目錄

簡介?6

使用對象?6

適用范圍?6

指導解釋?6

用詞約定?6

術語解釋?7

1?權限管理?8

1.1?權限最小化?8

1.1.1? 禁止直接使用root賬號登錄Linux系統?8

1.1.2? 除有明確特權需求，應用程序應以非root賬號運行?9

1.1.3? 采用不同權限的帳號運行不同的應用并對帳號進行權限分離?9

1.1.4? 在運行時有特權需求的程序，在特權操作完后如后續無特權需求，必須使用setuid放棄特權?10

1.1.5? 使用sudo機制代替以root帳號登錄運行特權程序的方式。?11

1.1.6? 應對允許使用su到root帳號的用戶進行明確授權，非授權用戶不能切換到root?11

1.1.7? 使用POSIX Capabilities功能避免直接使用root權限?12

1.2?文件和目錄權限?14

1.2.1?系統中禁止有無主文件存在?14

1.2.2? 除有明確需求，應刪除文件不必要的setuid和setgid位?14

1.2.3?應為系統用戶設置缺省的umask值?15

1.2.4? 使用特殊屬性位Sticky位對共享目錄權限進行控制?16

1.2.5? 利用特殊文件屬性Append-only位保護系統命令行歷史日志文件，防止內容被篡改?16

2?訪問控制?18

2.1?自主訪問控制?18

2.1.1? 使用POSIX ACL進行更細粒度的訪問控制?18

2.2?強制訪問控制?20

2.2.1? Linux系統上應安裝強制訪問控制系統作為應急的安全訪問控制手段?20

3?記錄和審計?22

3.1?監測、記錄和審計?22

3.1.1?啟用inotify監控機制，以文件系統事件進行安全監控?22

3.1.2?使用Auditd組件對系統中的重要目錄或文件進行審計?24

4?認證?26

4.1?口令和賬號?26

4.1.1? 使用shadow套件對系統賬號口令進行分離保護?26

4.1.2?Linux系統必須使用shadow套件對當前暫時不使用的賬號進行鎖定或登錄限制?27

4.1.3?使用shadow套件對系統口令的時效進行限制?29

4.2?可插拔認證模塊(PAM)?29

4.2.1?使用PAM模塊增強認證管理?29

5?文件系統保護?31

5.1?日志文件保護?31

5.1.1? 應將操作系統日志發送至外部服務器單獨存儲，確保日志不被篡改?31

5.2?文件系統加密?31

5.2.1?對含有重要信息的文件目錄或分區進行加密處理?31

5.3?分區和掛載?32

5.3.1?對于系統中的重要目錄必須根據存儲目的不同進行分區隔離?32

5.3.2?使用fstab對外接、日志存儲分區進行訪問控制。?32

5.3.3?禁用自動工具對移動存儲設備進行掛載?33

6?網絡防護?34

6.1?網絡防護能力?34

6.1.1? 使用sysctl工具增強系統網絡防護能力?34

6.1.2? 使用iptables對系統中不使用的端口進行限制?35

6.2?限制網絡服務?35

6.2.1? 遠程訪問需使用SSH取代telnet?35

6.2.2? 系統中不應安裝不安全的傳統網絡服務?35

7?漏洞攻擊防護?37

7.1?地址隨機化?37

7.1.1? 使用Linux自帶的ASLR功能(地址空間布局隨機化)增強漏洞攻擊防護能力?37

7.2?數據執行防護?37

7.2.1? 系統必須使用DEP防護手段提升漏洞攻擊防護能力?37

7.2.2? 使用棧保護機制?38

7.3?增強性安全防護?39

7.3.1? 使用Grsecurity增強Linux系統的安全防護能力?39

7.3.2? 使用PaX提升系統攻擊防護能力?40

8?完整性保護?43

8.1?文件完整性檢查?43

8.1.1? 使用IMA工具對系統文件的完整性進行檢查?43

9?安全隔離和容器?44

9.1?安全隔離?44

9.1.1? 對于開放給第三方的shell環境，應使用隔離技術對其可訪問的系統資源進行隔離?44

9.1.2? 對于系統中運行的第三方應用，需使用控制組或容器等技術手段將其于系統關鍵資源進行隔離。?46

10?其他?47

10.1?額外系統功能限制?47

10.1.1? 對core dump功能的使用進行限制?47

10.1.2? 關閉SysRq鍵的使用?47

10.1.3? 應對bootloader開啟引導裝載密碼?48

10.1.4? 使用ulimit工具限制用戶可以打開文件個數?48

11?設計樣例?50

..............................

總結

以上是生活随笔為你收集整理的Linux安全培训 ppt,Linux安全应用指导培训资料(doc 50页)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。