RHCE認證253安全管理.ppt

第一單元 服務 任課講師 服務 網絡服務 根據其使用的方法來分 可以被分為三類由init控制的服務由SystemV啟動腳本啟動的服務由xinetd管理的服務 由init控制的服務 配置在 etc inittab中可以設置respawn參數在服務每次被關閉時自動重啟inittab文件被改變后 可以用initq來使改動生效 由SystemV啟動的服務 由 etc rc d init d 目錄下的SystemV腳本啟動 etc rc d init d script start stop restart 也可以用service命令來執(zhí)行腳本 在不同運行級別下的默認開關可以不同用chkconfig來管理在有些地方也被稱為standalone的服務 由xinetd管理的服務 由xinetd管理xinetddaemon服務管理文件放在 etc xinetd d 目錄下編輯服務文件來開關服務重啟xinetd chkconfig SystemV 決定在切換入某個運行級別下時 服務打開還是關閉xinetd 在xinetd服務正在運行的情況下 直接開啟或關閉基于xinetd的服務 第二單元 DNS 任課講師 DNS DNS DomainNameService 域名服務支持將計算機的域名解析成IP地址 正向搜索 支持將IP地址解析成計算機的域名 反向搜索 允許計算機根據邏輯組合成一個一個名字域 區(qū) 域及授權 一個域 domain 包含一個完整的分級域名下層樹一個區(qū) zone 則是域的一部分 被一個具體詳細的服務器所管理子域可以被授權成為附加的域一個區(qū)可以直接管理子域 英特網上的分級DNS 根域名服務器作為區(qū)認證域名服務器的最高級別域名服務器存在為遞歸查詢提供權威解釋區(qū)認證域名服務器區(qū)的劃分與認證主域名服務器與從域名服務器 主域和從域 主域服務器擁有一個域的主復制數據從域服務器為主服務器提供自動數據備份每一個從服務器都會自動從主服務器處同步更新數據 客戶端DNS 客戶端產生對IP與主機名解析的需求 通常DNS客戶端上有許多程序運行時需要解析客戶端檢索本地數據文件的相關記錄客戶端將無法自行解釋的需求 通過53端口送給指定的DNS服務器收回的數據也許并不權威 服務端DNS 服務端接受請求如果自己無法給出回答 則可能將請求轉發(fā)給上級服務器 或直接詢問根域名服務器其上級服務器有可能給出回答 或進一步轉交給其他域名服務器一個服務器上可以記錄多個域的數據 BIND BIND BerkeleyInternetNameDaemonBIND是在Internet上應用最為廣泛的DNS服務器提供穩(wěn)定與可信賴的下層結構以提供域名與IP地址的轉換 BIND服務一覽 后臺進程 named腳本 etc rc d init d named使用端口 53 tcp udp 所需RPM包 bind bind utils相關RPM包 bindconf caching nameserver配置文件 etc named conf相關路徑 var named etc sysconfig named named進程被SystemV腳本激活后 會根據此文件的參數決定其運行參數 例如 OPTION d5 將debug等級設為5 etc named conf named conf是BIND使用的默認配置文件在每一次named啟動與掛起時都會被讀取一個簡單的文本文件 其中記錄的可以包括options 全局參數 zone 區(qū)域定義 accesscontrollists 訪問控制列表 等 option 在 etc named conf的options段中被宣告常用的參數包括directory 指定zonefile的存放位置forwarders 指定其上級域名服務器allow query 指定允許向其提交請求的客戶allow transfer 指定允許復制zone數據的主機 主域 由一個zone段在 etc named conf中宣告typemaster file 存放該zone數據的文件名必須存在于options段中提及的目錄之下文件名可以隨意allow update 允許動態(tài)更新該zone數據的客戶機 從域 由一個zone段在 etc named conf中宣告typeslave master 指定其主域名服務器對應的主域名服務器必須承認并存放有該區(qū)域的數據file 本地用于存放zone數據的文件從域名服務器總是試圖與其master聯(lián)系并獲取一份當前數據的副本 反解析域 域的名字必須用 in addr arpa來結尾由一個zone段在 etc named conf中宣告反解析域一般對應到一個具體的IP段反解析域同樣可以配置為從域許多服務會嘗試進行反解析 根域 根域 zone IN typehint file named ca zone文件 文件通常存放在 var named目錄下用于存放指定域內的各種資源與數據第一段資源記錄被成為起始授權記錄 SOA 每一個在 etc named conf中定義的zone都應該對應一個具體的zone文件 資源記錄 SOA 定義起始授權NS 指定域名服務器MX 指定郵件服務器A 將一個域名解析成其后的IPCNAME 將一個域名設置為另一個域名的別名PTR 將一個IP地址指向一個域名 SOA記錄 SOA StartofAuthority 起始授權每一個域文件中都應該有一個SOA段 INSOAlocalhost root localhost 1997022700 Serial28800 Refresh14400 Retry3600000 Expire86400 Minimum NS記錄 NS nameserver 域名服務器每一個主域名服務器和從域名服務器都應該擁有一條NS記錄 以防止主服務器在出現(xiàn)故障后 從服務器不能及時提供服務 INNSINNS 資源記錄 A記錄用于將主機名對應成IP地址CNAME記錄用于定義某一個地址的別名PTR記錄用于將IP地址對應成一個主機名 MX與HINFO記錄 MX 用于定義某一個域里負責的郵件服務器每一條MX記錄前都需要指定優(yōu)先級別INMX5mailHINFO記錄提供解析時對一臺主機做補充注釋server1INHINFOmasterserver RoundRobin 利用復數A記錄來均衡數臺服務器的訪問負載www0INA192 168 0 3www0INA192 168 0 4www0INA192 168 0 5 rndc 域名服務器控制程序安全防范 遠程控制運行的域名服務器使用TSIG安全例如 root stationxxroot rndcreloadrndc默認只監(jiān)聽本地loopback端口 BIND語法檢查工具 在BIND出錯時使用如下工具 named checkconf默認檢查的配置文件是 etc fnamed checkzone檢查一個Zone文件的配置 redhat config bind 圖形界面下的BIND配置工具簡單清晰地完成BIND配置可對應多個版本的BIND配置文件存放在 etc alchemist namespace dns local adl 第三單元 Samba 任課講師 SAMBA原理概述 SAMBA SendMessageBlock整合了SMB協(xié)議及Netbios協(xié)議 使其運做在TCP IP上 能夠讓Unixbased的機器與windows互動 SAMBA服務有兩個進程 smbd SMB服務器nmbd netbios名字服務器 SAMBA服務一覽 后臺進程 smbd nmbd腳本 etc rc d init d smb使用端口 137 138 139所需RPM包 samba samba common samba client相關RPM包 samba swat配置文件 etc samba smb conf SAMBA的配置 samba的配置文件 etc samba smb conf由數個 將配置文件分成數段 例如 global 一些全局配置 homes 讓用戶可以訪問其主目錄 printers 定義共享的打印機資源圖形界面下的配置工具SWAT SambaWebAdminTool redhat config samba 全局設置 全局設置寫在 global 段內 主要是指samba服務器的一些全局設定workgroupserverstringhostsallowsecurityencryptpasswordssmbpasswdfile 共享段 共享段用于在samba服務器上開放共享目錄一般每一個 表示一個指定的共享目錄 內寫的是目錄的共享名 測試samba服務 用戶可以利用testparm指令來檢查smb conf文件的語法 只能檢查關鍵字段的拼寫錯誤 對于配置值錯誤需要結合日志文件來判斷 用戶可以用servicesmbstatus判斷samba服務的開啟狀況用戶可以用nmblookup來檢查本機上的samba服務是否正確開啟 管理smb用戶 samba服務支持用戶級別的共享限制使用smbadduser添加可以使用smb服務的用戶 語法 smbadduserlinux帳號 windows帳號使用smbpasswd改變用戶的密碼 用戶密碼存放在 etc samba smbpasswd文件中用戶映射存放在 etc samba smbuser文件中 smbclient 可以用來向服務器請求samba服務資源列表smbclient L主機名可以用來象一個ftp客戶端一樣訪問samba共享資源smbclient Ustudent XXX server1 tmp smbmount smbmount可以將遠端的一個window共享目錄 或Unix系統(tǒng)通過samba服務共享出來的目錄 掛載到自己的Linux文件系統(tǒng)上 語法 smbmount server1 tmp mnt tmp o username student password XXX用于替代mount tsmb 第四單元 電子郵件服務 任課講師 郵件發(fā)送模型 郵件用戶代理 MUA 將信息傳送給郵件傳輸代理 MTA 郵件傳輸代理決定信息送至目的地的路由 然后根據情況決定是否還需要將信息交給中介郵件傳輸代理域郵件傳輸代理將郵件送至郵件投遞代理 MDA 用戶收到郵件 SMTP協(xié)議 SMTP SimpleMailTransferProtocol 簡單郵件傳送協(xié)議定義郵件傳送基于TCP服務的應用層RFC0821明文傳送 SMTP協(xié)議的使用 SMTP協(xié)議使用25端口SMTP協(xié)議命令HELO 通報來訪者地址MAILFROM 發(fā)件人地址RCPTTO 收件人地址DATA 輸入正文內容 用單獨的 為行結束QUIT 連線結束 安全與反垃圾郵件策略 安全策略拒絕從無法解析的域送來的郵件建立各種基于主機 用戶 域的訪問控制默認配置僅允許本地收發(fā)不再使用setuid的工具反垃圾郵件策略默認情況下不做轉發(fā)建立訪問數據庫檢查郵件信頭 sendmail sendmail是使用十分廣泛的郵件提交工具 MSP 在郵件模型中承擔著MTA及MDA的作用支持多種類型的郵件地址尋址支持虛擬域及虛擬用戶允許用戶及主機偽裝提供在投遞失敗后自動重發(fā)等多種錯誤應對策略 sendmail服務一覽 后臺進程 sendmail腳本 etc init d sendmail使用端口 25 smtp 所需RPM包 sendmail sendmail cf sendmail doc配置文件 etc sendmail cf etc aliases etc mail usr share sendmail cf 相關服務 procmail sendmail的主要配置文件 etc sendmail cf是默認的sendmail主要配置文件包含域別名段 信頭格式段 轉發(fā)規(guī)則等數據很少被直接修改 etc mail submit cf被用于每次sendmail被一個用戶工具所調用的時候通常不需要修改 用m4生成sendmail cf m4是UNIX下使用的傳統(tǒng)宏處理器sendmail cf可以由一個宏文件經m4處理后得到RedHat默認使用 etc mail sendmail mc為 etc sendmail cf的宏文件m4 etc mail sendmail mc etc sendmail cf我們推薦使用m4處理sendmail mc來得到sendmail cf 編輯sendmail mc 每一個sendmail mc宏應該定義了操作系統(tǒng)類型 文件位置 請求特征及郵件發(fā)送工具 用戶列表在每一行的開頭添加dnl表示注釋默認情況下 sendmail服務器只偵聽本地的連接注釋DAEMON OPTION PORT smtp Addr 127 0 0 1 Name MTA 其他有用的配置 FEATURE accept unresolvable domains 接受無法反向解析的域來的郵件FEATURE dnsbl 支持根據dns黑洞列表來拒絕垃圾郵件FEATURE relay based on MX 自動接受DNS中MX記錄來源的郵件轉發(fā)FEATURE blacklist recipients 允許使用黑名單查禁收件人 etc mail access 用于定義接受或拒絕的郵件來源 格式 IP 域名設定值設定值 REJECT 拒絕OK 無條件接受RELAY 允許轉發(fā)DISCARD 丟棄 etc mail virtusertable 允許在郵件服務中使用虛擬域及虛擬用戶并自動映射 joe joe wenhua orgroot wenhua orgeddy eddy wenhua org etc aliases 定義本地用戶的別名別名后的映射對象可以是 一個本地用戶多個本地用戶 用逗號分隔 本地文件 需要指出路徑 指令 需要管道 另一個email地址設定完 etc aliases后 需要運行newaliases更新aliases db 郵件收取 MDA將收到的信件根據用戶存放在 var spool mail下 var spool mail目錄下每一個文件對應與文件名同名的用戶用戶使用mail等工具閱讀完信后 未被刪除的郵件會自動轉存到用戶主目錄下的mbox文件中 POP3協(xié)議 POP3 PostOfficeProtocol3 郵局協(xié)議第三版POP3協(xié)議適用于不能時時在線的郵件用戶 支持客戶在服務器上租用信箱 然后利用POP3協(xié)議向服務器請求下載基于TCP IP協(xié)議與客戶端 服務端模型POP3的認證與郵件傳送都采用明文 使用pop3協(xié)議 POP3協(xié)議使用110端口POP3協(xié)議命令USER 通報用戶名PASS 輸入密碼LIST 列出所有郵件大小RETR 閱讀郵件DELE 刪除郵件QUIT 連線結束 配置pop3服務器 pop3服務一般是基于xinetd的服務可以通過兩種方式開啟和關閉服務編輯 etc xinetd d ipop3并重啟xinetd使用chkconfig來開啟或關閉服務 IMAP IMAP InternetMessageAccessProtocol 英特網信息存取協(xié)議另一種從郵件服務器上獲取郵件的協(xié)議與POP3相比 支持在下載郵件前先行下載郵件頭以預覽郵件的主題來源基于TCP IP使用143端口 郵件接收工具 mozilla mailmozilla下的郵件接收工具采用netscapemail的風格evolutionGNOME下的默認郵件接收工具采用windows下的outlook風格kmailkde下的郵件接收工具fetchmail字符界面下的郵件接收工具 配置fetchmail fetchmail支持多種郵件接收協(xié)議fetchmail的配置文件是用戶主目錄下的 fetchmailrc文件 fetchmailrc 中每一行代表一個郵件信箱范例 protocolpop3username kevinzou password nopass procmail procmail是一個非常強大的郵件轉發(fā)工具可以用來 對收到來信進行排序 并送入不同目錄預處理郵件在收到一封郵件后激活一個事件或程序自動轉發(fā)郵件給其他用戶默認情況下sendmail會將procmail設定為本機轉發(fā)郵件工具有可能在短時間內產生大量轉發(fā)郵件 因此配置時應小心謹慎 簡單配置procmail procmail的配置文件是用戶主目錄下的 procmailrc 如需將來自kevinz關于linux的郵件轉發(fā)給todd 并復制入linux目錄 0 From kevinz Subject linux 0c todd wenhua org 0linux 郵件讀寫工具 圖形界面下的郵件接受工具一般也可以用來讀寫郵件字符界面下的郵件讀寫工具mail非常簡單地郵件讀寫工具pine支持添加附件支持將已讀文件存入指定目錄 第五單元 WEB服務器 任課講師 http服務原理 超文本傳送協(xié)議基于客戶端 服務端模型協(xié)議流程 連接 客戶端與服務端建立連接請求 客戶端向服務端發(fā)送請求應答 服務端響應 將結果傳給客戶端關閉 執(zhí)行結束后關閉 web服務器apache 應用廣泛的web服務器支持進程控制在需要前自動復制進程進程數量自動使用需求支持動態(tài)加載模塊不需重編譯就可擴展其用途支持虛擬主機允許使用一臺web服務器提供多個web站點的共享 apache服務一覽 后臺進程 httpd腳本 etc rc d init d httpd使用端口 80 http 443 https 所需RPM包 apache apache devel apache manual相關RPM包 apacheconf配置路徑 etc httpd var www apache的配置文件 配置文件儲存為 etc httpd conf httpd conf設置標準網絡服務器參數 虛擬主機 模塊定義文件名與mime類型訪問控制默認的html存放位置 var www html 全局配置 ServerType 選擇系統(tǒng)激活服務器的方式 可以是inetd或standaloneServerRoot 設定Apache安裝的絕對路徑TimeOut 設定服務器接收至完成的最長等待時間KeepAlive 設定服務器是否開啟連續(xù)請求功能MaxKeepAliveRequests 設定服務器所能接受的最大連續(xù)請求量 全局配置 二 KeepAliveTimeout 使用者 連續(xù) 請求的等待時間上限MinSpareServers 設定最小閑置子進程數MaxSpareServers 設定最大閑置子進程數StartServers 設定激活時所需建立的子進程數MaxClients 設定同時能夠提供使用者的最大服務請求數 主機配置 Port 設定http服務的默認端口 User Group 設定服務器程序的執(zhí)行者與屬組ServerAdmin 設定站點管理者的電子郵件ServerName 設定服務器的名稱DocumentRoot 設定服務器的共享路徑DirectoryIndex 設定默認調用文件順序ErrorLog 設定錯誤記錄文件名稱 虛擬主機 在同一臺服務器上配置多個共享服務在虛擬主機中未指定的配置即采用主機配置ServerNDocumentRoot var www virtual 訪問控制 Apache提供目錄級別與文件級別的基于主機的多種訪問控制Apache提供目錄級別基于用戶密碼的訪問控制 htaccess Apache支持在需要限制訪問的目錄下 建立 htaccess文件來實行訪問限制 用戶可以根據httpd conf中記錄的AllowOverride內容 在 htaccess文件添加訪問控制語句以取代在httpd conf中的記錄 改變 htaccess文件設置不需要重啟httpd CGI CGI程序只能放在有設定ScriptAlias的目錄下才可以使用 ScriptAlias cgi bin cgi bin Apache可以通過加載模塊來倍化CGI程序的速度 Apache加密網站 Apache用443端口提供https服務需要加載mod ssl模塊相關配置文件在 etc httpd conf d ssl conf加密配置認證 conf ssl crt server crt私鑰 conf ssl key server key認證 鑰匙生成 usr share ssl certs Makefile個人簽名認證 maketestcert認證簽名需要 makecertreq SquidWebProxyCache Squid支持為FTP HTTP等其他數據流做代理Squid會將SSL請求直接轉給目標服務器或另一個代理Squid提供諸如訪問控制列表 緩存管理及HTTP服務器加速 第六單元 NFS FTP和DHCP 任課講師 NFS NFS NetworkFileSystem 網絡文件系統(tǒng)Linux與Linux之間的文件共享提供遠端讀存文件的服務 NFS原理概述 建立在RPC協(xié)議上的服務 使用時需要打開portmap基于客戶端 服務器端模型服務端為多個客戶端提供服務客戶端也可以從多個服務端處獲得文件目錄 NFS服務一覽 后臺進程 nfsd lockd rpciod rpc mounted rpc rquotad rpc statd腳本 etc init d nfs etc init d nfslock使用端口 由portmap 111 分配所需RPM包 nfs utils相關RPM包 portmap 必需 配置文件 etc exports NFS客戶端策略 檢查服務端的nfs共享資源showmount eserver將服務端開放的nfs共享目錄掛載到本機上的一個目錄mount tnfsserver share mnt nfs NFS服務端配置 編輯 etc exports文件以配置開放路徑路徑對象 方式 確保portmap服務已開啟打開或重啟nfs服務servicenfsstart restart FTP vsftpd是RedHatLinux默認使用的ftp服務端軟件vsftpd不再依賴于xinetd服務允許匿名或本地用戶訪問匿名訪問不須額外的RPM包 etc vsftpd vsftpd conf是默認的配置文件 ftp服務一覽 后臺進程 vsftpd類型 SystemV服務使用端口 20 ftp data 21 ftp 所需RPM包 vsftpd配置文件 etc vsftpd vsftpd conf etc vsftpd ftpusers etc pam d vsftpd日志 var log vsftpd log FTP用戶控制 etc vsftpd ftpusers etc vsftpd user list FTP測試工具 ftpwho 查看當前使用ftp的用戶ftpcount 查看當前連線數目 DHCP DHCP 動態(tài)主機配置協(xié)議使用服務端的dhcpd來提供服務dhcpd可以同時為DHCP及BOOTP客戶端提供服務 dhcp服務一覽 后臺進程 dhcpd腳本 etc rc d init d dhcpd使用端口 67 bootps 68 bootpc 所需RPM包 dhcpd相關RPM包 配置文件 etc ftpaccess etc ftphosts etc ftpusers日志 var log xferlog 配置dhcp服務 etc dhcpd conf范例 subnet192 168 0 0netmask255 255 255 0 range192 168 0 2192 168 0 253 default lease time21600 max lease time43200 optiondomain name optionrouters192 168 0 254 optiondomain name servers192 168 0 254 常用dhcp配置參數 subnetX X X XnetmaskX X X X指定dhcp服務工作網段range指定分配地址段default lease time默認租期 請求續(xù)租時間 max lease time最大租期 常用dhcp配置參數 二 optionrouters分配路由器optiondomain name分配域名optiondomain name servers分配DNSserver IP綁定 host為綁定主機起名 并不是分配給對方的名字 hardwareethernet指定硬件地址fixed address指定IP地址或主機名支持為綁定主機單獨分配其他網絡數據 第七單元 安全及策略 任課講師 安全術語 什么是安全 加密數據完整可用系統(tǒng)安全由系統(tǒng)中最小的安全組件決定 木桶原理 基礎網絡安全 大多數的計算機都連接到網絡上 局域網 廣域網或者Internet由于連接在網絡上 增加了對操作系統(tǒng)和后臺服務的危脅 常用術語的定義 黑客破解者 駭客 拒絕服務緩沖溢出病毒特洛伊木馬蠕蟲 安全策略 物理上的安全性用戶限制服務限制網絡限制加密 安全策略 續(xù) 安全策略是為了加強對系統(tǒng)安全特性和管理而定義的規(guī)則審核讓我們檢查使用的安全工具實際中使用的安全策略 審核 分析目前的情況了解安全需求確定如何實現(xiàn)它們實施安全機制測試安裝 入侵檢測 工具嗅探器 sniffers 滲透檢測器記錄日志日志工具 發(fā)現(xiàn)入侵后的措施 反應 保護 鏡像 恢復 搜索 報告第一步 反應第二步 保護 發(fā)現(xiàn)入侵后的措施續(xù)1 反應 保護 鏡像 恢復 搜索 報告第三步 鏡像第四步 恢復 發(fā)現(xiàn)入侵后的措施續(xù)2 反應 保護 鏡像 恢復 搜索 報告第五步 搜索第六步 報告 備份策略 一個好的備份策略可以使你從災難中恢復出來通常備份策略由以下組成 一次定期的完全備份每日增量備份備份媒體遠距離存儲 第八單元 NIS 任課講師 什么是NIS服務 NIS NetworkInformationService基于客戶端 服務端模型公用資料集中存放在服務端管理提供復數的客戶端訪問使用基于RPC協(xié)議 NIS服務一覽 服務類型 SystemV后臺進程 ypserv ypbind yppasswdd使用端口 由portmap 111 分配所需RPM包 ypserv ypbind yp tools相關RPM包 portmap服務端配置文件 etc ypserv conf var yp NIS服務端與客戶端 NIS客戶端的后臺進程是ypbind 服務端的后臺進程是ypserv服務端支持NIS協(xié)議第一版與第二版客戶端還多支持NIS v3 NIS的局限性安全性差可擴展性不足unix only NIS客戶端基礎 NIS客戶端工具ypbind可以通過兩種方式獲知其域內的服務器是誰在NIS域內廣播通過 etc yp conf讀取本域內NIS服務器的位置使用工具配置客戶端使用authconfig將本機添加入一個NIS域指定一個NIS服務器 etc nsswitch conf nsswitch conf記錄了系統(tǒng)查詢用戶密碼 組 主機名等資源的遵循順序確定nsswitch conf文件中需要向服務器查詢數據的資源順序中包含NIS項查詢資源可以是 files 本地文件dns 域名服務器nis nisplus NIS服務器ldap ldap服務器db 數據庫 NIS服務器布局 扁平結構一個主服務器負責一個域一個主服務器可以帶領多個從服務器提供容錯負載均衡 配置NIS服務端 在 etc sysconfig network中設定一個NISdomain NISDOMAIN mydomain修改 var yp Makefile決定需共享的數據在 var yp securenets中指定許可共享的網段執(zhí)行 usr lib yp ypinit m執(zhí)行serviceypbindstart執(zhí)行serviceypservstart 配置NIS從服務器 將所有從服務器名放在 var yp ypservers文件中在每一個從服務器上安裝ypserv使用以下指令 usr lib yp ypinit s主服務器名 NIS工具 ypcat 列出來自NISserver的map信息ypinit 建立并安裝NISdatabaseypwhich 列出NISserver的名稱ypset 強制指定某臺機器當NISservermakedbm 創(chuàng)造NISmap的dbm檔 第九單元 系統(tǒng)安全 任課講師 監(jiān)視文件系統(tǒng) 監(jiān)視文件系統(tǒng)可以防止 硬盤空間被占滿可能造成安全問題的錯誤權限監(jiān)視文件系統(tǒng)包括 數據正確性檢驗搜尋不需要或可能造成系統(tǒng)破壞的文件 常規(guī)搜尋 搜尋所有設置了強制位的文件find typef perm 6000搜尋可以被任何用戶寫入的文件find typef perm2搜尋不屬于任何用戶與組的文件find nouser o nogroup Tripwire 系統(tǒng)文件應該時時處于周密的監(jiān)視下配置文件被更改可能造成服務的啟動與運行故障可執(zhí)行文件被更改可能造成更大的問題tripwire可以根據配置監(jiān)測文件 目錄的大小 更改時間 inode狀態(tài) 所屬用戶 組及一系列屬性 配置與使用tripwire 安裝tripwireRPM包編輯twcfg txt與twpol txt 根據安裝情況來定義配置與監(jiān)視策略運行 etc tripwire twinstall sh用tripwire init在 var lib tripwire 下建立原始數據庫 HOSTNAME twd用tripwire check來根據數據庫檢查系統(tǒng)用 twprint mr twrfile文件名 來閱讀監(jiān)視報告 為BootLoader加密 LILO密碼明文存放在 etc lilo conf中可以應用于全局及局部用于防止用戶進入操作系統(tǒng)GRUB密碼經過md5加密可以應用于全局及局部用于防止用戶更改啟動參數 插裝型認證模塊 PAM lib security動態(tài)可加載庫集中安全管理配置在模塊被調用時即生效 etc pam d為PAM 客戶 配置文件選擇需要的庫滿足所有條件通過認證或失敗 PAM配置 etc pam d system auth控制標志決定PAM如何使用模塊調用后的返回值required sufficient 或optional etc security 下包含了部分配置文件 核心PAM模塊 pam env 環(huán)境變量初始化pam unix標準unix認證允許更改密碼pam cracklib 強制使用好密碼 常用的pam模塊 pam nologin如果 etc nologin存在 則除了root用戶 任何用戶不能登錄pam securetty在 etc securetty文件中存放的 是root用戶可以登錄的終端不限制用戶登錄完成后用su切換成root 常用的pam模塊 二 pam access用一個簡單的配置文件完成基于用戶 組 及來源的訪問限制使用 etc security access conf為其配置文件pam listfile允許用戶針對某一服務單獨建立文件來建立基于用戶 組 本地終端 遠端主機的限制 常用的pam模塊 三 pam limits允許在許可用戶使用服務后 對用戶的使用資源 進行各種設置pam time使用一個簡單的配置文件 來建立基于時間的服務訪問限制使用 etc security time conf為配置文件 sudo 讓一般用戶有可能使用root才可以使用的系統(tǒng)管理指令需要配置 etc sudoers文件 來定義哪些用戶可以使用哪些指令 以及使用時是否需要密碼用visudo編輯 etc sudoers文件用 sudo系統(tǒng)指令 執(zhí)行系統(tǒng)指令 第十單元 防火墻和IP偽裝 任課講師 iptables iptables是RedHatLinux里默認使用的防火墻iptables提供多個設定參數可以用來定義過濾規(guī)則 包括IP MAC地址 協(xié)議 端口 子網掩碼iptables支持在路由算法發(fā)生前后進行網絡地址轉換 iptables結構 iptables將防火墻的功能分成多個tablesfilter 數據包過濾NAT NetworkAddressTranslation 網絡地址轉換tables又包含多個chains5條默認基礎操作chains允許用戶自行定義chains iptables語法 iptables ttable pattern jtarget action包括 Achain 在chain中增添一條規(guī)則 Dchain 在chain中刪除一條規(guī)則 Lchain 列出chain中的規(guī)則 Fchain 清空chain中的規(guī)則 Pchain 為chain指定新的默認策略 可以是 ACCEPT 未經禁止全部許可DROP 未經許口全部禁止 iptables語法 二 pattern包括 s 來源地址 d 目標地址 p 指定協(xié)議 可以是tcp udp icmp dport 目標端口 需指定 p sport 來源端口 需指定 ptarget包括 DROP 禁止ACCEPT 許可 filtertable 用于過濾數據包的接送chainINPUT 設定遠端訪問主機時的規(guī)則來源是遠端訪問者 目標是本地主機chainOUTPUT 設定主機訪問遠端主機的規(guī)則來源是本地主機 目標是遠端被訪問主機chainFORWARD 設定主機為其他主機轉發(fā)數據包時的規(guī)則來源是請求轉發(fā)的主機 目標是遠端被訪問的主機 NATtable 用于處理網絡地址轉換chainPREROUTING 路由算法發(fā)生之前轉換數據包內的來源地址chainPOSTROUTING 路由算法發(fā)生之后轉換數據報內的目標地址 用NATtable完成IP偽裝 對于負責內部子網的路由器 需要為保留地址進行IP偽裝使用IP偽裝功能需要打開本機上的IP轉發(fā)功能范例 iptables tnat APOSTROUTING s192 168 0 0 24 oeth1 jMASQUERADE 第十一單元 網絡安全 任課講師 基礎網絡安全 越來越多的計算機被連接到網絡上與網絡連通對操作系統(tǒng)和后臺進程意味著冒險 被寄生與攻擊的可能 基于主機的安全 限制不受歡迎的來源封鎖不作利用的端口不安裝與啟動不使用的服務一般 每一種服務本身一般都會提供方式做相關限制配制防火墻保護主機 tcp wrapper 基于主機與服務使用簡單的配置文件來設置訪問限制 etc hosts allow etc hosts deny基于xinetd的服務也能在其配置中調用libwrap配置一旦被改變 立刻生效 tcp wrapper的配置 訪問控制判斷順序 訪問是否被明確許可否則 訪問是否被明確禁止如果都沒有 默認許可配置文件許可用 etc hosts allow禁止用 etc hosts deny