是否制定主机安全基线等规范（第九章主机级别安全）

·位置·时间，现在小编就来说说关于是否制定主机安全基线等规范?下面内容希望能帮助到你，我们来一起看看吧!

是否制定主机安全基线等规范

目标

• 限制系统访问
• 密码安全
• 介绍PAM
• 限制用户通过：

·位置

·时间

• 灵活的root访问

议程

• 保护Boot loader
• 密码安全
• 用PAM实现访问控制

·Pam_limits.conf

·Pam_access.conf

·Pam_time.conf

• Sudo命令

9.1 系统访问1．硬件安全

通过保护计算机硬件不被偷窃，物理损坏，自然灾害和人为事故（例如溢出食物和饭料），确保硬件安全。

通过使用代码识别徽章、安全保卫、锁住终端和关门，限制某些人接近硬件设备。在组织中需要去获得最安全的安全预防，以上这些技术可能是不够的。

2．BIOS安全

BIOS安全包括使用BIOS去限制登录。大多数PC的BIOS允许你去设置一个引导密码。一些BIOS也允许你去防止从软驱引导，并设置一个管理员密码，检查你的BIOS手册或小心观察你的屏幕当它被引导时去确定你可得到什么BIOS安全调节项。

使用口令保护 BIOS（或相当于 BIOS 的系统）和引导装载程序可以防止能够物理进入系统的未经授权的用户使用可移介质来引导或通过单用户模式来获得根权限。但是防御这类攻击的安全措施既依赖于工作站上信息的保密程度，也依赖于机器的地点。

例如，如果机器在展销会上被使用，并且不包含任何保密信息，可能防御这类攻击就不那么重要。然而，如果在同一个展销会上，某个雇员的便携电脑无人看管，但是其中含有到公司网络的未加密的 SSH 密钥，它就可能会导致影响整个公司的重大安全问题。

从另一方面考虑，如果工作站位于只有被授权或被信任的人员才能进入的地方，那么保卫 BIOS 或引导装载程序的安全性可能就根本不必要。

以下是使用口令来保护计算机 BIOS[1]的两个主要原因：

⑴ 防止对 BIOS 设置的改变 ：如果入侵者可以进入 BIOS，他们就可以把它设置为从软盘或光盘引导。这就使他们能够进入救援模式或单用户模式，从而允许他们在系统上放置恶意程序或复制保密数据。

⑵ 防止系统被引导：某些 BIOS 允许你使用口令来保护引导进程。当激活时，攻击者在 BIOS 启动引导装载程序前就不得不输入口令。

3．Boot loader引导装载程序安全

⑴ 以下是使用口令来保护 Linux 引导装载程序的主要原因：

① 防止进入单用户模式：

如果攻击者能够引导入单用户模式，他就可以成为根用户。

② 防止进入 GRUB 控制台：

如果机器使用 GRUB 作为引导装载程序，攻击者可以使用 GRUB 编辑界面来改变它的配置或使用 cat 命令来收集信息。

③ 防止进入非安全的操作系统：

如果它是双引导系统，攻击者可以在引导时选择操作系统，例如 DOS，它会忽略存取控制和文件权限。

⑵ 用口令保护 GRUB

GRUB 可以通过在它的配置文件中添加一个口令（password）指令来解决。要这么做，首先决定要使用什么口令，然后打开 shell 提示，登录为根用户，键入：

/sbin/grub-md5-crypt

在提示时，键入 GRUB 口令，然后按[Enter]。这会返回一个口令的 MD5 散列。

下一步，编辑 GRUB 配置文件 /boot/grub/grub.conf。打开文件，在主体的 timeout 行下添加以下行：

password --md5 <password-hash>

把 <password-hash> 替换成 /sbin/grub-md5-crypt[2] 返回的值：

下次系统引导时，如果你不首先按 [p] 和 GRUB 口令，GRUB 菜单就不会允许你进入编辑器或命令界面。

不幸的是，这个办法并不能防止攻击者在双引导环境中引导不安全的操作系统。要解决这个问题，你必须编辑 /boot/grub/grub.conf 文件中的另一个部分。

寻找不安全操作系统的 title 行，然后紧跟在下面添加一行 lock。

对于 DOS 系统，该实例应该和以下的启动方式相似：

title DOS

lock

/boot/grub/grub.conf 文件的主体中必须有 password 行才能使这种方法正确运行。否则，攻击者就可以进入 GRUB 编辑器界面，然后删除 lock 行。

要为某个特定内核或操作系统创建不同的口令，在那个实例中添加一个 lock 行，再紧跟一行 password。

每个使用独特口令来保护的实例开头都应该和以下相似：

title DOS

lock

password --md5 <password-hash>

4．会话安全

vlock和xscreensaver是锁住你的控制台的程序。

⑴ vlock

Vlock通常锁住一个虚拟终端（或所有ttys，如果使用 —a选项。

⑵ xscreensaver

xscreensaver默认不需要密码去重新显示x会话，你做以下任务之一必须需要密码：

·用--lock选项启动xscreensaver

·从Gnome控制中心配置xscreensaver

vlock和xscreensaver提供一个临时的控制台安全格式。意识到实际访问常常提供通过这些机制可以防止发生锁机的方法。一种方法是使用【Ctrl —Alt —Del】去重启系统，那么从引导提示调用单一用户模式，或者从引导盘引导进入单一用户模式。

,