（中职）Linux 操作系统安全管理学习单元3-1-2 基于等保思想实现Linux系统安全防护ppt课件.pptx

（中职）Linux 操作系统安全管理学习单元3-1-2 基于等保思想实现Linux系统安全防护电子课件工信版项目1 基于等保标准实现Linux主机安全防护任务2 基于等保思想实现Linux系统安全防护学习单元学习单元3 Linux主机安全综合实训主机安全综合实训任务描述Linux是一个多用户、多任务的操作系统，其开源的特性以及良好的稳定性与安全性，使得Linux操作系统被企业广泛用于部署 IT 业务。在传统的IT 构架中，设计者往往过多关注底层的网络互通和上层的应用实现，而对中间层包括主机、操作系统、中间件等考虑较少。在安全事件中，多数恰恰是因为主机层防护措施的薄弱，使得病毒、黑客有了可乘之机。而操作系统的瘫痪或失控，其影响将直接传递到上层的应用和数据。作为IT安全链中的关键环节，该利用什么标准对主机进行安全加固呢？任务分析信息安全技术 网络安全等级保护基本要求2.0版本于2019年12月1日开始实施。等级保护2.0的三级通用要求主机安全部分更名为设备和计算安全，要求其控制点由7项变为6项，要求项由32项变为26项。通过合并及整合相对旧标准略有缩减。针对重要信息系统在设备和计算安全防护层面的各种需求，信息安全技术 网络安全等级保护基本要求从六个方面予以考虑。分别是身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制。任务实施一、身份鉴别身份鉴别主要通过密码复杂度、口令锁定策略等来实现。用户的身份鉴别信息首先应具有不易被冒用的特点，同时口令应有复杂度要求，最后在管理上要求定期更换；口令锁定策略要求系统具有鉴别失败处理功能，当短时间内多次输入错误用户名、密码，要求采取措施锁定相关用户。任务实施（1）通过passwd命令设置密码：passwd username*（密码）。（2）编辑文件/etc/pam.d/system-auth，设定密码复杂度：password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8，要求包含至少1个数字，1个小写字母，1个大写字母，1个特殊字符，最短长度8位。（3）编辑文件/etc/login.defs，设定最长密码使用期限：PASS_ MAX_DAYS 120（密码最长使用天数不超过120天）。（4）编辑文件/etc/pam.d/system-auth，在首行编辑条目如下：auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_ time=180 even_deny_root root_unlock_time=180，当用户（含root）连续输错密码5次时，锁定180秒。任务实施二、访问控制 配置用户的角色，授予用户所需的最小权限，启用访问控制功能，控制用户对资源的访问。1删除或停用多余的、过期的账户 Linux是多用户操作系统，存在很多种不一样的角色系统账号，若是部分用户或用户组不需要时，应当立即删除或锁定他们，否则黑客很有可能利用这些账号对服务器实施攻击。具体保留哪些账号，可以依据服务器的用途来决定。在确认某些账户可以锁定的情况下，可以使用passwd-l user锁定，并通过 passwd-u user解锁。任务实施2授予用户所需的最小权限应用su、sudo命令授予用户所需的最小权限。su命令的作用是对用户进行切换。当管理员登录到系统之后，使用su命令切换到超级用户角色来执行一些需要超级权限的命令。但是由于超级用户的权限过大，同时，需要管理人员知道超级用户密码，因此su命令具有很严重的管理风险。sudo命令允许系统赋予普通用户一些超级权限，并且不需要普通用户切换到超级用户。因此，在管理上应当细化权限分配机制，使用sudo命令为每一位管理员赋予其特定的管理权限。任务实施3启用访问控制功能，控制用户对资源的访问（1）编辑文件/etc/ssh/sshd_config，限制root用户ssh远程登录：修改PermitRootLogin值为no。（2）编辑文件/etc/profile，设置文件与目录默认权限为027，修改完成后重置profile环境为umask027，source/etc/profile。（3）赋予用户最小权限。chmod 644/etc/passwd /etc/group /etc/serviceschmod 400/etc/shadow /etc/gshadowchmod 600/etc/xinetd.conf /etc/security任务实施三、安全审计输入以下命令启用auditd服务，启用日志服务：#service auditd start#service rsyslog start 根据具体的业务需要，在/etc/audit/auditd.conf、/etc/audit/audit.rules 文件里配置审计内容：重要用户行为、系统资源的异常使用和重要系统命令的使用。审计记录：日期和时间、类型、主体；标识、客体标识、事件的结果等。最后根据需要对审计记录进行保护，配置日志访问权限。任务实施四、入侵防范 系统安装的组件和应用程序遵循最小化安装原则，禁用不必要的服务和端口，实时检测入侵行为并报警。（1）定期查看文件/var/log/secure：more/var/log/secure|grep refused，确保不具有非法连接主机的记录。（2）定期查看是否启用不必要的端口：netstat an。（3）定期查看危险的网络服务是否已关闭：service-status-all|grep runing，重点关注 echo、shell、login、finnger等。（4）开启iptables服务并配置相关策略。任务实施五、恶意代码防范 系统应安装网络版防病毒软件，并及时更新软件和病毒库。任务实施六、资源控制 设定终端接入方式、网络地址范围，设置登录终端超时锁定，监控服务器资源使用情况，限制单个用户对系统资源的使用额度。（1）编辑文件/etc/hosts.allow，增加可信终端网段：sshd:192.168.1*:allow，允许192.168.1.0 的整个网段访问ssh 服务进程；编辑文件/etc/hosts.deny，拒绝一切远程访问：ssh:all。（用iptables命令也可实现上述功能）（2）编辑文件/etc/profile，设置登录超时时间：TMOUT=600，export TMOUT，全局 600 秒超时。（3）利用top命令，查看当前资源利用率。（4）查看文件/etc/security/limits.conf，根据实际要求设置资源限制。任务总结本任务参照等级保护主机安全第三级的要求，通过修改CentOS Linux操作系统的默认配置，启用相关安全选项，禁用不必要服务，增加外界安全设备等措施，实现安全加固，提高操作系统安全性，为上层应用安全和数据安全提供基础保障。任务练习见书P182-183THANK YOU