Linux网关及安全应用.ppt

《Linux网关及安全应用.ppt》由会员分享，可在线阅读，更多相关《Linux网关及安全应用.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、BENET3.0BENET3.0第二学期课程第二学期课程LinuxLinux网关及安全应用网关及安全应用网关及安全应用网关及安全应用课程目标课程目标课程目标课程目标针对针对针对针对LinuxLinux服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固服务器操作系统进行常规安全加固通过部署防火墙、代理等应用构建通过部署防火墙、代理等应用构建通过部署防火墙、代理等应用构建通过部署防火墙、代理等应用构建LinuxLinux网关系统网关系统网关系统网关系统检测服务器的安全漏洞，实施远程访问控制检测服务器的安全漏洞，实施远程访问控制检测服务器的安全漏洞，实施远程访

2、问控制检测服务器的安全漏洞，实施远程访问控制监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量监测服务器运行性能、局域网主机的网络流量2 2课程结构课程结构课程结构课程结构第一部分第一部分第二部分第二部分第三部分第三部分优化服务器系统安全优化服务器系统安全用户帐号安全管理、文件用户帐号安全管理、文件及文件系统权限安全、进及文件系统权限安全、进程程/程序安全的使用、系程序安全的使用、系统引导和终端登录安全统引导和终端登录安全 构建构建Linux网关网关iptables防火墙的过滤策防火墙的过滤策略、网关应用策略、略、网关应用策

3、略、squid代理服务器及用户代理服务器及用户上网控制上网控制网络安全应用与监测网络安全应用与监测常用扫描和嗅探工具的常用扫描和嗅探工具的使用、服务器漏洞检测、使用、服务器漏洞检测、远程登录管理及访问控远程登录管理及访问控制、监控服务器性能和制、监控服务器性能和流量、监控局域网流量流量、监控局域网流量第第1章章第第24章章第第56章章3 3BENET3.0BENET3.0第二学期课程第二学期课程第一章第一章第一章第一章 系统安全常规优化系统安全常规优化系统安全常规优化系统安全常规优化 理论部分理论部分技能展示技能展示技能展示技能展示会加强用户帐号安全的常见措施会加强用户帐号安全的常见措施会加强

4、用户帐号安全的常见措施会加强用户帐号安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强文件系统安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施会加强系统引导和登录安全的常见措施5 5本章结构本章结构本章结构本章结构用户帐号安全用户帐号安全优化优化基本安全措施基本安全措施 开关机安全控制开关机安全控制 GRUB引导菜单加密引导菜单加密使用使用su切换用户身份切换用户身份终端及登录控制终端及登录控制使用使用sudo提升执行权限提升执行权限系统安全常规优化系统安全常规优化文件和文

5、件系文件和文件系统安全优化统安全优化系统引导和登系统引导和登录安全优化录安全优化文件系统级安全控制文件系统级安全控制安全使用应用程序和服务安全使用应用程序和服务6 6用户帐号安全优化用户帐号安全优化用户帐号安全优化用户帐号安全优化帐号安全基本措施帐号安全基本措施帐号安全基本措施帐号安全基本措施删除不使用的帐号、禁用暂时不使用的帐号删除不使用的帐号、禁用暂时不使用的帐号删除不使用的帐号、禁用暂时不使用的帐号删除不使用的帐号、禁用暂时不使用的帐号检查程序用户的登录检查程序用户的登录检查程序用户的登录检查程序用户的登录ShellShell是否异常是否异常是否异常是否异常强制用户定期修改密码（设置密码

6、有效期）强制用户定期修改密码（设置密码有效期）强制用户定期修改密码（设置密码有效期）强制用户定期修改密码（设置密码有效期）pp /etc/etc/login.defslogin.defs文件、文件、chagechage命令命令增强普通用户的密码强度增强普通用户的密码强度增强普通用户的密码强度增强普通用户的密码强度pp /etc/etc/pam.dpam.d/system-auth/system-auth文件中的文件中的minlenminlen参数参数减少记录命令历史的条数减少记录命令历史的条数减少记录命令历史的条数减少记录命令历史的条数pp 环境变量环境变量 HISTSIZEHISTSIZE设

7、置在命令行界面中超时自动注销设置在命令行界面中超时自动注销设置在命令行界面中超时自动注销设置在命令行界面中超时自动注销pp 环境变量环境变量 TMOUTTMOUT教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程7 7使用使用使用使用susu切换用户身份切换用户身份切换用户身份切换用户身份susu命令命令命令命令用途：用途：用途：用途：Substitute UserSubstitute User，切换为新的替换用户身份，切换为新的替换用户身份，切换为新的替换用户身份，切换为新的替换用户身份格式：格式：格式：格式：susu -用户名用户名用户名用户名

8、 zhangsanlocalhost$su-口令：口令：rootlocalhost#whoamiroot未指定用户时，缺省未指定用户时，缺省切换为切换为rootrootlocalhost#su-zhangsanzhangsanlocalhost$pwd/home/zhangsanrootlocalhost#su zhangsanzhangsanlocalhost root$pwd/root未使用未使用“-”选项时，仍选项时，仍沿用原来用户的环境沿用原来用户的环境8 8使用使用使用使用susu切换用户身份切换用户身份切换用户身份切换用户身份应用示例：应用示例：应用示例：应用示例：仅允许仅允许仅允

9、许仅允许zhangsanzhangsan用户使用用户使用用户使用用户使用susu命令切换身份命令切换身份命令切换身份命令切换身份rootlocalhost#vi/etc/pam.d/suauth required pam_wheel.so use_uidrootlocalhost#gpasswd-a zhangsan wheel教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程去掉此行行首的去掉此行行首的“#”9 9使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限sudosudo机制机制机制机制用途：以可替换的其他用

10、户身份执行命令，若未指定用途：以可替换的其他用户身份执行命令，若未指定用途：以可替换的其他用户身份执行命令，若未指定用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为目标用户，默认将视为目标用户，默认将视为目标用户，默认将视为rootroot用户用户用户用户格式：格式：格式：格式：sudosudo -u -u 用户名用户名用户名用户名 命令操作命令操作命令操作命令操作rootlocalhost#sudo-u zhangsan/bin/touch/tmp/sudotest.filerootlocalhost#ls-l/tmp/sudotest.file-rw-r-r-1 zhan

11、gsan zhangsan 0 05-26 09:09/tmp/sudotest.file以以 zhangsan 用户身用户身份创建的文件属性份创建的文件属性1010使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限配置文件：配置文件：配置文件：配置文件：/etc/etc/sudoerssudoers授权哪些用户可以通过授权哪些用户可以通过授权哪些用户可以通过授权哪些用户可以通过sudosudo方式执行哪些命令方式执行哪些命令方式执行哪些命令方式执行哪些命令以下以下以下以下2 2种方法都可以编辑种方法都可以编辑种方法都可以编辑种方法都可以编辑sudoerssudo

12、ers文件文件文件文件visudovisudovi /etc/vi /etc/sudoerssudoers1111使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限在在在在sudoerssudoers文件中的基本配置格式文件中的基本配置格式文件中的基本配置格式文件中的基本配置格式用户用户用户用户 主机名列表主机名列表主机名列表主机名列表=命令程序列表命令程序列表命令程序列表命令程序列表rootlocalhost#grep root/etc/sudoersroot ALL=(ALL)ALL被授权的用户被授权的用户在哪些主机中使用在哪些主机中使用允许执行哪些命令允许执

13、行哪些命令针对针对针对针对rootroot用户的用户的用户的用户的sudosudo配置特例配置特例配置特例配置特例允许以哪些用户的身份执允许以哪些用户的身份执行命令，缺省为行命令，缺省为root1212使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例1 1：需求描述：需求描述：需求描述：需求描述：pp 允许允许用户用户mikeymikey通过通过sudosudo执行执行/sbinsbin、/usr/binusr/bin目录下的所有命目录下的所有命令，但是禁止调用令，但是禁止调用ifconfigifconfig、vimvim命令命令

14、pp 授权授权wheelwheel组的用户不需验证密码即可执行所有命令组的用户不需验证密码即可执行所有命令pp 为为sudosudo机制增加日志功能机制增加日志功能rootlocalhost#visudoDefaults logfile=/var/log/sudomikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim%wheel ALL=(ALL)NOPASSWD:ALLrootlocalhost#vi/etc/syslog.conf local2.debug/var/log/sudo1313使用使用使用使用s

15、udosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例1 1（续）：（续）：（续）：（续）：测试测试测试测试sudosudo配置的效果配置的效果配置的效果配置的效果pp 查看允许执行的命令列表（查看允许执行的命令列表（-l-l选项）选项）pp 通过通过sudosudo执行命令（执行命令（sudosudo 命令行）命令行）pp 清除用户密码验证的时间戳（清除用户密码验证的时间戳（-k-k）pp 重新校验密码（重新校验密码（-v-v）教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程1414使用使用使用使用sud

16、osudo提升执行权限提升执行权限提升执行权限提升执行权限为为为为sudosudo配置项定义别名配置项定义别名配置项定义别名配置项定义别名关键字：关键字：关键字：关键字：User_AliasUser_Alias、Host_AliasHost_Alias、Cmnd_AliasCmnd_Alias在在在在sudosudo配置行中，可以调用已经定义的别名配置行中，可以调用已经定义的别名配置行中，可以调用已经定义的别名配置行中，可以调用已经定义的别名rootlocalhost#visudoUser_Alias OPERATORS=jerry,tom,tsengyiaHost_Alias MAILSER

17、VERS=mail,smtp,popCmnd_Alias SOFTWARE=/bin/rpm,/usr/bin/yumOPERATORS MAILSERVERS=SOFTWARE1515使用使用使用使用sudosudo提升执行权限提升执行权限提升执行权限提升执行权限应用示例应用示例应用示例应用示例2 2：设立组帐号设立组帐号设立组帐号设立组帐号“managers”managers”，授权组内的各成员用户可，授权组内的各成员用户可，授权组内的各成员用户可，授权组内的各成员用户可以添加、删除、更改用户帐号以添加、删除、更改用户帐号以添加、删除、更改用户帐号以添加、删除、更改用户帐号推荐步骤：推荐步

18、骤：推荐步骤：推荐步骤：pp 创建管理组帐号创建管理组帐号“managers”managers”pp 将管理员帐号（如将管理员帐号（如zhangsanzhangsan、lisilisi）加入到）加入到managersmanagers组组pp 配置配置sudosudo文件，针对文件，针对managersmanagers组放开对组放开对useradduseradd、userdeluserdel等等用户管理命令的权限用户管理命令的权限pp 使用使用zhangsanzhangsan帐号登录后，验证是否可以添加、删除用户帐号登录后，验证是否可以添加、删除用户教员演示操作过程教员演示操作过程教员演示操作过

19、程教员演示操作过程教员演示操作过程教员演示操作过程1616小结小结小结小结请思考：请思考：请思考：请思考：如何使系统用户定期（如如何使系统用户定期（如如何使系统用户定期（如如何使系统用户定期（如3 3个月）修改密码？个月）修改密码？个月）修改密码？个月）修改密码？使用使用使用使用susu命令时，是否带命令时，是否带命令时，是否带命令时，是否带“-”-”选项有何区别选项有何区别选项有何区别选项有何区别？sudosudo配置记录的基本格式是什么？配置记录的基本格式是什么？配置记录的基本格式是什么？配置记录的基本格式是什么？如何通过如何通过如何通过如何通过sudosudo调用被授权执行的命令？调用被

20、授权执行的命令？调用被授权执行的命令？调用被授权执行的命令？1717文件系统级安全控制文件系统级安全控制文件系统级安全控制文件系统级安全控制合理规划系统分区合理规划系统分区合理规划系统分区合理规划系统分区/boot/boot、/home/home、/varvar、/opt/opt 等建议单独分区等建议单独分区等建议单独分区等建议单独分区文件系统（分区）的挂载选项文件系统（分区）的挂载选项文件系统（分区）的挂载选项文件系统（分区）的挂载选项mountmount命令的命令的命令的命令的 -o-o nosuidnosuid、-o-o noexecnoexec 选项选项选项选项锁定文件的锁定文件的锁定

21、文件的锁定文件的i i节点节点节点节点chattrchattr命令、命令、命令、命令、lsattrlsattr命令命令命令命令教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程1818安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务关闭不需要的系统服务关闭不需要的系统服务关闭不需要的系统服务关闭不需要的系统服务使用使用使用使用ntsysvntsysv、chkconfigchkconfig管理工具管理工具管理工具管理工具禁止普通用户执行禁止普通用户执行禁止普通用户执行禁止普通用户执行init.dinit.d目录

22、中的脚本目录中的脚本目录中的脚本目录中的脚本限制限制限制限制“other”other”组的权限组的权限组的权限组的权限禁止普通用户执行控制台程序禁止普通用户执行控制台程序禁止普通用户执行控制台程序禁止普通用户执行控制台程序consolehelperconsolehelper控制台助手控制台助手控制台助手控制台助手配置目录：配置目录：配置目录：配置目录：/etc/security/etc/security/console.appsconsole.apps/rootlocalhost#cd/etc/security/console.apps/rootlocalhost#tar zcpvf conp

23、w.tgz poweroff halt reboot-remove转移对应的配置文件转移对应的配置文件1919安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务去除程序文件中非必需的去除程序文件中非必需的去除程序文件中非必需的去除程序文件中非必需的setset位权限位权限位权限位权限set set uiduid、set set gidgid的用途？有何隐患？的用途？有何隐患？的用途？有何隐患？的用途？有何隐患？如何找出设置了如何找出设置了如何找出设置了如何找出设置了setset位权限的文件位权限的文件位权限的文件位权限的文件?rootlocalhost#l

24、s-lh$(find/-type f-perm+6000)rootlocalhost#find/-type f-perm+6000-exec ls-lh ;或者或者或者或者2020安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务安全使用应用程序和服务应用示例：应用示例：应用示例：应用示例：监控系统中新增了哪些使用监控系统中新增了哪些使用监控系统中新增了哪些使用监控系统中新增了哪些使用setset位权限的文件位权限的文件位权限的文件位权限的文件推荐步骤：推荐步骤：推荐步骤：推荐步骤：pp 建立系统正常状态下的建立系统正常状态下的suid/sgidsuid/sgid文件列表文件列

25、表pp 查找当前系统中所有的查找当前系统中所有的suid/sgidsuid/sgid文件列表文件列表pp 比较前后结果，输出新增加的内容比较前后结果，输出新增加的内容pp 编写脚本文件实现比对功能编写脚本文件实现比对功能pp 可以结合可以结合croncron设置计划任务定期进行检查设置计划任务定期进行检查#!/bin/bashOLD_LIST=/etc/sfilelistfor i in find/-type f-a-perm+6000do grep-F$i$OLD_LIST /dev/null$?-ne 0&ls-lh$idonesuid/sgid文件列表比对文件列表比对教员演示操作过程教员

26、演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程2121开关机安全控制开关机安全控制开关机安全控制开关机安全控制服务器的物理安全控制服务器的物理安全控制服务器的物理安全控制服务器的物理安全控制调整调整调整调整BIOSBIOS引导设置引导设置引导设置引导设置修改启动顺序修改启动顺序修改启动顺序修改启动顺序设置管理密码设置管理密码设置管理密码设置管理密码禁用禁用禁用禁用Ctrl+Alt+DelCtrl+Alt+Del重启热键重启热键重启热键重启热键修改修改修改修改/etc/etc/inittabinittab文件，并执行文件，并执行文件，并执行文件，并执行“init q

27、”init q”重载配置重载配置重载配置重载配置2222GRUBGRUB引导菜单加密引导菜单加密引导菜单加密引导菜单加密加密引导菜单的作用加密引导菜单的作用加密引导菜单的作用加密引导菜单的作用修改启动参数时需要验证密码修改启动参数时需要验证密码修改启动参数时需要验证密码修改启动参数时需要验证密码进入所选择的系统前需要验证密码进入所选择的系统前需要验证密码进入所选择的系统前需要验证密码进入所选择的系统前需要验证密码在在在在grub.confgrub.conf文件中设置密码的方式文件中设置密码的方式文件中设置密码的方式文件中设置密码的方式password password 明文密码串明文密码串明文

28、密码串明文密码串password -md5 password -md5 加密密码串加密密码串加密密码串加密密码串密码设置行的位置密码设置行的位置密码设置行的位置密码设置行的位置全局部分（第一个全局部分（第一个全局部分（第一个全局部分（第一个“title”title”之前）之前）之前）之前）系统引导参数部分（每个系统引导参数部分（每个系统引导参数部分（每个系统引导参数部分（每个“title”title”部分之后）部分之后）部分之后）部分之后）2323default=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword-md5$1$Qq1

29、5d$bEjy8VeMCrNcIJCEESqyY/title Red Hat Enterprise Linux Server(2.6.18-8.el5)password 123456 root(hd0,0)GRUBGRUB引导菜单加密引导菜单加密引导菜单加密引导菜单加密grub.confgrub.conf文件中的加密配置行示例文件中的加密配置行示例文件中的加密配置行示例文件中的加密配置行示例限制进入该系统限制进入该系统限制修改引导参数限制修改引导参数获得获得获得获得MD5MD5加密格式的密码字符串加密格式的密码字符串加密格式的密码字符串加密格式的密码字符串grub-md5-cryptgrub-

30、md5-crypt教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程教员演示操作过程2424本地终端及登录控制本地终端及登录控制本地终端及登录控制本地终端及登录控制立即禁止普通用户登录立即禁止普通用户登录立即禁止普通用户登录立即禁止普通用户登录/etc/etc/nologinnologin设置启用哪些设置启用哪些设置启用哪些设置启用哪些ttytty终端终端终端终端/etc/etc/inittabinittab控制允许控制允许控制允许控制允许rootroot用户登录的终端用户登录的终端用户登录的终端用户登录的终端/etc/etc/securettysecuretty

31、更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息更改系统登录提示，隐藏系统版本信息/etc/issue/etc/issue、/etc/etc/2525rootlocalhost#vi/etc/security/access.conf-:ALL EXCEPT root:tty1-:root:192.168.1.0/24 172.16.0.0/8本地终端及登录控制本地终端及登录控制本地终端及登录控制本地终端及登录控制pam_accesspam_access认证控制认证控制认证控制认证控制配置文件：配置文件：配置文件：配置文件：/etc/etc/

32、pam.dpam.d/loginloginpp account required account required pam_access.sopam_access.so配置文件：配置文件：配置文件：配置文件：/etc/security/etc/security/access.confaccess.confpp 权限权限 用户用户 来源来源禁止普通用户从禁止普通用户从tty1终终端登录端登录禁止禁止root用户从指定用户从指定网段远程登录网段远程登录2626本章总结本章总结本章总结本章总结用户帐号安全用户帐号安全优化优化基本安全措施基本安全措施 开关机安全控制开关机安全控制 GRUB引导菜单加密

33、引导菜单加密使用使用su切换用户身份切换用户身份终端及登录控制终端及登录控制使用使用sudo提升执行权限提升执行权限系统安全常规优化系统安全常规优化文件和文件系文件和文件系统安全优化统安全优化系统引导和登系统引导和登录安全优化录安全优化文件系统级安全控制文件系统级安全控制安全使用应用程序和服务安全使用应用程序和服务2727BENET3.0BENET3.0第二学期课程第二学期课程第一章第一章第一章第一章 系统安全常规优化系统安全常规优化系统安全常规优化系统安全常规优化 上机部分上机部分实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限控制用户权

34、限控制用户权限控制用户权限需求描述需求描述需求描述需求描述susu 身份切换限制身份切换限制身份切换限制身份切换限制pp 允许远程管理用户允许远程管理用户radminradmin执行执行“susu-”-”命令切换到命令切换到rootroot用户用户pp禁止其他所有用户使用禁止其他所有用户使用susu命令切换身份命令切换身份sudosudo 执行权限切换限制执行权限切换限制执行权限切换限制执行权限切换限制pp zhangsanzhangsan 负责公司员工的帐号管理，允许其通过负责公司员工的帐号管理，允许其通过sudosudo方式添方式添加加/删除删除/用户及修改用户相关信息（包括密码），但是不

35、允许用户及修改用户相关信息（包括密码），但是不允许其修改其修改rootroot用户的密码等信息用户的密码等信息pp 允许允许lisilisi通过通过sudosudo方式执行方式执行/sbinsbin、/usr/sbinusr/sbin目录下所有命令，目录下所有命令，并且不需要密码验证并且不需要密码验证pp 任何用户通过任何用户通过sudosudo执行的每一条命令，以日志记录的形式写执行的每一条命令，以日志记录的形式写入到文件入到文件/var/log/sudovar/log/sudo中中2929实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限

36、控制用户权限控制用户权限控制用户权限实现思路实现思路实现思路实现思路配置配置配置配置susu功能限制功能限制功能限制功能限制pp 启用启用PAMPAM设置设置“auth required auth required pam_wheel.sopam_wheel.so use_uiduse_uid”pp 将将radminradmin用户加入到用户加入到wheelwheel组组配置配置配置配置sudosudo功能限制功能限制功能限制功能限制pp 注意符号注意符号“*”“*”、“!”!”的灵活运用的灵活运用启用启用启用启用sudosudo日志支持日志支持日志支持日志支持pp visudovisudo，

37、“Defaults Defaults logfilelogfile=“/=“/var/log/sudovar/log/sudo”pp syslog.confsyslog.conf，“local2.debug /local2.debug /var/log/sudovar/log/sudo”验证限制结果验证限制结果验证限制结果验证限制结果3030实验案例实验案例实验案例实验案例1 1：使用：使用：使用：使用su/sudosu/sudo控制用户权限控制用户权限控制用户权限控制用户权限学员练习学员练习学员练习学员练习4040分钟内完成分钟内完成3131实验案例实验案例实验案例实验案例2 2：系统引导和

38、登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固需求描述需求描述需求描述需求描述引导安全控制引导安全控制引导安全控制引导安全控制pp 禁止非授权用户使用系统启动盘从光盘引导系统禁止非授权用户使用系统启动盘从光盘引导系统pp 禁止非授权用户通过单用户模式引导进入系统禁止非授权用户通过单用户模式引导进入系统pp 防止普通用户获取防止普通用户获取grubgrub密码、防止密码、防止grub.confgrub.conf文件被无意中修文件被无意中修改或删除改或删除终端登录控制终端登录控制终端登录控制终端登录控制pp 在服务器本地仅开放在服务器本地仅开放tty1tty1

39、、tty2tty2控制台终端控制台终端pp rootroot用户只能从用户只能从tty1tty1登录，其他普通用户只能从登录，其他普通用户只能从tty2tty2登录登录屏蔽掉屏蔽掉屏蔽掉屏蔽掉Ctrl+Alt+DelCtrl+Alt+Del热键重启功能热键重启功能热键重启功能热键重启功能在使用在使用在使用在使用shellshell终端时，超过终端时，超过终端时，超过终端时，超过5 5分钟无操作则自动注销分钟无操作则自动注销分钟无操作则自动注销分钟无操作则自动注销3232实验案例实验案例实验案例实验案例2 2：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录

40、安全加固实现思路实现思路实现思路实现思路设置系统引导及设置系统引导及设置系统引导及设置系统引导及grubgrub控制控制控制控制pp 为为BIOSBIOS设置密码设置密码pp 使用使用 grub-md5-crypt grub-md5-crypt 生成生成MD5MD5加密的密码字串加密的密码字串设置设置设置设置ttytty终端控制终端控制终端控制终端控制设置设置设置设置ShellShell自动注销（自动注销（自动注销（自动注销（TMOUTTMOUT环境变量）环境变量）环境变量）环境变量）验证实验结果验证实验结果验证实验结果验证实验结果3333实验案例实验案例实验案例实验案例2 2：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固：系统引导和登录安全加固学员练习学员练习学员练习学员练习4040分钟内完成分钟内完成34343535