Linux系统安全总览

1、BIOS安全：

a、开机启动顺序（防止恶意用户通过光驱启动）
b、设置进入BIOS时密码和BIOS方式的开机密码。

2、GRUB安全：

a、设置进行单用户密码和进入系统时密码，密码采肜mdd5方式加密。可以通过/sbin/grup-md5-crypt获取指定密码的md5加密值。
cat /etc/grub.conf

default=0
timeout=5
password --md5 md5密文 ---在此加入表示进入下列两个系统单用户或编辑grub时需要输入密码
#splashimage=(hd0,6)/boot/grub/splash.xpm.gz
hiddenmenu
title Fedora Core (2.6.11-1.1369_FC4)
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img
password --md5 md5密文 ---此处的密码是在进入系统时提示用户输入的，可以结合前一个密码一起使用或单独使用。
title FC4
root (hd0,6)
kernel /boot/vmlinuz-2.6.11-1.1369_FC4 ro root=LABEL=/
initrd /boot/initrd-2.6.11-1.1369_FC4.img

更多关于grub信息请参考:http://www.linuxsir.org/main/?q=node/129

3、系统启动检查

系统日志文件位于/var/log目录。与系统启动有关的文件有boot.log，dmesg。/boot主要显示了系统开机及服务的开启和关闭等信息，在功能在RHEL5下已经被取消，dmesg用于读取系统开机时保存的信息，开机信息保存于/proc/kmsg文件中，可以通过dmesg命令直接显示其内容或者通过文件查看命令如more kmesg读取其内容，也可以与grep命令联合使用，如dmesg| grep 'eth',表示查看文件中的所有eth的信息。

a、检查内核版本是否匹配：检查dmesg中系统信息和uname -a得出的系统信息是否一致。
b、检查内存是否一致：grep -i mem /var/log/dmesg和free命令。

c、检查CPU信息：grep -i cpu dmesg

d、检查硬件信息

e、检查网络接口

4、init（/etc/inittab）

设置开机启动级别，禁用ctrl+alt+del，指定系统初始化文件，系统启动时对应的程序状态目录（如/etc/rc.d/rc3.d,K代表该程序不随系统开机而启动，S代表程序随系统启动而启动）,
/etc/inittab文件中常见动作如下：

initdefault: 该配置项指定系统的默认运行级。
respawn: 该配置项所指定的进程如果被结束，则重新启动该进程。
wait: 该配置项指定的进程在运行结束之前不要执行下一条配置项。
once: 切换到对应的运行级之后，仅执行指定的进程一次。
sysinit: 无论以什么运行级启动，系统启动时都要执行该配置项指定的进程。
boot: 仅在系统启动时执行一次。
bootwait: 仅在系统启动时执行一次，在执行结束之前不执行下一条配置项
powerfail: 当接收到UPS的断电通知时执行该项指定的进程。
powerwait: 与powerfail相同，但init会等待进程执行结束。
powerokwait: 接收到UPS的供电通知时执行。
ctrlaltdel: 当用户同时按下 Ctrl+Alt+Del 时执行该项指定的进程。

关于/etc/inittab文件部分字段解释如下：
# 下面用 initdefault 动作设置默认的运行级。注意该项没有指定进程，
# 但是最后的分号不要漏掉
# 0 - 关机 (不要将此运行级设为默认)
# 1 - 单用户模式
# 2 - 多用户，不支持 NFS。若无网络则与 3 相同
# 3 - 完整的多用户模式
# 4 - 未使用
# 5 - X11图形界面
# 6 - 重新启动 (不要将此运行级设为默认)
#
id:5:initdefault:

# 系统初始化，包括主机名设置、激活交换分区、检查根分区、
# 以读写方式加载根分区、加载 /etc/fstab 中的分区、
# 激活磁盘配额、加载内核模块等功能
si::sysinit:/etc/rc.d/rc.sysinit

# 执行 rc 脚本，启动各种系统服务
l0:0:wait:/etc/rc.d/rc 0
l1:1:wait:/etc/rc.d/rc 1
l2:2:wait:/etc/rc.d/rc 2
l3:3:wait:/etc/rc.d/rc 3
l4:4:wait:/etc/rc.d/rc 4
l5:5:wait:/etc/rc.d/rc 5
l6:6:wait:/etc/rc.d/rc 6

# 接管 CTRL-ALT-DELETE，按下时重新启动系统
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

# 当 UPS 发来断电通知时，准备在 2 分钟之后关闭系统
pf::powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down"

# 如果在关闭系统之前 UPS 恢复供电，则取消关闭系统
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled"

# 在标准运行级时启动虚拟终端。这里准备了六个虚拟终端，
# 要想改变虚拟终端的数目，只需要增删这里的配置项即可
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6

# 运行级 5 的时候启动 X 的登录管理器
x:5:respawn:/etc/X11/prefdm -nodaemon

安全性设置：
a、使用3代替5（可以减少图形化界面下的软件的TCP连接，减少资源占用）
b、禁用ctrl+alt+del。
c、减少TTYs数量。

5、TTY安全

a、/etc/securetty文件保存了用户可以登录的终端。
b、查看系统更新的软件包。
rpm -qa > 'data +﹪F'.installed.packages.list 获取当前已经安装的 软件包文件
rpm -qa > 2009-3-14.installed.packages.list 获取今天的软件包文件
diff 以前的文件 今天的文件----得出变化的软件包情况。
c、平时以非特权用户登录，必要时可以通过su命令切换至管理员登录。

6、欢迎信息安全

a、/etc/issue：里面的内容会在用户登录前被显示在终端上，默认将显示内核的版本信息，建议将内容进行修改（可以修改为只允许认证用户登录，非法用户登录将究法律责任的内容）。
b、/etc/issue.net：文件内容在用户通过网络方式登录时被显示。
c、/etc/motd：是message of today（今天的信息）的缩写，里面的信息会在用户登录后显示，该文件经常被用作系统公告，用于把最新的信息通知终端用户。
d、可以在服务器上调用issue的欢迎信息，如：
echo "Banner /etc/issue">/etc/ssh/sshd_config

last命令位于SysVinit软件包中。
last命令用于返回最近登录系统的用户。
wtmp

8、lsof命令的使用

a、/etc/services：记录服务所对应的端口文件。
b、/etc/protocols：记录协议对应的协议号文件。
c、lsof命令的使用：详细用法请参考：http://www.ibm.com/developerworks/cn/aix/library/au-lsof.html

9、

15、nessus的使用
下载nessus-installer-2.2.5.sh
chmod +x nessus-installer-2.2.5.sh 或者chmod 700 nessus-installer.2.2.5.sh
./nessus-installer-.22.5.sh
需要先安装sharutils-....rpm软件包。可以先将光盘中的此软件包安装完成后，再安装nessus软件包。
需要用户系统安装gtk+-2.0软件包。
证书文件创建：/usr/local/sbin/nessus-mkcert
添加用户：/usr/local/sbin/nessus-adduser
启动程序：/usr/local/sbin/nessusd -D（端口号为1241）
启动客户端：/usr/local/nessus
卸载服务：2000

16、
17、本文出自 “RHCSS系统安全架构师” 博客，请务必保留此出处http://rhcss.blog.51cto.com/672018/137890