Linux操作系统应用与安全第9章Linux系统的安全管理.ppt

《Linux操作系统应用与安全第9章Linux系统的安全管理.ppt》由会员分享，可在线阅读，更多相关《Linux操作系统应用与安全第9章Linux系统的安全管理.ppt（24页珍藏版）》请在三一办公上搜索。

1、Linux操作系统应用与安全,主编 李贺华,中国水利水电出版社,Linux系统的安全管理,11,Linux系统的安全管理,学习要求：了解计算机系统不安全的主要因素；掌握Linux操作系统主要的安全措施；了解Linux系统下的杀毒软件；掌握至少一个软件的安装与使用；掌握Iptables在不同环境和需求下的配置。学习重点：1计算机系统不安全的主要因素；2.Linux操作系统的主要安全措施；3.Linux操作系统下的病毒防治；4.Iptables在不同环境和需求下的配置。学习难点：4.Iptables在不同环境和需求下的配置,9.1 Linux的主要安全问题,9.1.1 计算机不安全的因素,软件系统

2、硬件系统数据输入输出部分周围环境管理因素病毒破坏黑客攻击,设置BIOS密码设置用户登录口令 加强root用户的安全 删除多余的默认账号 加强配置文件的安全 加强启动脚本安全 禁止响应ping 禁止使用Ctrl+Alt+delete重启主机合理划分Linux系统分区 合理利用日志文件,9.1.2 Linux系统的安全措施,Avira AntiVir PersonalFree avast!Linux Home Edition ClamTk Virus Scanner,9.2 Linux系统下的病毒防治,9.2.1 Linux下的杀毒软件概述,杀毒软件的下载与注册杀毒软件的安装与更新 使用avast

3、查杀病毒,9.2.2 Linux下的杀毒软件使用,9.3 Linux系统下的防火墙使用,9.3.1 Netfilter/Iptables概述,Red hat Linux 提供的防火墙软件包内置于Linux内核中，是一种基于包过滤防火墙的技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包的类型等信息来控制包的流向。更彻底地过滤则是检查包中的源端口、目的端口以及连接状态等信息。Iptables是建立在netfilter架构基础上的一个包过滤管理工具，可以用它来加入或删除包过滤的规则。实际上真正来执行这些过滤规则的是Netfiter。因此，要在Linux中实现防火墙功能，需要有Netfil

4、ter与Iptables的支持。Netfilter提供一系列的表（table），每个表由若干链（chain）组成，而每条链中可以由一条或数条规则（rule）组成。它可以和其它模块（如Iptables模块和nat模块）结合起来实现包过滤的功能。用户可以使用Iptables命令实现网络访问控制，从而完成防火墙和地址转换的配置。,9.3.2 图形化的防火墙配置工具,管理员在这里所做的安全按设定都将被保存在/etc/sysconfig/redhat-config-securitylevel和/etc/sysconfig/iptables文件中，用户不需要手工编辑这两个文件。另外，当安全级别选择无防火墙

5、时，/etc/sysconfig/iptables文件将被系统自动删除。,使用service命令,9.3.3 Iptables的启/停,使用chkconfig命令,规则链 表,9.3.4 Iptables的语法规则,表是用来存储链的一个具体文件，在iptables中包含了3个表（table），它们分别是filter、nat和mangle。表filter用来记录包过滤的具体操作，其中包括INPUT（处理进入的数据）、FORWARD（转发数据）和OUTPUT（处理本地数据）3个内置链，另外还可以包含用户自定义的链。表nat用来记录地址转换规则，其中包括PREROUTING（修改即将到来的数据）、O

6、UTPUT（修改在路由之前的本地数据）以及POSTROUTING（修改即将输出的数据）3个链。表mangle用来记录包的修改方式，其中包括INPUT（处理进入的数据）、OUTPUT（处理本地数据）、FORWARD（转发数据）、PREROUTING（修改即将到来的数据）以及POSTROUTING（修改即将输出的数据）5个链。,iptables本身即是软件的名字，又是运行该软件的命令，使用格式是：“iptables-t 表 命令选项 链 匹配选项 动作选项”，下面是各个部分的说明。1）-t 表：该选项表示将该命令的纪录保存在filter、nat和mangle3个表中的哪一个表中。2）命令选项：表示

7、使用的具体命令参数，如表9.2所示。,表9.2 命令选项,3）链：表示要进行操作的链的名字。4）匹配选项：该参数为命令选项的补充参数，可以用来定义网络协议和IP地址等。该参数的具体内容如表9.3所示。,5）动作选项：该参数用来决定数据最终被如何执行。如表9.4所示。,查看iptables命令的帮助,9.3.5 Iptables命令的使用,查看iptables帮助，使用“iptables-h”命令，选项“-h”表示参看帮助。,查看、新建、删除链,9.3.5 Iptables命令的使用,新建、删除和查看链中的规则使用的命令格式为：“iptables-t 表名-N|X|L|F 链名”。其中：“-t

8、表名”指定表的名字，表名可以使用filter、nat和managle，默认查看filter表；“-L”列出链中的规则；“-N”新建一个链；“-X”删除一个链，但是不能删除内置链，并且只能删除空链；“链名”指定链的名字，如果不指定则默认查看指定表中的所有。,定义默认策略,9.3.5 Iptables命令的使用,当数据包不符合链中的任何一条规则时，iptables将根据该链预先定义的默认策略处理。默认策略的定义采用如下的命令格式：“iptables-t 表名-P 链名-j 动作”。其中：“-t 表名”表示定义的是哪个表的规则，表名可以是filter、nat和managle，未指定的情况下默认是filter表；“-P”表示定义的是默认策略；“链名”表示规则保存到哪个链中，如果不指定则默认保存到表中所有的链；动作表示处理数据包的方法，可以是ACCEPT或DROP等。,增加、插入、删除和替换链中的规则,9.3.5 Iptables命令的使用,记录与恢复防火墙规则,9.3.5 Iptables命令的使用,使用“iptables-save 文件名”命令可以将主机上已经设置好的防火墙配置复制保存到指定的文件，等到需要恢复的时候，可以直接使用恢复命令“iptables-restore 文件名”即可。,清除表中规则和计数器,9.3.5 Iptables命令的使用,欢迎提问？谢谢！,本章小结与习题,