linux系统安全防护大体上分成4个关键部分:
1.文件系统的保护。linux系统就是文件系统,其中的所有设备都是通过文件进行操作和管理的。
2.用户管理安全。linux是多任务,多用户的操作系统,用户的管理直接关系到整个系统的安全。
3.进程保护。所有的***行为都是通过进程实现。
4.日志管理。linux提供了丰富的日志系统,可以清晰的了解系统的运行状况和***的行为。
一)使用tripwire在linux系统中监控属性保证文件系统的安全完整。
下载tripwire tripwire-2.4.2-src.tar.bz2对于2.3.1的版本本身配置的时候会出现许多问题,需要打补丁等一系列问题,所以采用最新版本
[root@localhost ~]# tar -jxvf tripwire-2.4.2-src.tar.bz2
[root@localhost ~]#mv tripwire-2.4.2-src /opt/
[root@localhost ~]# cd /opt/
[root@localhost ~]# cd tripwire-2.4.2-src/
[root@localhost ~]# ./configure
[root@localhost ~]# make
[root@localhost ~]# cd install
[root@localhost ~]# vim install.cfg
[root@localhost ~]# make install
[root@localhost ~]# cat install.sh>install
[root@localhost ~]# chmod a+x install
[root@localhost ~]# tripwire -init
生成初始的基准数据库
[root@localhost ~]# tripwire -check
检查变动。
具体的一些使用方法可以上网查询一些资料,在安装的时候注意几点,在做make install的时候不要在那个目录下而是在其他地方,当中必须键入accept而不能简单的y或n,要求输入密码时是不显示的但还是要输入。
[root@localhost ~]# tripwire --init
Please enter your local passphrase: Parsing policy file: /usr/local/etc/tw.pol Generating the database... *** Processing Unix File System *** The object: "/misc" is on a different file system...ignoring. The object: "/net" is on a different file system...ignoring. The object: "/sys" is on a different file system...ignoring.二)对于进程的安全保护。
linux系统提供了who,w,ps,top等查看进程的调用。
who 参看当前在线上用户的情况。
w who命令的增强版,还可以显示用户正在做哪个命令。
ps 强大的进程查看命令
top 动态的查看进程命令,还可以看cpu等信息。
通过一些进程文件来管理进程。 ls /proc
三)用户账户管理的安全。
通过以下几个方面考虑。
密码复杂度,不能规则,长度要求,定期修改,加密保存密码,账户锁机制。
可以使用john the ripper 测试密码的安全。
linux系统本身通过访问权限的设置就对账号文件的安全考虑的比较完全。
系统的个人环境都是从/etc/skel下文件复制。
四)日志的安全管理。
linux系统的4类主要日志:
1.连接时间日志
管理员通过/va/log/wtmp 和 /var/run/utmp可以看到某人在何时登陆系统
2.进程统计日志
目的是为了系统中的基本服务提供命令来使用统计。pacct或acct。
3.错误日志
/var/log/message值得注意的事件。
4.使用程序日志。
su命令允许用户获得另一个用户的权限,安全很重要,所以sulog,sudolog;
apache服务有access_log和error_log,sendmail有logmail等。
wtmp和utmp是二进制文件不能直接读取。
who可以看到当前用户登录,使用who /var/log/wtmp可以查看以前的记录。
users打印当前登录的用户,可重复。
last可以显示从文件wtmp创建以来登录过的用户。可以last+用户名筛选。
ac 当前登录用户连接时间。
lastlog检查特定的用户上次登录的时间,格式化输出内容。