Linux操作系统应用与安全第9章Linux系统的安全管理.ppt

Linux操作系统应用与安全,主编 李贺华,中国水利水电出版社,Linux系统的安全管理,11,Linux系统的安全管理,学习要求：了解计算机系统不安全的主要因素；掌握Linux操作系统主要的安全措施；了解Linux系统下的杀毒软件；掌握至少一个软件的安装与使用；掌握Iptables在不同环境和需求下的配置。学习重点：1计算机系统不安全的主要因素；2.Linux操作系统的主要安全措施；3.Linux操作系统下的病毒防治；4.Iptables在不同环境和需求下的配置。学习难点：4.Iptables在不同环境和需求下的配置,9.1 Linux的主要安全问题,9.1.1 计算机不安全的因素,软件系统硬件系统数据输入输出部分周围环境管理因素病毒破坏黑客攻击,设置BIOS密码设置用户登录口令 加强root用户的安全 删除多余的默认账号 加强配置文件的安全 加强启动脚本安全 禁止响应ping 禁止使用Ctrl+Alt+delete重启主机合理划分Linux系统分区 合理利用日志文件,9.1.2 Linux系统的安全措施,Avira AntiVir PersonalFree avast!Linux Home Edition ClamTk Virus Scanner,9.2 Linux系统下的病毒防治,9.2.1 Linux下的杀毒软件概述,杀毒软件的下载与注册杀毒软件的安装与更新 使用avast查杀病毒,9.2.2 Linux下的杀毒软件使用,9.3 Linux系统下的防火墙使用,9.3.1 Netfilter/Iptables概述,Red hat Linux 提供的防火墙软件包内置于Linux内核中，是一种基于包过滤防火墙的技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包的类型等信息来控制包的流向。更彻底地过滤则是检查包中的源端口、目的端口以及连接状态等信息。Iptables是建立在netfilter架构基础上的一个包过滤管理工具，可以用它来加入或删除包过滤的规则。实际上真正来执行这些过滤规则的是Netfiter。因此，要在Linux中实现防火墙功能，需要有Netfilter与Iptables的支持。Netfilter提供一系列的表（table），每个表由若干链（chain）组成，而每条链中可以由一条或数条规则（rule）组成。它可以和其它模块（如Iptables模块和nat模块）结合起来实现包过滤的功能。用户可以使用Iptables命令实现网络访问控制，从而完成防火墙和地址转换的配置。,9.3.2 图形化的防火墙配置工具,管理员在这里所做的安全按设定都将被保存在/etc/sysconfig/redhat-config-securitylevel和/etc/sysconfig/iptables文件中，用户不需要手工编辑这两个文件。另外，当安全级别选择无防火墙时，/etc/sysconfig/iptables文件将被系统自动删除。,使用service命令,9.3.3 Iptables的启/停,使用chkconfig命令,规则链 表,9.3.4 Iptables的语法规则,表是用来存储链的一个具体文件，在iptables中包含了3个表（table），它们分别是filter、nat和mangle。表filter用来记录包过滤的具体操作，其中包括INPUT（处理进入的数据）、FORWARD（转发数据）和OUTPUT（处理本地数据）3个内置链，另外还可以包含用户自定义的链。表nat用来记录地址转换规则，其中包括PREROUTING（修改即将到来的数据）、OUTPUT（修改在路由之前的本地数据）以及POSTROUTING（修改即将输出的数据）3个链。表mangle用来记录包的修改方式，其中包括INPUT（处理进入的数据）、OUTPUT（处理本地数据）、FORWARD（转发数据）、PREROUTING（修改即将到来的数据）以及POSTROUTING（修改即将输出的数据）5个链。,iptables本身即是软件的名字，又是运行该软件的命令，使用格式是：“iptables-t 表 命令选项 链 匹配选项 动作选项”，下面是各个部分的说明。1）-t 表：该选项表示将该命令的纪录保存在filter、nat和mangle3个表中的哪一个表中。2）命令选项：表示使用的具体命令参数，如表9.2所示。,表9.2 命令选项,3）链：表示要进行操作的链的名字。4）匹配选项：该参数为命令选项的补充参数，可以用来定义网络协议和IP地址等。该参数的具体内容如表9.3所示。,5）动作选项：该参数用来决定数据最终被如何执行。如表9.4所示。,查看iptables命令的帮助,9.3.5 Iptables命令的使用,查看iptables帮助，使用“iptables-h”命令，选项“-h”表示参看帮助。,查看、新建、删除链,9.3.5 Iptables命令的使用,新建、删除和查看链中的规则使用的命令格式为：“iptables-t 表名-N|X|L|F 链名”。其中：“-t 表名”指定表的名字，表名可以使用filter、nat和managle，默认查看filter表；“-L”列出链中的规则；“-N”新建一个链；“-X”删除一个链，但是不能删除内置链，并且只能删除空链；“链名”指定链的名字，如果不指定则默认查看指定表中的所有。,定义默认策略,9.3.5 Iptables命令的使用,当数据包不符合链中的任何一条规则时，iptables将根据该链预先定义的默认策略处理。默认策略的定义采用如下的命令格式：“iptables-t 表名-P 链名-j 动作”。其中：“-t 表名”表示定义的是哪个表的规则，表名可以是filter、nat和managle，未指定的情况下默认是filter表；“-P”表示定义的是默认策略；“链名”表示规则保存到哪个链中，如果不指定则默认保存到表中所有的链；动作表示处理数据包的方法，可以是ACCEPT或DROP等。,增加、插入、删除和替换链中的规则,9.3.5 Iptables命令的使用,记录与恢复防火墙规则,9.3.5 Iptables命令的使用,使用“iptables-save 文件名”命令可以将主机上已经设置好的防火墙配置复制保存到指定的文件，等到需要恢复的时候，可以直接使用恢复命令“iptables-restore 文件名”即可。,清除表中规则和计数器,9.3.5 Iptables命令的使用,欢迎提问？谢谢！,本章小结与习题,