您現在的位置: 18luck新利全站下载 >> 生產管理>> 安全生產>> 資料信息

Linux安全應用指導培訓資料(doc 50頁)

所屬分類:
安全生產
文件大小:
4037 KB
下載地址:
相關資料:
linux, 安全應用, 應用指導, 培訓資料
Linux安全應用指導培訓資料(doc 50頁)內容簡介

目錄
簡介 6
使用對象 6
適用範圍 6
指導解釋 6
用詞約定 6
術語解釋 7
1 權限管理 8
1.1 權限最小化 8
1.1.1 禁止直接使用root賬號登錄Linux係統 8
1.1.2 除有明確特權需求,應用程序應以非root賬號運行 9
1.1.3 采用不同權限的帳號運行不同的應用並對帳號進行權限分離 9
1.1.4 在運行時有特權需求的程序,在特權操作完後如後續無特權需求,必須使用setuid放棄特權 10
1.1.5 使用sudo機製代替以root帳號登錄運行特權程序的方式。 11
1.1.6 應對允許使用su到root帳號的用戶進行明確授權,非授權用戶不能切換到root 11
1.1.7 使用POSIX Capabilities功能避免直接使用root權限 12
1.2 文件和目錄權限 14
1.2.1 係統中禁止有無主文件存在 14
1.2.2 除有明確需求,應刪除文件不必要的setuid和setgid位 14
1.2.3 應為係統用戶設置缺省的umask值 15
1.2.4 使用特殊屬性位Sticky位對共享目錄權限進行控製 16
1.2.5 利用特殊文件屬性Append-only位保護係統命令行曆史日誌文件,防止內容被篡改 16
2 訪問控製 18
2.1 自主訪問控製 18
2.1.1 使用POSIX ACL進行更細粒度的訪問控製 18
2.2 強製訪問控製 20
2.2.1 Linux係統上應安裝強製訪問控製係統作為應急的安全訪問控製手段 20
3 記錄和審計 22
3.1 監測、記錄和審計 22
3.1.1 啟用inotify監控機製,以文件係統事件進行安全監控 22
3.1.2 使用Auditd組件對係統中的重要目錄或文件進行審計 24
4 認證 26
4.1 口令和賬號 26
4.1.1 使用shadow套件對係統賬號口令進行分離保護 26
4.1.2 Linux係統必須使用shadow套件對當前暫時不使用的賬號進行鎖定或登錄限製 27
4.1.3 使用shadow套件對係統口令的時效進行限製 29
4.2 可插拔認證模塊(PAM) 29
4.2.1 使用PAM模塊增強認證管理 29
5 文件係統保護 31
5.1 日誌文件保護 31
5.1.1 應將操作係統日誌發送至外部服務器單獨存儲,確保日誌不被篡改 31
5.2 文件係統加密 31
5.2.1 對含有重要信息的文件目錄或分區進行加密處理 31
5.3 分區和掛載 32
5.3.1 對於係統中的重要目錄必須根據存儲目的不同進行分區隔離 32
5.3.2 使用fstab對外接、日誌存儲分區進行訪問控製。 32
5.3.3 禁用自動工具對移動存儲設備進行掛載 33
6 網絡防護 34
6.1 網絡防護能力 34
6.1.1 使用sysctl工具增強係統網絡防護能力 34
6.1.2 使用iptables對係統中不使用的端口進行限製 35
6.2 限製網絡服務 35
6.2.1 遠程訪問需使用SSH取代telnet 35
6.2.2 係統中不應安裝不安全的傳統網絡服務 35
7 漏洞攻擊防護 37
7.1 地址隨機化 37
7.1.1 使用Linux自帶的ASLR功能(地址空間布局隨機化)增強漏洞攻擊防護能力 37
7.2 數據執行防護 37
7.2.1 係統必須使用DEP防護手段提升漏洞攻擊防護能力 37
7.2.2 使用棧保護機製 38
7.3 增強性安全防護 39
7.3.1 使用Grsecurity增強Linux係統的安全防護能力 39
7.3.2 使用PaX提升係統攻擊防護能力 40
8 完整性保護 43
8.1 文件完整性檢查 43
8.1.1 使用IMA工具對係統文件的完整性進行檢查 43
9 安全隔離和容器 44
9.1 安全隔離 44
9.1.1 對於開放給第三方的shell環境,應使用隔離技術對其可訪問的係統資源進行隔離 44
9.1.2 對於係統中運行的第三方應用,需使用控製組或容器等技術手段將其於係統關鍵資源進行隔離。 46
10 其他 47
10.1 額外係統功能限製 47
10.1.1 對core dump功能的使用進行限製 47
10.1.2 關閉SysRq鍵的使用 47
10.1.3 應對bootloader開啟引導裝載密碼 48
10.1.4 使用ulimit工具限製用戶可以打開文件個數 48
11 設計樣例 50


..............................

Baidu
map