Linux系统安全系统配置详解

...................................................................1.1 目的 (1)1.2 合用范围 (1)1.3 合用版本 (1).....................................................2.1 账号 (2)2.1.1 用户口令设置 (2)2.1.2 root 用户远程登录限制 (2)2.1.3 检查是否存在除root 之外UID 为0 的用户 (3)2.1.4 root 用户环境变量的安全性 (3)2.2 认证 (4)2.2.1 远程连接的安全性配置 (4)2.2.2 用户的umask 安全配置 (4)2.2.3 重要目录和文件的权限设置 (4)2.2.4 查找未授权的SUID/SGID 文件 (5)2.2.5 检查任何人都有写权限的目录 (6)2.2.6 查找任何人都有写权限的文件 (6)2.2.7 检查没有属主的文件 (7)2.2.8 检查异常隐含文件 (7)...............................................................3.1 日志 (9)3.1.1 syslog 登录事件记录 (9)3.2 审计 (9)3.2.1 Syslog.conf 的配置审核 (9)...............................................................4.1 系统状态 (11)4.1.1 系统core dump 状态 (11)本文档规定了LINUX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或者安全检查人员进行LINUX 操作系统的安全合规性检查和配置。

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

LINUX 系列服务器；操作系统Linux 用户口令安全基线要求项SBL-Linux-02-01-01帐号与口令-用户口令设置1 、问询管理员是否存在如下类似的简单用户密码配置，比如：root/root, test/test, root/root12342、执行：more /etc/login，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_RN_AGE 参数3、执行：awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号建议在/etc/login 文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为6不存在空口令账号操作系统Linux 远程登录安全基线要求项SBL-Linux-02-01-02帐号与口令-root 用户远程登录限制执行：more /etc/securetty，检查Console 参数建议在/etc/securetty 文件中配置：CONSOLE = /dev/tty01操作系统Linux 超级用户策略安全基线要求项SBL-Linux-02-01-03帐号与口令-检查是否存在除root 之外UID 为0 的用户执行：awk -F: '($3 == 0) { print $1 }' /etc/passwd返回值包括“root”以外的条目，则低于安全要求；补充操作说明UID 为0 的任何用户都拥有系统的最高特权，保证惟独root 用户的UID 为0操作系统Linux 超级用户环境变量安全基线要求项SBL-Linux-02-01-04帐号与口令-root 用户环境变量的安全性执行：echo $PATH | egrep '(^|:)(\.|:|$)，' 检查是否包含父目录，执行：find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -l 检查是否包含组目录权限为777 的目录返回值包含以上条件，则低于安全要求；补充操作说明确保root 用户的系统路径中不包含父目录，在非必要的情况下，不应包含组权限为777 的目录操作系统Linux 远程连接安全基线要求项SBL-Linux-02-02-01帐号与口令-远程连接的安全性配置执行：find / -name .netrc，检查系统中是否有.netrc 文件，执行：find / -name .rhosts ，检查系统中是否有.rhosts 文件返回值包含以上条件，则低于安全要求；补充操作说明如无必要，删除这两个文件操作系统Linux 用户umask 安全基线要求项SBL-Linux-02-02-02帐号与口令-用户的umask 安全配置执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含umask 值umask 值是默认的，则低于安全要求补充操作说明建议设置用户的默认umask=077操作系统Linux 目录文件权限安全基线要求项SBL-Linux-02-02-03文件系统-重要目录和文件的权限设置执行以下命令检查目录和文件的权限设置情况：ls –l /etc/ls –l /etc/rc.d/init.d/ls –l /tmpls –l /etc/inetd.confls –l /etc/passwdls –l /etc/shadowls –l /etc/groupls –l /etc/securityls –l /etc/servicesls -l /etc/rc*.d若权限过低，则低于安全要求；补充操作说明对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/rc.d/init.d/*这样惟独root 可以读、写和执行这个目录下的脚本。

在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，有时需要编辑这些文件来完成联网工作。

vi /etc/sysconfig/network-scripts/ifcfg-eth0 ：进入IP编译器按i 下面出现-- INSERT -- ：写入模式出现下列信息# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]DEVICE=eth0BOOTPROTO=static // BOOTPROTO只有在static(静态)模式下才可以使用设置的IP信息HWADDR=00:0c:29:9e:43:e4ONBOOT=yesNETMASK=255.255.255.240 //掩码IPADDR=220.181.77.132 //添加IP地址GATEWAY=220.181.77.129 //添加网关TYPE=Ethernet按冒号：ｗｑ保存退出修改dnsvim /etc/resolv.conf重启网卡service network restart在此我们详细介绍如何使用命令行来手工配置TCP/IP网络。

与网络相关的配置文件和网络相关的一些配置文件有/etc/HOSTNAME、/etc/resolv.conf、/etc/host.conf、/etc/sysconfig/network、/etc/hosts等文件。

下面一一介绍。

/etc/HOSTNAME文件该文件包含了系统的主机名称，包括完全的域名，例如。

在Red Hat 7.2中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下。

ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eht包含第二块网卡的配置信息。

下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：DEVICE=eth0IPADDR=208.164.186.1NETMASK=255.255.255.0NETWORK=208.164.186.0BROADCAST=208.164.186.255ONBOOT=yesBOOTPROTO=noneUSERCTL=no其中各变量关键词的解释如下：DEVICE=name name表示物理设备的名字IPADDR=addr addr表示赋给该卡的I P地址NETMASK=mask mask表示网络掩码NETWORK=addr addr表示网络地址BROADCE ST=addr addr表示广播地址ONBOOT=yes/no 启动时是否激活该卡BOOTPROTO=proto proto取值可以是none(无须启动协议)、bootp(使用bootp协议)、dhcp(使用DHCP协议)USERCTL=yes/no 是否允许非root用户控制该设备若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应文件(ifcfg-ethN)或创建新文件来实现。

VMware虚拟机及各种版本Linux操作系统安装详解一、启动虚拟机，如下图所示，点击“新建虚拟机”。

二、点击“下一步”，选择“自定义”，点击“下一步”，如下图所示。

三、选择“Workstation 6”，点击“下一步”。

如下图所示。

四、选择“Linux”，如果是RedHat系统，则选择RedHat Linux；如果是Ubuntu系统，则选择Ubuntu；如果是Fedora系统，版本选择“Other Linux 2.6.x kernel”。

点击“下一步”。

如下图所示。

五、虚拟机名称自定，文件存储位置自定。

点击“下一步”。

六、虚拟处理器数量一般选一个，除非你的电脑的主板上有两块CPU。

点击“下一步”。

七、在内存分配方面，Linux操作系统的KDE桌面环境比较占资源，因此最好分配256MB 的内存给虚拟机使用。

点击“下一步”。

八、接下来配置网络连接，如果有联网需要，一般选择“使用网络地址转换(NAT)”。

点击“下一步”。

如下图所示。

九、SCSI 适配器选择“LSI Logic”。

如果选择“总线”并且使用虚拟的SCSI硬盘，安装某些版本的Linux系统时会提示说找不到可用硬盘。

点击“下一步”。

如下图所示。

十、选择“创建一个新的虚拟磁盘”。

不推荐“使用一个物理磁盘”。

点击“下一步”。

如下图所示。

十一、虚拟机磁盘类型选择“SCSI”。

点击“下一步”。

如下图所示。

十二、对于Linux来说，如果不安装工具盘，则分配5.5GB的磁盘空间足矣。

点击“下一步”。

如下图所示。

十三、指定磁盘文件，一般按默认，点击“完成”开始创建磁盘文件。

完成后如下图所示。

十四、如果使用光盘镜像来安装Linux，则点击“编辑虚拟机设置”，在“硬件”标签页中点击“CD-ROM1(IDE 1:0)”，勾选右侧的“使用ISO 映象”，点击“浏览”选择ISO文件，点击“打开”即可。

如下图所示。

如果已经将ISO文件刻录成光盘，则将光盘放入光驱，点击“启动此虚拟机”，点击黑色背景的启动界面，让虚拟机捕获鼠标，按下F2键进入虚拟机的BIOS设置界面，按光标键的右箭头移到“Boot”标签页，按光标键的下箭头选择“CD-ROM Drive”，按数字键盘区的加号键将“CD-ROM Drive”移到第一位。

LINUX内核配置MAKE MENUCONFIG菜单详解我们在linux内核裁剪过程中，进入内核所在目录，键入 make menuconfig 就会看到一堆的配置菜单，它们具体代表什么含义呢？我们该如何取舍呢？这里把近期收集到的一些信息做一个总结。

1、General setup代码成熟度选项，它又有子项：1.1、prompt for development and/or incomplete code/drivers该选项是对那些还在测试阶段的代码，驱动模块等的支持。

一般应该选这个选项，除非你只是想使用 LINUX 中已经完全稳定的东西。

但这样有时对系统性能影响挺大。

1.2、Cross-compiler tool prefix交叉编译工具前缀，例如：Cross-compiler tool prefix值为: (arm-linux-)1.3、Local version - append to kernel release内核显示的版本信息，填入 64字符以内的字符串，你在这里填上的字符口串可以用uname -a 命令看到。

1.4、Automatically append version information to the version string自动在版本字符串后面添加版本信息,编译时需要有perl以及git仓库支持1.5、Kernel compression mode (Gzip) --->有四个选项，这个选项是说内核镜像要用的压缩模式，回车一下，可以看到gzip,bzip2,lzma,lxo,一般可以按默认的gzip,如果要用bzip2,lzma,lxo要先装上支持1.6、Support for paging of anonymous memory (swap)使用交换分区或交换文件来做为虚拟内存，一定要选上。

1.7、System V IPC表示系统的进程间通信Inter Process Communication，它用于处理器在程序之间同步和交换信息，如果不选这项，很多程序运行不起来，必选。

Linux实验ssh配置详解⼀、ssh详解1、什么是ssh简单来说，ssh是⼀种⽹络协议，⽤于计算机之间的加密登录。

如果⼀个⽤户从本地计算机，使⽤ssh协议登录另⼀台远程计算机，我们就可以认为，这种登录是安全的，即使被中途截获，密码也不会泄露。

需要指出的是，ssh只有⼀种协议，存在多种实现，既有商业实现，也有开源实现。

2、基本⽤法（1）使⽤某个⽤户（例如user）登录远程主机host命令：ssh user@host（2）如果本地⽤户名和远程⽤户名⼀致，则登录时可以省略⽤户名命令：ssh host（3）ssh的默认端⼝是22，也就是说，你的登录请求会送进远程主机的22端⼝。

使⽤-p参数，可以修改这个端⼝命令：ssh –p 端⼝号 user@host3、中间⼈攻击SSH之所以能够保证安全，原因在于它采⽤了公钥加密。

整个过程如下：（1）远程主机收到⽤户的登录请求，把⾃⼰的公钥发给⽤户。

（2）⽤户使⽤这个公钥，将登录密码加密后，发送回来。

（3）远程主机⽤⾃⼰的私钥，解密登录密码，如果密码正确，就同意⽤户登录。

这个过程本⾝是安全的，但是实施的时候存在⼀个风险：如果有⼈截获了登录请求，然后冒充远程主机，将伪造的公钥发给⽤户，那么⽤户很难辨别真伪。

因为不像https协议，SSH协议的公钥是没有证书中⼼（CA）公证的，也就是说，都是⾃⼰签发的。

可以设想，如果攻击者插在⽤户与远程主机之间（⽐如在公共的wifi区域），⽤伪造的公钥，获取⽤户的登录密码。

再⽤这个密码登录远程主机，那么SSH的安全机制就荡然⽆存了。

这种风险就是著名的"中间⼈攻击"。

4、ssh的安全验证SSH有⾃⼰的⼀套验证⽅式，可以阻拦⼤部分的攻击，当然如果有⼈想通过撞库来尝试密码的话，就只有设置防⽕墙或者做其它的安全措施了。

从客户端来看，SSH提供两种级别的安全验证。

（1）第⼀种级别（基于⼝令的安全验证）只要你知道⾃⼰帐号和⼝令，就可以登录到远程主机。

Linux⼊门基础教程转载⾃：1. 1 Linux操作系统简介Linux是⼀套免费使⽤和⾃由传播的类Unix操作系统，是⼀个基于POSIX和UNIX的多⽤户、多任务、⽀持多线程和多CPU的操作系统。

它能运⾏主要的UNIX⼯具软件、应⽤程序和⽹络协议。

它⽀持32位和64位硬件。

Linux继承了Unix以⽹络为核⼼的设计思想，是⼀个性能稳定的多⽤户⽹络操作系统。

1991年的10⽉5⽇，Linux创始⼈林纳斯·托⽡兹（Linus Torvalds）在comp.os.minix新闻组上发布消息，正式向外宣布Linux内核的诞⽣，1994年3⽉，Linux 1.0发布，代码量17万⾏，当时是按照完全⾃由免费的协议发布，随后正式采⽤GPL（General Public License的缩写，是⼀份GNU通⽤公共授权）协议。

Linux具有如下优点：Ø 稳定、免费或者花费少Ø 安全性⾼Ø 多任务，多⽤户Ø 耗资源少Ø 由于内核⼩，所以它可以⽀持多种电⼦产品，如：Android⼿机、PDA等。

1. 2 Linux发展趋势随着IT产业的不断发展，⽤户对⽹站体验要求也越来越⾼，⽽⽬前主流⽹站后端承载系统都是Linux系统，⽬前Android⼿机全部基于Linux内核研发。

企业⼤数据、云存储、虚拟化等先进技术都是基于Linux系统。

2010年据有关权威部门统计：将来⼏年内我国软件⾏业的从业机会⼗分庞⼤，中国每年对软件⼈才的需求将达到50万⼈左右。

⽽对于Linux 专业⼈才的就业前景，更是⼴阔；据悉在未来5-10年内 Linux 专业⼈才的需求将达到 120 万+！尤其是有经验的资深的Linux⼯程师⽬前⾮常的缺乏，薪资也是⾮常诱⼈，平均⽉薪都是15-20K，能⼒强的薪资更⾼。

所以机会对每个⼈都是公平的，关键是我们每个⼈如何去⾏动，选择⼤于努⼒。

1. 3 Linux系统安装在安装Linux系统之前，先来了解windows系统结构，windows系统⼀般是安装在C盘系统盘，同样Linux也有类似的系统盘（/根分区），Linux通常分区为（根分区/、swap分区），Linux系统以⽂件的存储⽅式，所有的⽂件都是存储在某个⽬录下的，类似于windows的⽂件夹。