文件。这两个文件的格式有些类似C语言的源程序，都是#后的部分为注释。可以用文本编辑器vi或jstar等编辑它们。,返回本小节,使用,在命令行或X-Windows的终端窗口中输入“dos”就可以进入DOSEMU了！熟悉的“C:”又回来了。这时仍然可以用Alt+Fx切换到其它的控制台去执行LINUX的命令，DOS的易用性和LINUX的多用户、

28、多任务的优点都同时享受了。,返回本小节,10 .2 .3 HOST域名查找,Host能够用来查询域名，然而它可以得到更多的信息。Host -l 会返回所有注册在下的域名。host -a 则会显示这个主机的所有域名信息。,返回本节,10 .2 .4 Linux定时处理,命令行中输入：crontab -e进入文本编辑器，再在其中输入0 5 * * * wget -t3 -I/home/tom/URLs -N。这样每天早上5点就会运行这个wget命令。前五个是时间参数：分 时 日 月 星期几。可以 0 5 * * 6,0 command line here，这样就在每个星期六和星期天5am运行。需要man 5 crontab来得到更为详细的解释。,返回本节,10 .2 .5 Linux硬盘提速,Linux下也可以使用32Bit I/O和DMA。使用/sbin/hdparm -c1 /dev/hda(hdb,hdc)打开32Bit传输模式，使用命令 /sbin/hdparm -d1 /dev/hda(hdb,hdc.) 打开DMA。最后使用/sbin/hdparm -k1 /dev/hda 以使硬盘在Reset之后保持上面的设定，这么一来，硬盘读写速度应该可以提高一倍以上。,返回本节,THANK YOU VERY MUCH ！,本章到此结束， 谢谢您的光临！,结束放映,