RHCE认证253安全管理-中.ppt
第一单元,服务,任课讲师:_,服务,网络服务,根据其使用的方法来分,可以被分为三类由init控制的服务由System V 启动脚本启动的服务由xinetd 管理的服务,由init控制的服务,配置在/etc/inittab中可以设置respawn参数在服务每次被关闭时自动重启inittab文件被改变后,可以用init q来使改动生效,由System V启动的服务,由/etc/rc.d/init.d/目录下的System V脚本启动/etc/rc.d/init.d/script start|stop|restart也可以用service命令来执行脚本。在不同运行级别下的默认开关可以不同用chkconfig来管理在有些地方也被称为standalone的服务,由xinetd管理的服务,由xinetd管理xinetd daemon服务管理文件放在/etc/xinetd.d/目录下编辑服务文件来开关服务重启xinetd,chkconfig,System V:决定在切换入某个运行级别下时,服务打开还是关闭xinetd:在xinetd服务正在运行的情况下,直接开启或关闭基于xinetd的服务,第二单元,DNS,任课讲师:_,DNS,DNS:Domain Name Service/域名服务支持将计算机的域名解析成IP地址(正向搜索)支持将IP地址解析成计算机的域名(反向搜索)允许计算机根据逻辑组合成一个一个名字域,区、域及授权,一个域(domain)包含一个完整的分级域名下层树一个区(zone)则是域的一部分,被一个具体详细的服务器所管理子域可以被授权成为附加的域一个区可以直接管理子域,英特网上的分级DNS,根域名服务器作为区认证域名服务器的最高级别域名服务器存在为递归查询提供权威解释区认证域名服务器区的划分与认证主域名服务器与从域名服务器,主域和从域,主域服务器拥有一个域的主复制数据从域服务器为主服务器提供自动数据备份每一个从服务器都会自动从主服务器处同步更新数据,客户端DNS,客户端产生对IP与主机名解析的需求,通常DNS客户端上有许多程序运行时需要解析客户端检索本地数据文件的相关记录客户端将无法自行解释的需求,通过53端口送给指定的DNS服务器收回的数据也许并不权威,服务端DNS,服务端接受请求如果自己无法给出回答,则可能将请求转发给上级服务器,或直接询问根域名服务器其上级服务器有可能给出回答,或进一步转交给其他域名服务器一个服务器上可以记录多个域的数据,BIND,BIND:Berkeley Internet Name DaemonBIND是在Internet上应用最为广泛的DNS服务器提供稳定与可信赖的下层结构以提供域名与IP地址的转换,BIND服务一览,后台进程:named脚本:/etc/rc.d/init.d/named使用端口:53(tcp,udp)所需RPM包:bind,bind-utils相关RPM包:bindconf,caching-nameserver配置文件:/etc/named.conf相关路径:/var/named/*,/etc/sysconfig/named,named进程被System V脚本激活后,会根据此文件的参数决定其运行参数:例如:OPTION=“-d 5”(将debug等级设为5),/etc/named.conf,named.conf是BIND使用的默认配置文件在每一次named启动与挂起时都会被读取一个简单的文本文件,其中记录的可以包括options(全局参数)、zone(区域定义)、access control lists(访问控制列表)等,option,在/etc/named.conf的options段中被宣告常用的参数包括directory:指定zone file的存放位置forwarders:指定其上级域名服务器allow-query:指定允许向其提交请求的客户allow-transfer:指定允许复制zone数据的主机,主域,由一个zone段在/etc/named.conf中宣告type master;file:存放该zone数据的文件名必须存在于options段中提及的目录之下文件名可以随意allow-update:允许动态更新该zone数据的客户机,从域,由一个zone段在/etc/named.conf中宣告type slave;master:指定其主域名服务器对应的主域名服务器必须承认并存放有该区域的数据file:本地用于存放zone数据的文件从域名服务器总是试图与其master联系并获取一份当前数据的副本,反解析域,域的名字必须用.in-addr.arpa来结尾由一个zone段在/etc/named.conf中宣告反解析域一般对应到一个具体的IP段反解析域同样可以配置为从域许多服务会尝试进行反解析,根域,根域“.”zone.IN type hint;file named.ca;,zone文件,文件通常存放在/var/named目录下用于存放指定域内的各种资源与数据第一段资源记录被成为起始授权记录(SOA)每一个在/etc/named.conf中定义的zone都应该对应一个具体的zone文件,资源记录,SOA:定义起始授权NS:指定域名服务器MX:指定邮件服务器A:将一个域名解析成其后的IPCNAME:将一个域名设置为另一个域名的别名PTR:将一个IP地址指向一个域名,SOA记录,SOA(Start of Authority):起始授权每一个域文件中都应该有一个SOA 段 IN SOA localhost.root.localhost.(1997022700;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum,NS记录,NS(name server):域名服务器每一个主域名服务器和从域名服务器都应该拥有一条NS记录,以防止主服务器在出现故障后,从服务器不能及时提供服务IN NSINNS.,资源记录,A记录用于将主机名对应成IP地址CNAME记录用于定义某一个地址的别名PTR记录用于将IP地址对应成一个主机名,MX与HINFO记录,MX:用于定义某一个域里负责的邮件服务器 每一条MX记录前都需要指定优先级别INMX5mailHINFO记录提供解析时对一台主机做补充注释server1INHINFOmaster server,Round Robin,利用复数A记录来均衡数台服务器的访问负载,r n d c,域名服务器控制程序安全防范,远程控制运行的域名服务器使用TSIG 安全例如:root stationxx root#rndc reloadrndc 默认只监听本地loopback端口,BIND语法检查工具,在BIND出错时使用如下工具:named-checkconf 默认检查的配置文件是/etc/f named-checkzone 检查一个Zone文件的配置,redhat-config-bind,图形界面下的BIND配置工具简单清晰地完成BIND配置可对应多个版本的BIND配置文件存放在/etc/alchemist/namespace/dns/local.adl,第三单元,Samba,任课讲师:_,SAMBA 原理概述,SAMBA:Send Message Block整合了SMB协议及Netbios协议,使其运做在TCP/IP上。能够让Unix based的机器与windows互动。SAMBA服务有两个进程:smbd:SMB服务器nmbd:netbios名字服务器,SAMBA 服务一览,后台进程:smbd,nmbd脚本:/etc/rc.d/init.d/smb使用端口:137,138,139所需RPM包:samba,samba-common,samba-client相关RPM包:samba-swat配置文件:/etc/samba/smb.conf,SAMBA 的配置,samba的配置文件:/etc/samba/smb.conf由数个将配置文件分成数段,例如:global:一些全局配置homes:让用户可以访问其主目录printers:定义共享的打印机资源图形界面下的配置工具SWAT(Samba Web Admin Tool)redhat-config-samba,全局设置,全局设置写在global段内,主要是指samba服务器的一些全局设定workgroupserver stringhosts allowsecurityencrypt passwordssmb passwd file,共享段,共享段用于在samba服务器上开放共享目录一般每一个 表示一个指定的共享目录,内写的是目录的共享名,测试samba服务,用户可以利用testparm指令来检查smb.conf文件的语法。只能检查关键字段的拼写错误。对于配置值错误需要结合日志文件来判断。用户可以用service smb status判断samba服务的开启状况用户可以用nmblookup来检查本机上的samba服务是否正确开启,管理smb用户,samba服务支持用户级别的共享限制使用smbadduser添加可以使用smb服务的用户。语法:smbadduser linux帐号:windows帐号使用smbpasswd改变用户的密码。用户密码存放在/etc/samba/smbpasswd文件中用户映射存放在/etc/samba/smbuser文件中,smbclient,可以用来向服务器请求samba服务资源列表smbclient L 主机名可以用来象一个ftp客户端一样访问samba共享资源smbclient-U student%XXX/server1/tmp,smbmount,smbmount可以将远端的一个window共享目录,或Unix系统通过samba服务共享出来的目录,挂载到自己的Linux文件系统上。语法:smbmount/server1/tmp/mnt/tmp o username=student,password=XXX用于替代mount t smb,第四单元,电子邮件服务,任课讲师:_,邮件发送模型,邮件用户代理(MUA)将信息传送给邮件传输代理(MTA)邮件传输代理决定信息送至目的地的路由,然后根据情况决定是否还需要将信息交给中介邮件传输代理域邮件传输代理将邮件送至邮件投递代理(MDA)用户收到邮件,SMTP协议,SMTP:Simple Mail Transfer Protocol/简单邮件传送协议定义邮件传送基于TCP服务的应用层RFC0821明文传送,SMTP协议的使用,SMTP协议使用25端口SMTP协议命令HELO:通报来访者地址MAIL FROM:发件人地址RCPT TO:收件人地址DATA:输入正文内容,用单独的.为行结束QUIT:连线结束,安全与反垃圾邮件策略,安全策略拒绝从无法解析的域送来的邮件建立各种基于主机、用户、域的访问控制默认配置仅允许本地收发不再使用setuid的工具反垃圾邮件策略默认情况下不做转发建立访问数据库检查邮件信头,sendmail,sendmail是使用十分广泛的邮件提交工具(MSP)在邮件模型中承担着MTA及MDA的作用支持多种类型的邮件地址寻址支持虚拟域及虚拟用户允许用户及主机伪装提供在投递失败后自动重发等多种错误应对策略,sendmail服务一览,后台进程:sendmail脚本:/etc/init.d/sendmail使用端口:25(smtp)所需RPM包:sendmail,sendmail-cf,sendmail-doc配置文件:/etc/sendmail.cf,/etc/aliases,/etc/mail/,/usr/share/sendmail-cf/相关服务:procmail,sendmail的主要配置文件,/etc/sendmail.cf是默认的sendmail主要配置文件包含域别名段,信头格式段,转发规则等数据很少被直接修改/etc/mail/submit.cf被用于每次sendmail被一个用户工具所调用的时候通常不需要修改,用m4生成sendmail.cf,m4是UNIX下使用的传统宏处理器sendmail.cf可以由一个宏文件经m4处理后得到Red Hat默认使用/etc/mail/sendmail.mc为/etc/sendmail.cf的宏文件m4/etc/mail/sendmail.mc/etc/sendmail.cf我们推荐使用m4处理sendmail.mc来得到sendmail.cf,编辑sendmail.mc,每一个sendmail.mc宏应该定义了操作系统类型、文件位置、请求特征及邮件发送工具、用户列表在每一行的开头添加dnl表示注释默认情况下,sendmail服务器只侦听本地的连接注释DAEMON_OPTION(PORT=smtp,Addr=127.0.0.1,Name=MTA),其他有用的配置,FEATURE(accept_unresolvable_domains)接受无法反向解析的域来的邮件FEATURE(dnsbl)支持根据dns黑洞列表来拒绝垃圾邮件FEATURE(relay_based_on_MX)自动接受DNS中MX记录来源的邮件转发FEATURE(blacklist_recipients)允许使用黑名单查禁收件人,/etc/mail/access,用于定义接受或拒绝的邮件来源:格式:IP/域名设定值设定值:REJECT:拒绝OK:无条件接受RELAY:允许转发DISCARD:丢弃,/etc/mail/virtusertable,允许在邮件服务中使用虚拟域及虚拟用户并自动映射:joewenhua.org,/etc/aliases,定义本地用户的别名别名后的映射对象可以是:一个本地用户多个本地用户(用逗号分隔)本地文件(需要指出路径)指令(需要管道)另一个email地址设定完/etc/aliases后,需要运行newaliases更新aliases.db,邮件收取,MDA将收到的信件根据用户存放在/var/spool/mail下/var/spool/mail目录下每一个文件对应与文件名同名的用户用户使用mail等工具阅读完信后,未被删除的邮件会自动转存到用户主目录下的mbox文件中,POP3协议,POP3:Post Office Protocol 3/邮局协议第三版POP3协议适用于不能时时在线的邮件用户。支持客户在服务器上租用信箱,然后利用POP3协议向服务器请求下载基于TCP/IP协议与客户端/服务端模型POP3的认证与邮件传送都采用明文,使用pop3协议,POP3协议使用110端口POP3协议命令USER:通报用户名PASS:输入密码LIST:列出所有邮件大小RETR:阅读邮件DELE:删除邮件QUIT:连线结束,配置pop3服务器,pop3服务一般是基于xinetd的服务可以通过两种方式开启和关闭服务编辑/etc/xinetd.d/ipop3并重启xinetd使用chkconfig来开启或关闭服务,IMAP,IMAP:Internet Message Access Protocol/英特网信息存取协议另一种从邮件服务器上获取邮件的协议与POP3相比,支持在下载邮件前先行下载邮件头以预览邮件的主题来源基于TCP/IP使用143端口,邮件接收工具,mozilla-mailmozilla下的邮件接收工具采用netscape mail的风格evolutionGNOME下的默认邮件接收工具采用windows下的outlook风格kmailkde下的邮件接收工具fetchmail字符界面下的邮件接收工具,配置fetchmail,fetchmail支持多种邮件接收协议fetchmail的配置文件是用户主目录下的.fetchmailrc文件“.fetchmailrc”中每一行代表一个邮件信箱范例:poll protocol pop3 username“kevinzou password“nopass,procmail,procmail是一个非常强大的邮件转发工具可以用来:对收到来信进行排序,并送入不同目录预处理邮件在收到一封邮件后激活一个事件或程序自动转发邮件给其他用户默认情况下sendmail会将procmail设定为本机转发邮件工具有可能在短时间内产生大量转发邮件,因此配置时应小心谨慎,简单配置procmail,procmail的配置文件是用户主目录下的”.procmailrc”如需将来自kevinz关于linux的邮件转发给todd,并复制入linux目录::0*From.*kevinz*Subject:.*linux:0 c!toddwenhua.org:0linux,邮件读写工具,图形界面下的邮件接受工具一般也可以用来读写邮件字符界面下的邮件读写工具mail非常简单地邮件读写工具pine支持添加附件支持将已读文件存入指定目录,第五单元,WEB服务器,任课讲师:_,http 服务原理,超文本传送协议基于客户端服务端模型协议流程:连接:客户端与服务端建立连接请求:客户端向服务端发送请求应答:服务端响应,将结果传给客户端关闭:执行结束后关闭,web服务器 apache,应用广泛的web服务器支持进程控制在需要前自动复制进程进程数量自动使用需求支持动态加载模块不需重编译就可扩展其用途支持虚拟主机允许使用一台web服务器提供多个web站点的共享,apache服务一览,后台进程:httpd脚本:/etc/rc.d/init.d/httpd使用端口:80(http),443(https)所需RPM包:apache,apache-devel,apache-manual相关RPM包:apacheconf配置路径:/etc/httpd/*,/var/www/*,apache的配置文件,配置文件储存为/etc/httpd/conf/httpd.conf设置标准网络服务器参数、虚拟主机、模块定义文件名与mime类型访问控制默认的html存放位置/var/www/html,全局配置,ServerType:选择系统激活服务器的方式。可以是inetd或standaloneServerRoot:设定Apache安装的绝对路径TimeOut:设定服务器接收至完成的最长等待时间KeepAlive:设定服务器是否开启连续请求功能MaxKeepAliveRequests:设定服务器所能接受的最大连续请求量,全局配置(二),KeepAliveTimeout:使用者 连续 请求的等待时间上限MinSpareServers:设定最小闲置子进程数MaxSpareServers:设定最大闲置子进程数StartServers:设定激活时所需建立的子进程数MaxClients:设定同时能够提供使用者的最大服务请求数,主机配置,Port:设定http服务的默认端口。User/Group:设定服务器程序的执行者与属组ServerAdmin:设定站点管理者的电子邮件ServerName:设定服务器的名称DocumentRoot:设定服务器的共享路径DirectoryIndex:设定默认调用文件顺序ErrorLog:设定错误记录文件名称,虚拟主机,在同一台服务器上配置多个共享服务在虚拟主机中未指定的配置即采用主机配置 ServerName DocumentRoot/var/www/virtual,访问控制,Apache提供目录级别与文件级别的基于主机的多种访问控制Apache提供目录级别基于用户密码的访问控制,.htaccess,Apache支持在需要限制访问的目录下,建立.htaccess文件来实行访问限制。用户可以根据httpd.conf中记录的AllowOverride内容,在.htaccess文件添加访问控制语句以取代在httpd.conf中的记录。改变.htaccess文件设置不需要重启httpd,CGI,CGI程序只能放在有设定ScriptAlias的目录下才可以使用。ScriptAlias/cgi-bin/cgi-bin/Apache 可以通过加载模块来倍化CGI程序的速度,Apache加密网站,Apache用443端口提供https服务需要加载mod_ssl模块相关配置文件在/etc/httpd/conf.d/ssl.conf加密配置认证:conf/ssl.crt/server.crt私钥:conf/ssl.key/server.key认证/钥匙生成/usr/share/ssl/certs/Makefile个人签名认证:make testcert认证签名需要:make certreq,Squid Web Proxy Cache,Squid支持为FTP、HTTP等其他数据流做代理Squid会将SSL请求直接转给目标服务器或另一个代理Squid提供诸如访问控制列表、缓存管理及HTTP服务器加速,第六单元,NFS、FTP和DHCP,任课讲师:_,NFS,NFS:Network File System/网络文件系统Linux与Linux之间的文件共享提供远端读存文件的服务,NFS 原理概述,建立在RPC协议上的服务,使用时需要打开portmap基于客户端服务器端模型服务端为多个客户端提供服务客户端也可以从多个服务端处获得文件目录,NFS 服务一览,后台进程:nfsd,lockd,rpciod,rpc.mounted,rpc.rquotad,rpc.statd脚本:/etc/init.d/nfs,/etc/init.d/nfslock使用端口:由portmap(111)分配所需RPM包:nfs-utils相关RPM包:portmap(必需)配置文件:/etc/exports,NFS 客户端策略,检查服务端的nfs共享资源showmount-e server将服务端开放的nfs共享目录挂载到本机上的一个目录mount-t nfs server:/share/mnt/nfs,NFS 服务端配置,编辑/etc/exports文件以配置开放路径路径对象(方式)确保portmap服务已开启打开或重启nfs服务service nfs start/restart,FTP,vsftpd是RedHat Linux默认使用的ftp服务端软件vsftpd 不再依赖于xinetd服务允许匿名或本地用户访问匿名访问不须额外的RPM包/etc/vsftpd/vsftpd.conf是默认的配置文件,ftp服务一览,后台进程:vsftpd类型:System V 服务使用端口:20(ftp-data),21(ftp)所需RPM包:vsftpd配置文件:/etc/vsftpd/vsftpd.conf/etc/vsftpd.ftpusers/etc/pam.d/vsftpd日志:/var/log/vsftpd.log,FTP用户控制,/etc/vsftpd.ftpusers/etc/vsftpd.user_list,FTP测试工具,ftpwho:查看当前使用ftp的用户ftpcount:查看当前连线数目,DHCP,DHCP:动态主机配置协议使用服务端的dhcpd来提供服务dhcpd可以同时为DHCP及BOOTP客户端提供服务,dhcp服务一览,后台进程:dhcpd脚本:/etc/rc.d/init.d/dhcpd使用端口:67(bootps),68(bootpc)所需RPM包:dhcpd相关RPM包:配置文件:/etc/ftpaccess,/etc/ftphosts,/etc/ftpusers日志:/var/log/xferlog,配置dhcp服务,/etc/dhcpd.conf范例:subnet 192.168.0.0 netmask 255.255.255.0 range 192.168.0.2 192.168.0.253;default-lease-time 21600;max-lease-time 43200;option domain-name“”;option routers 192.168.0.254;option domain-name-servers 192.168.0.254;,常用dhcp配置参数,subnet X.X.X.X netmask指定dhcp服务工作网段range 指定分配地址段default-lease-time默认租期(请求续租时间)max-lease-time最大租期,常用dhcp配置参数(二),option routers分配路由器option domain-name分配域名option domain-name-servers分配DNS server,IP绑定,host为绑定主机起名(并不是分配给对方的名字)hardware ethernet指定硬件地址fixed-address指定IP地址或主机名支持为绑定主机单独分配其他网络数据,第七单元,安全及策略,任课讲师:_,安全术语,什么是安全?加密数据完整可用系统安全由系统中最小的安全组件决定(木桶原理),基础网络安全,大多数的计算机都连接到网络上局域网、广域网或者Internet由于连接在网络上,增加了对操作系统和后台服务的危胁,常用术语的定义,黑客破解者(骇客)拒绝服务缓冲溢出病毒特洛伊木马蠕虫,安全策略,物理上的安全性用户限制服务限制网络限制加密,安全策略(续),安全策略是为了加强对系统安全特性和管理而定义的规则审核让我们检查使用的安全工具实际中使用的安全策略,审核,分析 目前的情况了解 安全需求确定 如何实现它们实施 安全机制测试 安装,入侵检测,工具嗅探器(sniffers)渗透检测器记录日志日志工具,发现入侵后的措施,反应,保护,镜像,恢复,搜索,报告第一步:反应第二步:保护,发现入侵后的措施 续1,反应,保护,镜像,恢复,搜索,报告第三步:镜像第四步:恢复,发现入侵后的措施 续2,反应,保护,镜像,恢复,搜索,报告第五步:搜索第六步:报告,备份策略,一个好的备份策略可以使你从灾难中恢复出来通常备份策略由以下组成:一次定期的完全备份每日增量备份备份媒体远距离存储,第八单元,NIS,任课讲师:_,什么是NIS服务,NIS:Network Information Service 基于客户端服务端模型公用资料集中存放在服务端管理提供复数的客户端访问使用基于RPC协议,NIS服务一览,服务类型:SystemV后台进程:ypserv,ypbind,yppasswdd使用端口:由portmap(111)分配所需RPM包:ypserv,ypbind,yp-tools相关RPM包:portmap服务端配置文件:/etc/ypserv.conf/var/yp/*,NIS服务端与客户端,NIS客户端的后台进程是ypbind,服务端的后台进程是ypserv服务端支持NIS协议第一版与第二版客户端还多支持NIS+(v3)NIS的局限性安全性差可扩展性不足unix-only,NIS客户端基础,NIS客户端工具ypbind可以通过两种方式获知其域内的服务器是谁在NIS域内广播通过/etc/yp.conf读取本域内NIS服务器的位置使用工具配置客户端使用authconfig将本机添加入一个NIS域指定一个NIS服务器,/etc/nsswitch.conf,nsswitch.conf记录了系统查询用户密码、组、主机名等资源的遵循顺序确定nsswitch.conf文件中需要向服务器查询数据的资源顺序中包含NIS项查询资源可以是:files:本地文件dns:域名服务器nis/nisplus:NIS服务器ldap:ldap服务器db:数据库,NIS服务器布局,扁平结构一个主服务器负责一个域一个主服务器可以带领多个从服务器提供容错负载均衡,配置NIS服务端,在/etc/sysconfig/network中设定一个NIS domain:NISDOMAIN=mydomain修改/var/yp/Makefile决定需共享的数据在/var/yp/securenets中指定许可共享的网段执行/usr/lib/yp/ypinit-m执行service ypbind start执行service ypserv start,配置NIS从服务器,将所有从服务器名放在/var/yp/ypservers文件中在每一个从服务器上安装ypserv使用以下指令:/usr/lib/yp/ypinit s 主服务器名,NIS工具,ypcat:列出来自NIS server的map信息ypinit:建立并安装NIS databaseypwhich:列出NIS server的名称ypset:强制指定某台机器当NIS servermakedbm:创造NIS map的dbm档,第九单元,系统安全,任课讲师:_,监视文件系统,监视文件系统可以防止:硬盘空间被占满可能造成安全问题的错误权限监视文件系统包括:数据正确性检验搜寻不需要或可能造成系统破坏的文件,常规搜寻,搜寻所有设置了强制位的文件find/-type f perm+6000搜寻可以被任何用户写入的文件find/-type f perm 2搜寻不属于任何用户与组的文件find/-nouser o-nogroup,Tripwire,系统文件应该时时处于周密的监视下配置文件被更改可能造成服务的启动与运行故障可执行文件被更改可能造成更大的问题tripwire可以根据配置监测文件/目录的大小、更改时间、inode状态、所属用户/组及一系列属性,配置与使用tripwire,安装tripwire RPM包编辑twcfg.txt与twpol.txt,根据安装情况来定义配置与监视策略运行/etc/tripwire/twinstall.sh用tripwire init在/var/lib/tripwire/下建立原始数据库$HOSTNAME.twd用tripwire-check来根据数据库检查系统 用twprint m r twrfile 文件名来阅读监视报告,为Boot Loader加密,LILO密码明文存放在/etc/lilo.conf中可以应用于全局及局部用于防止用户进入操作系统GRUB密码经过md5加密可以应用于全局及局部用于防止用户更改启动参数,插装型认证模块(PAM),/lib/security动态可加载库集中安全管理配置在模块被调用时即生效/etc/pam.d为PAM 客户配置文件选择需要的库满足所有条件通过认证或失败,PAM 配置,/etc/pam.d/system-auth控制标志决定PAM如何使用模块调用后的返回值required,sufficient,或optional/etc/security/下包含了部分配置文件,核心PAM模块,pam_env:环境变量初始化pam_unix标准unix认证允许更改密码pam_cracklib:强制使用好密码,常用的pam模块,pam_nologin如果/etc/nologin存在,则除了root用户,任何用户不能登录pam_securetty在/etc/securetty文件中存放的,是root用户可以登录的终端不限制用户登录完成后用su切换成root,常用的pam模块(二),pam_access用一个简单的配置文件完成基于用户、组、及来源的访问限制使用/etc/security/access.conf为其配置文件pam_listfile允许用户针对某一服务单独建立文件来建立基于用户、组、本地终端、远端主机的限制,常用的pam模块(三),pam_limits允许在许可用户使用服务后,对用户的使用资源,进行各种设置pam_time使用一个简单的配置文件,来建立基于时间的服务访问限制使用/etc/security/time.conf为配置文件,sudo,让一般用户有可能使用root才可以使用的系统管理指令需要配置/etc/sudoers文件,来定义哪些用户可以使用哪些指令,以及使用时是否需要密码用visudo编辑/etc/sudoers文件用sudo 系统指令执行系统指令,第十单元,防火墙和IP伪装,任课讲师:_,iptables,iptables是Red Hat Linux里默认使用的防火墙iptables提供多个设定参数可以用来定义过滤规则,包括IP/MAC地址、协议、端口、子网掩码iptables支持在路由算法发生前后进行网络地址转换,iptables结构,iptables将防火墙的功能分成多个tablesfilter:数据包过滤NAT:Network Address Translation/网络地址转换tables又包含多个chains5条默认基础操作chains允许用户自行定义chains,iptables语法,iptables-t table pattern-j targetaction包括:-A chain:在chain中增添一条规则-D chain:在chain中删除一条规则-L chain:列出chain中的规则-F chain:清空chain中的规则-P chain:为chain指定新的默认策略,可以是:ACCEPT:未经禁止全部许可DROP:未经许口全部禁止,iptables语法(二),pattern包括:-s:来源地址-d:目标地址-p:指定协议,可以是tcp/udp/icmp-dport:目标端口,需指定-p-sport:来源端口,需指定-ptarget包括:DROP:禁止ACCEPT:许可,filter table,用于过滤数据包的接送chain INPUT:设定远端访问主机时的规则来源是远端访问者,目标是本地主机chain OUTPUT:设定主机访问远端主机的规则来源是本地主机,目标是远端被访问主机chain FORWARD:设定主机为其他主机转发数据包时的规则来源是请求转发的主机,目标是远端被访问的主机,NAT table,用于处理网络地址转换chain PREROUTING:路由算法发生之前转换数据包内的来源地址chain POSTROUTING:路由算法发生之后转换数据报内的目标地址,用NAT table完成IP伪装,对于负责内部子网的路由器,需要为保留地址进行IP伪装使用IP伪装功能需要打开本机上的IP转发功能范例:iptables t nat A POSTROUTING-s 192.168.0.0/24-o eth1 j MASQUERADE,第十一单元,网络安全,任课讲师:_,基础网络安全,越来越多的计算机被连接到网络上与网络连通对操作系统和后台进程意味着冒险,被寄生与攻击的可能,基于主机的安全,限制不受欢迎的来源封锁不作利用的端口不安装与启动不使用的服务一般,每一种服务本身一般都会提供方式做相关限制配制防火墙保护主机,tcp_wrapper,基于主机与服务使用简单的配置文件来设置访问限制/etc/hosts.allow/etc/hosts.deny基于xinetd的服务也能在其配置中调用libwrap配置一旦被改变,立刻生效,tcp_wrapper的配置,访问控制判断顺序:访问是否被明确许可否则,访问是否被明确禁止如果都没有,默认许可配置文件许可用:/etc/hosts.allow禁止用:/etc/hosts.deny基本语法:后台进程列表:客户端列表:参数,后台进程描述,后台进程列表应该是:服务的可执行工具名允许指定多项服务允许使用ALL来匹配所有服务允许可执行工具名后添加IP或主机名,如果本机有多个网络界面,客户端列表,客户端描述可以包含:IP地址()域名或主机名(,)子网掩码()网络名(mydomain),高级语法,通配符ALL:所有LOCAL:所以主机名中不包含.的主机UNKNOWN:无法被解析的主机KNOWN:可以双向解析的主机PARANOID:正向解析成功但无法反向解析的主机EXCEPT可用于服务列表与客户端列表可以层层套用,基于xinetd的服务,xinetd服务支持两种访问限制基于主机基于时间在xinetd与tcp_wrapper都限制的情况下:先检查tcp_wrapper如果tcp_wrapper允许,再检查xinetd是否也允许,配置xinetd访问限制,可以写在/et