网络安全运行与维护M3 2 加强Linux用户网络访问权限的安全控制ppt课件.ppt

网络安全运行与维护,模块三Linux桌面系统安全管理与维护,总体概述,通过系统口令加强Linux系统安全防护加强Linux用户网络访问权限的安全控制加强Linux文件系统安全访问使用安全审计加强Linux主机的安全维护,能力单元2,加强Linux用户网络访问权限的安全控制,任务描述,任务描述通过上面的设置后，对桌面系统的口令安全进行了加强，但用户之间访问还存在很大的风险，所以还需要进行以下设置才能保证用户之间网络访问的安全：禁止根shell禁止根登录禁止根用户SSH登录使用 PAM 禁用根权限限制根存取权限,任务分析,任务分析为了加强Linux系统安全，需要对普通用户的权限进行限制，如不进行权限限制，会造成以下几个不安全因素：机器的错误配置 具备根权限的用户可能会错误配置他们的机器，从而需要协助；或者更糟的是打开安全漏洞而不自知。 运行不安全服务 具备根权限的用户可能会在他们的机器上运行不安全的服务器，如 FTP 或 Telnet，从而在用户名和口令被明文传输时给它们带来潜在危机。 作为根用户运行电子邮件附件 影响 Linux 的病毒虽然很罕见，但是并不是没有。不过，它们只有在以根用户身份运行的时候才会给系统造成威胁。,相关知识,相关知识vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快，安全易用。vsftpd 的名字代表very secure FTP daemon, 安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候，高安全性就是一个目标。 PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务 和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系 统中添加新的认证手段。,任务实施拓扑结构,拓扑结构,任务实施实施步骤,实施步骤步骤1 禁止根shell第一步：搭建FTP服务器第二步：窃取FTP密码第三步：本地登录FTP服务器第四步：禁用根shell为了服务器安全，需要禁用根shell，修改配置文件/etc/passwd文件，将user1:x:500:500:/home/user1:/bin/bash改成user1:x:500:500:/home/user1:/sbin/nologin,任务实施实施步骤(cont.),实施步骤步骤2 禁止根登录第一步：启用telnet服务第二步：窃取telnet密码第三步：本地登录服务器第四步：禁用根登录通过编辑配置文件/etc/securetty，可以禁止根登录，如下所示：echo /etc/securetty将配置文件内容清空就可以了。注意：千万不要删除此文件，如删除此文件表示允许所有。,任务实施实施步骤(cont.),实施步骤步骤3 禁止根用户SSH登录第一步：根用户使用SSH登录远程服务器第二步：窃取SSH密码rootLAB3 # tcpdump -i eth0 -X dst 10.1.1.1 and src 10.1.1.2 and dst port 22第三步：禁用根SSH登录修改配置文件/etc/ssh/sshd_config，将#PermitRootLogin yes改成PermitRootLogin no步骤4 使用 PAM 禁用根权限第一步：启用VSFTP服务,任务实施实施步骤(cont.),实施步骤第二步：配置PAM模块FTP服务器允许user1登录，而user2和user3不允许登录。修改配置文件/etc/vsftpd.ftpusers，在其配置文件加入user2user3步骤5 限制根存取权限第一步：禁止根登录通过编辑配置文件/etc/securetty，可以禁止根登录，如下所示：echo /etc/securetty第二步：使用su命令实现根登录第三步：将user1加入到wheel组中,任务实施实施步骤(cont.),实施步骤第四步：修改/etc/pam.d/su配置文件编辑配置文件/etc/pam.d/su文件，将#auth required /lib/security/$ISA/pam_wheel.so use_uid改为auth required /lib/security/$ISA/pam_wheel.so use_uid,总结,本任务主要加强Linux用户网络访问权限的安全控制能力主要采用以下技术方法来实现禁止根shell禁止根登录禁止根用户SSH登录使用 PAM 禁用根权限限制根存取权限,