你正在下载：《

Linux安全加固.ppt

》 [预览]

格式：PPT ，页数：21 ，大小：1.14MB ,
资源ID：13334856 下载积分：10 金币

快捷注册下载

登录下载

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
特别说明：	请自助下载，系统不会自动发送文件的哦；如果您已付费，想二次下载，请登录后访问：我的下载记录
支付方式：
验证码：	换一换

开通VIP

温馨提示：由于个人手机设置不同，如果发现不能下载，请复制以下地址【https://www.zixin.com.cn/docdown/13334856.html】到电脑端继续下载（重复下载【60天内】不扣币）。

已注册用户请登录：

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

三方登录：

1、咨信平台为文档C2C交易模式，即用户上传的文档直接被用户下载，收益归上传人（含作者）所有；本站仅是提供信息存储空间和展示预览，仅对用户上传内容的表现方式做保护处理，对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿，我们不确定上传用户享有完全著作权，根据《信息网络传播权保护条例》，如果侵犯了您的版权、权益或隐私，请联系我们，核实后会尽快下架及时删除，并可随时和客服了解处理情况，尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确)，网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据，个别因单元格分列造成显示页码不一将协商解决，平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺，下载前须认真查看，确认无误后再购买，务必慎重购买；若有违法违纪将进行移交司法处理，若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传，付费前请自行鉴别，如您付费，意味着您已接受本站规则且自行承担风险，本站不进行额外附加服务，虚拟产品一经售出概不退款（未进行购买下载可退充值款），文档一经付费（服务费）、不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印，是因预览和防盗链等技术需要对页面进行转换压缩成图而已，我们并不对上传的文档进行任何编辑或修改，文档下载后都不会有水印标识（原文档上传前个别存留的除外），下载后原文更清晰；试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓；PPT和DOC文档可被视为“模板”，允许上传人保留章节、目录结构的情况下删减部份的内容；PDF文档不管是原文档转换或图片扫描而得，本站不作要求视为允许，下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用；网站提供的党政主题相关内容(国旗、国徽、党徽－－等)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
6、文档遇到问题，请及时联系平台进行协调解决，联系【微信客服】、【QQ客服】，若有其他问题请点击或扫码反馈【服务填表】；文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“【版权申诉】”，意见反馈和侵权处理邮箱：1219186828@qq.com；也可以拔打客服电话：0574-28810668；投诉电话：18658249818。

本文（Linux安全加固.ppt）为本站上传会员【xrp****65】主动上传，咨信网仅是提供信息存储空间和展示预览，仅对用户上传内容的表现方式做保护处理，对上载内容不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知咨信网（发送邮件至1219186828@qq.com、拔打电话4009-655-100或【微信客服】、【 QQ客服】），核实后会尽快下架及时删除，并可随时和客服了解处理情况，尊重保护知识产权我们共同努力。
温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载【60天内】不扣币。【服务填表】

Linux安全加固.ppt

1、Page,*,/37,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Linux,安全加固,主题提纲,GRUB,的使用,用户密码策略,PAM,应用,Sudo,应用,Page,2,/37,GRUB,的定义,GNU GRUB(GRand Unified Bootloader),是一个将引导装载程序安装到主引导记录的程序，主引导记录是位于一个硬盘开始的扇区。它允许位于主引导记录区中特定的指令来装载一个,GRUB,菜单或是,GRUB,的命令环境。这使得用户能够开始操作系统的选择，在内核引导时传递特定指令给内核，或是在内核引导前确定一些系统参数（如可用的,RAM,大

2、小）。,Page,3,/37,设备名称,系统的第一个硬盘驱动器被,GRUB,称为,(hd0),第一个硬盘的第一个分区被称为,(hd0,0),第二个硬盘驱动器上的第,5,个分区被称为,(hd1,4),系统使用,IDE,硬盘或,SCSI,硬盘，都没有关系。所有的硬盘都是用,hd,开始。软盘用,fd,开头,Page,4,/37,GRU,B,的接口,菜单接口,菜单项目编辑器接口,命令行接口,Page,5,/37,Page,6,/37,Linux,安全设置,9-1,使用,GRUB,口令,编辑,/boot/grub/,grub.conf,，加入以下语句,password,12345,password -m

3、d5,$1$b347J/$n4ZBhcSGf7U75Am6iw/dX0,使用,grub-md5-crypt,生成加密密码,Page,7,/37,Linux,安全设置,9-2,修改默认,root,密码长度,/etc/pam.d/system-auth,中配置,:password requisite/lib/security/$ISA/pam_cracklib.so retry=3 minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1,）默认,lcredit ucredit dcredit ocredit,为,1,lcredit(,代表小写字母

4、)ucredit(,代表大写字母,)dcredit(,代表数字,)ocredit(,代表符号,),PAM,介绍,PAM,（,Pluggable Authentication Modules,）是由,Sun,提出的一种认证机制。它通过提供一些动态链接库和一套统一的,API,，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。,PAM,最初是集成在,Solaris,中，目前已移植到其它系统中，如,Linux,、,SunOS,、,HP-UX 9.0,等。,Page,8,/37,PAM,的框

5、架结构,Page,9,/37,PAM,支持的四种管理方式,认证管理（,authentication management,）,主要是接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些秘密信息。,帐户管理（,account management,）,主要是检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等。,密码管理（,password management,）,主要是用来修改用户的密码。,会话管理（,session management,）,主要是提供对会话的管理和记账（,accounting,）。,Page,10,/37,PAM,的文件,/usr/

6、lib/libpam.so.*,PAM,核心库,/etc/pam.d/,PAM,配置文件,/lib/security/pam_*.so,可动态加载的,PAM,服务模块,Page,11,/37,PAM,的配置,/etc/pam.d/,目录下的每个文件的名字对应服务名,例如,ftp,服务对应文件,/etc/pam.d/ftp,如果名为,xxxx,的服务所对应的配置文件,/etc/pam.d/xxxx,不存在，则该服务将使用默认的配置文件,/etc/pam.d/other,Page,12,/37,PAM,的配置,每个文件由如下格式的文本行所构成：,module-type control-flag

7、module-path arguments,module-type,模块类型有四种：,auth,、,account,、,session,、,password,，,即对应,PAM,所支持的四种管理方式。同一个服务可以调用多个,PAM,模块进行认证，这些模块构成一个,stack,。,control-flag,用来告诉,PAM,库该如何处理与该服务相关的,PAM,模块的成功或失败情况。它有四种可能的值：,required,，,requisite,，,sufficient,，,optional,。,module-path,用来指明本模块对应的程序文件的路径名，一般采用绝对路径，如果没有给出绝对路径，

8、默认该文件在目录,/usr/lib/security,下面。,arguments,是用来传递给该模块的参数,Page,13,/37,常用认证模块,Pam_unix.so,该模块的主要功能是禁止密码为空的用户提供服务,Pam_permit.so,总是无条件地使认证成功,Pam_deny.so,总是无条件地使认证失败,通常该模块被用来作为缺省的验证规则,Pam_cracklib.so,该模块对用户密码提供强健性检测,Page,14,/37,实例演示,/etc/pam.d/system-auth,auth required /lib/security/$ISA/pam_env.so,auth su

9、fficient /lib/security/$ISA/pam_unix.so likeauth nullok,auth required /lib/security/$ISA/pam_deny.so,account required /lib/security/$ISA/pam_unix.so,account sufficient /lib/security/$ISA/pam_succeed_if.so uid 100 quiet,account required /lib/security/$ISA/pam_permit.so,password requisite /lib/securit

10、y/$ISA/pam_cracklib.so retry=3,password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow,password required /lib/security/$ISA/pam_deny.so,session required /lib/security/$ISA/pam_limits.so,session required /lib/security/$ISA/pam_unix.so,Page,15,/37,16,使用,sudo,提升执行权限,sudo,机制,用途：

11、以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为,root,用户,格式：,sudo -u,用户名,命令操作,rootlocalhost#sudo-u zhangsan/bin/touch/tmp/sudotest.file,rootlocalhost#ls-l/tmp/sudotest.file,-rw-r-r-1 zhangsan zhangsan 0 05-26 09:09/tmp/sudotest.file,以,zhangsan,用户身份创建的文件属性,17,使用,sudo,提升执行权限,配置文件：,/etc/sudoers,授权哪些用户可以通过,sudo,方式执行哪些命令,

12、以下,2,种方法都可以编辑,sudoers,文件,visudo,vi /etc/sudoers,18,使用,sudo,提升执行权限,在,sudoers,文件中的基本配置格式,用户主机名列表,=,命令程序列表,rootlocalhost#grep root/etc/sudoers,root ALL=(ALL)ALL,被授权的用户,在哪些主机中使用,允许执行哪些命令,针对,root,用户的,sudo,配置,特例,允许以哪些用户的身份执行命令，缺省为,root,19,使用,sudo,提升执行权限,应用示例,1,：,需求描述：,允许,用户mikey通过sudo,执行,/sbin,、,/usr/bin

13、目录下的所有命令，但是禁止调用ifconfig,、,vim,命令,授权,wheel,组的用户不需验证密码即可执行所有命令,rootlocalhost#visudo,Defaults logfile=/var/log/sudo,mikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim,%wheel ALL=(ALL),NOPASSWD:,ALL,rootlocalhost#vi/etc/syslog.conf,local2.debug/var/log/sudo,20,使用,sudo,提升执行权限,为,sudo,配置项定义别名,关键字：,User_Alias,、,Host_Alias,、,Cmnd_Alias,在,sudo,配置行中，可以调用已经定义的别名,rootlocalhost,#,visudo,User_Alias,OPERATORS=,jerry,tom,tsengyia,Host_Alias,MAILSERVERS=,mail,smtp,pop,Cmnd_Alias,SOFTWARE=/bin/rpm,/,usr,/bin/yum,OPERATORS MAILSERVERS=SOFTWARE,Page,21,/37,谢谢,