基于Linux系统的安全策略
[摘 要] Linux系统使用越来越广泛,关系Linux的安全越来越受到人们的重视,本文结合笔者在Linux系统安全管理方面的一些经验体会,从账户、密码策略、文件权限,日志管理、远程访问等5个方面,对linux系统安全谈谈自己的体会,供大家参考。
[关键词] LINUX 账号 密码 日志 一、引言 随着Internet/Intranet网络的日益普及,Linux作为一个现代的操作系统,正在各个方面得到广泛的应用。
Linux在服务器、嵌入式等方面已经取得不俗的成绩,在桌面系统方面,也逐渐受到欢迎。
于是Linux的安全问题也逐渐受到人们的重视。
Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux系统,或者盗取Linux系统上的重要信息。
因此,详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
针对Linux的基本安全防护,笔者这里稍做介绍。
二、Linux系统的安全策略 1.Linux系统的用户账号策略 管理员的工作中,相当重要的一环就是管理账号。
在管理 Linux 主机的账号时,一个最重要的方面就是确保每一个UID仅仅使用一次。
另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system—auth,添加下面两句可以设置账户最多连续登陆5次,超过5次账户将被锁定,只有管理员才能帮助解锁。
auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求 (1)口令时效和口令长度的设置。
口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。
对用户来说,这可能带来了一些麻烦,但是它确保了口令会定期进行更改,是一项很好的安全措施。
默认情况下,绝大多数的Linux版本并没有打开口令时效,不过要想打开却非常简单。
通过编辑/etc/login.defs,你可以指定几个参数,来设置口令实效和口令长度的默认设定: PASS_MAX_DAYS99999 PASS_MIN_DAYS 0 PASS_MIN_LEN5 PASS_WARN_AGE7 当设置口令时效的天数为99999时,实际上相当于关闭了口令时效。
PASS_MIN_DAYS参数则设定了在本次密码修改后,下次允许更改密码之前所需的最少天数。
PASS_MIN_LEN是指密码设置的最小长度,一般定义为8位以上。
PASS_WARN_AGE的设定则指明了在口令失效前多少天开始通知用户更改密码(一般在用户刚刚登陆系统时就会收到警告通知)。
(2)控制密码使用频率。
控制适度的密码重用频率,也可以为密码的安全策略提供良好的保护,可以通过编辑/etc/pam.d/system—auth设定密码重用。
password required pam_unix.so remember=3 use_authtok md5 shadow 或者 password sufficient pam_unix.so remember=3 use_authtok md5 shadow。