返回
基于等级保护思想实现linux操作系统的安全防护研究

基于等级保护思想实现linux操作系统的安全防护研究

ID:26811424

大小:58.00 KB

页数:7页

时间:2018-11-29

基于等级保护思想实现linux操作系统的安全防护研究_第1页
基于等级保护思想实现linux操作系统的安全防护研究_第2页
基于等级保护思想实现linux操作系统的安全防护研究_第3页
基于等级保护思想实现linux操作系统的安全防护研究_第4页
基于等级保护思想实现linux操作系统的安全防护研究_第5页
资源描述:

《基于等级保护思想实现linux操作系统的安全防护研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于等级保护思想实现Linux操作系统的安全防护研究基于等级保护思想实现Linux操作系统的安全防护研究随着互联网技术的快速发展,其对政治经济的促进效果愈加明显。随着两会期间李克强总理切实把互联网转化为新型经济驱动力要求的提出,有效推动了云计算和大数据的快速发展,而随之,大型应用系统及基础数据价值变得前所未有的重要。作为应用和数据的载体,主机安全尤其是操作系统层已成为关系经济发展乃至国计民生的国家战略问题。  1操作系统防护需求  在传统的IT构架中,设计者往往过多关注底层的网络互通和上层的应用实现,

2、而对中间层包括主机、操作系统、中间件等考虑较少。而在安全事件中,多数恰恰是因为主机层防护措施的薄弱,使得病毒、黑客有了可乘之机。而操作系统的瘫痪或失控,其影响将直接传递到上层的应用和数据。操作系统层的安全,已成为IT安全链中的关键环节,利用什么标准对主机进行安全加固,保障服务器本身的安全,已经成为当前信息系统亟待解决的问题。  本文以等级保护思想为引线,以《信息系统安全等级保护基本要求》为指导框架,从主机安全这个控制层面展开论述,通过参照等级保护基本要求第三级的要求,分析操作系统安全防护需求,提出安全

3、防护思路,并以RedhatLinux为例详细阐述安全防护的具体方法。  2操作系统防护思路  针对重要信息系统在主机安全防本文由.L.收集整理护层面的各种需求,《信息系统安全等级保护基本要求》  2.1从七个方面予以考虑:  (1)身份鉴别:通过身份鉴别模块,对系统用户进行有效性验证,通过鉴别才能进入系统。  (2)访问控制:通过对系统用户进行权限划分,按照最小化授权原则访问系统资源,实现用户对重要文件和目录进行读写控制。  (3)安全审计:通过监控系统运行情况,跟踪系统用户行为,提供事后追溯分析依据

4、。  (4)剩余信息保护:通过及时清除存储在硬盘、内存或缓冲区中的剩余信息,降低非法获取可能性。  (5)入侵防御:通过主机层入侵检测和防御机制,抵御内部非法访问与攻击。  (6)恶意代码防范:通过主机层恶意代码检测处理,避免文件、数据被恶意修改或资源被非法利用。  (7)资源控制:根据服务优先级分配系统资源,限制单个用户的多重会话,设置系统的超时退出,防止资源被滥用或非法使用。  3操作系统防护设计  操作系统需要多方面多维度的安全防护,以常用的RedhatLinux操作系统为例,对其安全加固也要通

5、过全面的考虑。  3.1身份鉴别  身份鉴别主要通过密码复杂度、口令锁定策略来实现。用户的身份鉴别信息首先应具有不易被冒用的特点,同时口令应有复杂度要求,最后在管理上要求定期更换;口令锁定策略要求系统具有鉴别失败处理功能,当短时间内多次输入错误用户、密码,要求采取措施锁定相关账户。  (1)通过passe**(密码);  (2)编辑文件/etc/pam.d/system-auth,设定密码复杂度:pass_cracklib.sotry_first_passretry=3dcredit=-1lcredi

6、t=-1ucredit=-1ocredit=-1minlen=8,要求包含至少1个数字,1个小写字母,1个大写字母,1个特殊字符,最短长度8位;  (3)编辑文件/etc/login.defs,设定最长密码使用期限:PASS_MAX_DAYS180(密码最长使用天数不大于180);  (4)编辑文件/etc/pam.d/system-auth,在首行编辑条目如下:authrequiredpam_tally2.sodeny=5onerr=failno_magic_rootunlock_time=180e

7、ven_deny_rootroot_unlock_time=180,用户(含root)连续输入密码错误5次,锁定180秒。  3.2访问控制  配置用户的角色,授予用户所需的最小权限,启用访问控制功能,控制用户对资源的访问。  (1)编辑文件/etc/ssh/sshd_config,限制root用户SSH远程登录:修改PermitRootLogin值为no;  (2)删除UID为0的用户:userdelusername(切记不要删除root用户);  (3)编辑文件/etc/profile,设置文件与

8、目录缺省权限为027,修改完成后重置profile环境:umask027,source/etc/profile;  (4)赋予用户最小权限:chmod644/etc/passod400/etc/shadood600/etc/xid.conf/etc/security;  3.3安全审计  启用系统本身的syslog日志功能和audit审计功能,记录安全事件和用户登录事件;启用远程日志功能,保护日志不被非法篡改。  (1)编辑文件/etc/syslog.c

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。