RHCE認證253安全管理--中文版課件

1、第一單元服務任課講師：_服務網(wǎng)絡服務，根據(jù)其使用的方法來分，可以被分為三類由init控制的服務由System V 啟動腳本啟動的服務由xinetd 管理的服務由init控制的服務配置在/etc/inittab中可以設置respawn參數(shù)在服務每次被關閉時自動重啟inittab文件被改變后，可以用init q來使改動生效由System V啟動的服務由/etc/rc.d/init.d/目錄下的System V腳本啟動/etc/rc.d/init.d/script start | stop | restart也可以用service命令來執(zhí)行腳本。在不同運行級別下的默認開關可以不同用chkconfig

2、來管理在有些地方也被稱為standalone的服務由xinetd管理的服務由xinetd管理xinetd daemon服務管理文件放在/etc/xinetd.d/目錄下編輯服務文件來開關服務重啟xinetdchkconfigSystem V：決定在切換入某個運行級別下時，服務打開還是關閉xinetd：在xinetd服務正在運行的情況下，直接開啟或關閉基于xinetd的服務第二單元DNS任課講師：_DNSDNS：Domain Name Service/域名服務支持將計算機的域名解析成IP地址（正向搜索）支持將IP地址解析成計算機的域名（反向搜索）允許計算機根據(jù)邏輯組合成一個一個名字域區(qū)、域及授權

3、一個域（domain）包含一個完整的分級域名下層樹一個區(qū)（zone）則是域的一部分，被一個具體詳細的服務器所管理子域可以被授權成為附加的域一個區(qū)可以直接管理子域英特網(wǎng)上的分級DNS根域名服務器作為區(qū)認證域名服務器的最高級別域名服務器存在為遞歸查詢提供權威解釋區(qū)認證域名服務器區(qū)的劃分與認證主域名服務器與從域名服務器主域和從域主域服務器擁有一個域的主復制數(shù)據(jù)從域服務器為主服務器提供自動數(shù)據(jù)備份每一個從服務器都會自動從主服務器處同步更新數(shù)據(jù)客戶端DNS客戶端產(chǎn)生對IP與主機名解析的需求，通常DNS客戶端上有許多程序運行時需要解析客戶端檢索本地數(shù)據(jù)文件的相關記錄客戶端將無法自行解釋的需求，通過53端口

4、送給指定的DNS服務器收回的數(shù)據(jù)也許并不權威服務端DNS服務端接受請求如果自己無法給出回答，則可能將請求轉發(fā)給上級服務器，或直接詢問根域名服務器其上級服務器有可能給出回答，或進一步轉交給其他域名服務器一個服務器上可以記錄多個域的數(shù)據(jù)BINDBIND：Berkeley Internet Name DaemonBIND是在Internet上應用最為廣泛的DNS服務器提供穩(wěn)定與可信賴的下層結構以提供域名與IP地址的轉換BIND服務一覽后臺進程：named腳本：/etc/rc.d/init.d/named使用端口：53（tcp，udp）所需RPM包：bind，bind-utils相關RPM包：bind

5、conf，caching-nameserver配置文件：/etc/named.conf相關路徑：/var/named/*/etc/sysconfig/namednamed進程被System V腳本激活后，會根據(jù)此文件的參數(shù)決定其運行參數(shù)：例如：OPTION=“-d 5”(將debug等級設為5)/etc/named.confnamed.conf是BIND使用的默認配置文件在每一次named啟動與掛起時都會被讀取一個簡單的文本文件，其中記錄的可以包括options（全局參數(shù)）、zone（區(qū)域定義）、access control lists（訪問控制列表）等option在/etc/named.co

6、nf的options段中被宣告常用的參數(shù)包括directory：指定zone file的存放位置forwarders：指定其上級域名服務器allow-query：指定允許向其提交請求的客戶allow-transfer：指定允許復制zone數(shù)據(jù)的主機主域由一個zone段在/etc/named.conf中宣告type master；file：存放該zone數(shù)據(jù)的文件名必須存在于options段中提及的目錄之下文件名可以隨意allow-update：允許動態(tài)更新該zone數(shù)據(jù)的客戶機從域由一個zone段在/etc/named.conf中宣告type slave；master：指定其主域名服務器對應的

7、主域名服務器必須承認并存放有該區(qū)域的數(shù)據(jù)file：本地用于存放zone數(shù)據(jù)的文件從域名服務器總是試圖與其master聯(lián)系并獲取一份當前數(shù)據(jù)的副本反解析域域的名字必須用.in-來結尾由一個zone段在/etc/named.conf中宣告反解析域一般對應到一個具體的IP段反解析域同樣可以配置為從域許多服務會嘗試進行反解析根域根域“.”zone . IN type hint; file named.ca;zone文件文件通常存放在/var/named目錄下用于存放指定域內的各種資源與數(shù)據(jù)第一段資源記錄被成為起始授權記錄（SOA）每一個在/etc/named.conf中定義的zone都應該對應一個具體

8、的zone文件資源記錄SOA：定義起始授權NS：指定域名服務器MX：指定郵件服務器A：將一個域名解析成其后的IPCNAME：將一個域名設置為另一個域名的別名PTR：將一個IP地址指向一個域名SOA記錄SOA（Start of Authority）：起始授權每一個域文件中都應該有一個SOA 段 IN SOA localhost. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; MinimumNS記錄NS（name server）：域名服務器每一個主域名服務

9、器和從域名服務器都應該擁有一條NS記錄，以防止主服務器在出現(xiàn)故障后，從服務器不能及時提供服務IN NS.INNS.資源記錄A記錄用于將主機名對應成IP地址CNAME記錄用于定義某一個地址的別名PTR記錄用于將IP地址對應成一個主機名MX與HINFO記錄 MX：用于定義某一個域里負責的郵件服務器 每一條MX記錄前都需要指定優(yōu)先級別INMX5mailHINFO記錄提供解析時對一臺主機做補充注釋server1INHINFOmaster serverRound Robin利用復數(shù)A記錄來均衡數(shù)臺服務器的訪問負載www0INAwww0INAwww0INAr n d c域名服務器控制程序安全防范，遠程控制

10、運行的域名服務器使用TSIG 安全例如： root stationxx root# rndc reloadrndc 默認只監(jiān)聽本地loopback端口BIND語法檢查工具在BIND出錯時使用如下工具： named-checkconf 默認檢查的配置文件是 /etc/f named-checkzone 檢查一個Zone文件的配置redhat-config-bind圖形界面下的BIND配置工具簡單清晰地完成BIND配置可對應多個版本的BIND配置文件存放在/etc/alchemist/namespace/dns/local.adl第三單元Samba任課講師：_SAMBA 原理概述SAMBA：Sen

11、d Message Block整合了SMB協(xié)議及Netbios協(xié)議，使其運做在TCP/IP上。能夠讓Unix based的機器與windows互動。SAMBA服務有兩個進程：smbd：SMB服務器nmbd：netbios名字服務器SAMBA 服務一覽后臺進程：smbd，nmbd腳本：/etc/rc.d/init.d/smb使用端口：137，138，139所需RPM包：samba，samba-common，samba-client相關RPM包：samba-swat配置文件：/etc/samba/smb.confSAMBA 的配置samba的配置文件：/etc/samba/smb.conf由數(shù)個將

12、配置文件分成數(shù)段，例如：global：一些全局配置homes：讓用戶可以訪問其主目錄printers：定義共享的打印機資源圖形界面下的配置工具SWAT(Samba Web Admin Tool)redhat-config-samba全局設置全局設置寫在global段內，主要是指samba服務器的一些全局設定workgroupserver stringhosts allowsecurityencrypt passwordssmb passwd file共享段共享段用于在samba服務器上開放共享目錄一般每一個 表示一個指定的共享目錄， 內寫的是目錄的共享名測試samba服務用戶可以利用testp

13、arm指令來檢查smb.conf文件的語法。只能檢查關鍵字段的拼寫錯誤。對于配置值錯誤需要結合日志文件來判斷。用戶可以用service smb status判斷samba服務的開啟狀況用戶可以用nmblookup來檢查本機上的samba服務是否正確開啟管理smb用戶samba服務支持用戶級別的共享限制使用smbadduser添加可以使用smb服務的用戶。語法：smbadduser linux帳號:windows帳號使用smbpasswd改變用戶的密碼。用戶密碼存放在/etc/samba/smbpasswd文件中用戶映射存放在/etc/samba/smbuser文件中smbclient可以用來向

14、服務器請求samba服務資源列表smbclient L 主機名可以用來象一個ftp客戶端一樣訪問samba共享資源smbclient -U student%XXX /server1/tmpsmbmountsmbmount可以將遠端的一個window共享目錄，或Unix系統(tǒng)通過samba服務共享出來的目錄，掛載到自己的Linux文件系統(tǒng)上。語法：smbmount /server1/tmp /mnt/tmp o username=student,password=XXX用于替代mount t smb第四單元電子郵件服務任課講師：_郵件發(fā)送模型郵件用戶代理（MUA）將信息傳送給郵件傳輸代理（MTA）

15、郵件傳輸代理決定信息送至目的地的路由，然后根據(jù)情況決定是否還需要將信息交給中介郵件傳輸代理域郵件傳輸代理將郵件送至郵件投遞代理（MDA）用戶收到郵件SMTP協(xié)議SMTP：Simple Mail Transfer Protocol/簡單郵件傳送協(xié)議定義郵件傳送基于TCP服務的應用層RFC0821明文傳送SMTP協(xié)議的使用SMTP協(xié)議使用25端口SMTP協(xié)議命令HELO：通報來訪者地址MAIL FROM：發(fā)件人地址RCPT TO：收件人地址DATA：輸入正文內容，用單獨的.為行結束QUIT：連線結束安全與反垃圾郵件策略安全策略拒絕從無法解析的域送來的郵件建立各種基于主機、用戶、域的訪問控制默認配置

16、僅允許本地收發(fā)不再使用setuid的工具反垃圾郵件策略默認情況下不做轉發(fā)建立訪問數(shù)據(jù)庫檢查郵件信頭sendmailsendmail是使用十分廣泛的郵件提交工具（MSP）在郵件模型中承擔著MTA及MDA的作用支持多種類型的郵件地址尋址支持虛擬域及虛擬用戶允許用戶及主機偽裝提供在投遞失敗后自動重發(fā)等多種錯誤應對策略sendmail服務一覽后臺進程：sendmail腳本：/etc/init.d/sendmail使用端口：25(smtp)所需RPM包：sendmail，sendmail-cf，sendmail-doc配置文件：/etc/sendmail.cf，/etc/aliases，/etc/mai

17、l/，/usr/share/sendmail-cf/相關服務：procmailsendmail的主要配置文件/etc/sendmail.cf是默認的sendmail主要配置文件包含域別名段，信頭格式段，轉發(fā)規(guī)則等數(shù)據(jù)很少被直接修改/etc/mail/submit.cf被用于每次sendmail被一個用戶工具所調用的時候通常不需要修改用m4生成sendmail.cfm4是UNIX下使用的傳統(tǒng)宏處理器sendmail.cf可以由一個宏文件經(jīng)m4處理后得到Red Hat默認使用/etc/mail/sendmail.mc為/etc/sendmail.cf的宏文件m4 /etc/mail/sendmai

18、l.mc /etc/sendmail.cf我們推薦使用m4處理sendmail.mc來得到sendmail.cf編輯sendmail.mc每一個sendmail.mc宏應該定義了操作系統(tǒng)類型、文件位置、請求特征及郵件發(fā)送工具、用戶列表在每一行的開頭添加dnl表示注釋默認情況下，sendmail服務器只偵聽本地的連接注釋DAEMON_OPTION(PORT=smtp,Addr=,Name=MTA)其他有用的配置FEATURE（accept_unresolvable_domains）接受無法反向解析的域來的郵件FEATURE（dnsbl）支持根據(jù)dns黑洞列表來拒絕垃圾郵件FEATURE（rela

19、y_based_on_MX）自動接受DNS中MX記錄來源的郵件轉發(fā)FEATURE（blacklist_recipients）允許使用黑名單查禁收件人/etc/mail/access用于定義接受或拒絕的郵件來源：格式：IP/域名設定值設定值：REJECT：拒絕OK：無條件接受RELAY：允許轉發(fā)DISCARD：丟棄/etc/mail/virtusertable允許在郵件服務中使用虛擬域及虛擬用戶并自動映射：joejoerooteddyeddy/etc/aliases定義本地用戶的別名別名后的映射對象可以是：一個本地用戶多個本地用戶（用逗號分隔）本地文件（需要指出路徑）指令（需要管道）另一個ema

20、il地址設定完/etc/aliases后，需要運行newaliases更新aliases.db郵件收取MDA將收到的信件根據(jù)用戶存放在/var/spool/mail下/var/spool/mail目錄下每一個文件對應與文件名同名的用戶用戶使用mail等工具閱讀完信后，未被刪除的郵件會自動轉存到用戶主目錄下的mbox文件中POP3協(xié)議POP3：Post Office Protocol 3/郵局協(xié)議第三版POP3協(xié)議適用于不能時時在線的郵件用戶。支持客戶在服務器上租用信箱，然后利用POP3協(xié)議向服務器請求下載基于TCP/IP協(xié)議與客戶端/服務端模型POP3的認證與郵件傳送都采用明文使用pop3協(xié)議

21、POP3協(xié)議使用110端口POP3協(xié)議命令USER：通報用戶名PASS：輸入密碼LIST：列出所有郵件大小RETR：閱讀郵件DELE：刪除郵件QUIT：連線結束配置pop3服務器pop3服務一般是基于xinetd的服務可以通過兩種方式開啟和關閉服務編輯/etc/xinetd.d/ipop3并重啟xinetd使用chkconfig來開啟或關閉服務IMAPIMAP：Internet Message Access Protocol/英特網(wǎng)信息存取協(xié)議另一種從郵件服務器上獲取郵件的協(xié)議與POP3相比，支持在下載郵件前先行下載郵件頭以預覽郵件的主題來源基于TCP/IP使用143端口郵件接收工具mozil

22、la-mailmozilla下的郵件接收工具采用netscape mail的風格evolutionGNOME下的默認郵件接收工具采用windows下的outlook風格kmailkde下的郵件接收工具fetchmail字符界面下的郵件接收工具配置fetchmailfetchmail支持多種郵件接收協(xié)議fetchmail的配置文件是用戶主目錄下的.fetchmailrc文件“.fetchmailrc”中每一行代表一個郵件信箱范例： poll protocol pop3 username “kevinzou password “nopassprocmailprocmail是一個非常強大的郵件轉發(fā)工

23、具可以用來：對收到來信進行排序，并送入不同目錄預處理郵件在收到一封郵件后激活一個事件或程序自動轉發(fā)郵件給其他用戶默認情況下sendmail會將procmail設定為本機轉發(fā)郵件工具有可能在短時間內產(chǎn)生大量轉發(fā)郵件，因此配置時應小心謹慎簡單配置procmailprocmail的配置文件是用戶主目錄下的 ”.procmailrc”如需將來自kevinz關于linux的郵件轉發(fā)給todd，并復制入linux目錄：:0*From.*kevinz*Subject:.*linux :0 c! todd:0linux郵件讀寫工具圖形界面下的郵件接受工具一般也可以用來讀寫郵件字符界面下的郵件讀寫工具mail非

24、常簡單地郵件讀寫工具pine支持添加附件支持將已讀文件存入指定目錄第五單元WEB服務器任課講師：_http 服務原理超文本傳送協(xié)議基于客戶端服務端模型協(xié)議流程：連接：客戶端與服務端建立連接請求：客戶端向服務端發(fā)送請求應答：服務端響應，將結果傳給客戶端關閉：執(zhí)行結束后關閉web服務器 apache應用廣泛的web服務器支持進程控制在需要前自動復制進程進程數(shù)量自動使用需求支持動態(tài)加載模塊不需重編譯就可擴展其用途支持虛擬主機允許使用一臺web服務器提供多個web站點的共享apache服務一覽后臺進程：httpd腳本：/etc/rc.d/init.d/httpd使用端口：80(http)，443(ht

25、tps)所需RPM包：apache，apache-devel，apache-manual相關RPM包：apacheconf配置路徑：/etc/httpd/*，/var/www/*apache的配置文件配置文件儲存為/etc/httpd/conf/httpd.conf設置標準網(wǎng)絡服務器參數(shù)、虛擬主機、模塊定義文件名與mime類型訪問控制默認的html存放位置/var/www/html全局配置ServerType：選擇系統(tǒng)激活服務器的方式。可以是inetd或standaloneServerRoot：設定Apache安裝的絕對路徑TimeOut：設定服務器接收至完成的最長等待時間KeepAlive：

26、設定服務器是否開啟連續(xù)請求功能MaxKeepAliveRequests：設定服務器所能接受的最大連續(xù)請求量全局配置（二）KeepAliveTimeout：使用者 連續(xù) 請求的等待時間上限MinSpareServers：設定最小閑置子進程數(shù)MaxSpareServers：設定最大閑置子進程數(shù)StartServers：設定激活時所需建立的子進程數(shù)MaxClients：設定同時能夠提供使用者的最大服務請求數(shù)主機配置Port：設定http服務的默認端口。User/Group：設定服務器程序的執(zhí)行者與屬組ServerAdmin：設定站點管理者的電子郵件ServerName：設定服務器的名稱Documen

27、tRoot：設定服務器的共享路徑DirectoryIndex：設定默認調用文件順序ErrorLog：設定錯誤記錄文件名稱虛擬主機在同一臺服務器上配置多個共享服務在虛擬主機中未指定的配置即采用主機配置 ServerName DocumentRoot /var/www/virtual訪問控制Apache提供目錄級別與文件級別的基于主機的多種訪問控制Apache提供目錄級別基于用戶密碼的訪問控制.htaccessApache支持在需要限制訪問的目錄下，建立 .htaccess文件來實行訪問限制。用戶可以根據(jù)httpd.conf中記錄的AllowOverride內容，在 .htaccess文件添加訪問

28、控制語句以取代在httpd.conf中的記錄。改變 .htaccess文件設置不需要重啟httpdCGICGI程序只能放在有設定ScriptAlias的目錄下才可以使用。ScriptAlias /cgi-bin/ /cgi-bin/Apache 可以通過加載模塊來倍化CGI程序的速度Apache加密網(wǎng)站Apache用443端口提供https服務需要加載mod_ssl模塊相關配置文件在/etc/httpd/conf.d/ssl.conf加密配置認證：conf/ssl.crt/server.crt私鑰：conf/ssl.key/server.key認證/鑰匙生成/usr/share/ssl/cer

29、ts/Makefile個人簽名認證：make testcert認證簽名需要：make certreqSquid Web Proxy CacheSquid支持為FTP、HTTP等其他數(shù)據(jù)流做代理Squid會將SSL請求直接轉給目標服務器或另一個代理Squid提供諸如訪問控制列表、緩存管理及HTTP服務器加速第六單元NFS、FTP和DHCP任課講師：_NFSNFS：Network File System/網(wǎng)絡文件系統(tǒng)Linux與Linux之間的文件共享提供遠端讀存文件的服務NFS 原理概述建立在RPC協(xié)議上的服務，使用時需要打開portmap基于客戶端服務器端模型服務端為多個客戶端提供服務客戶端也

30、可以從多個服務端處獲得文件目錄NFS 服務一覽后臺進程：nfsd，lockd，rpciod，rpc.mounted，rpc.rquotad，rpc.statd腳本：/etc/init.d/nfs，/etc/init.d/nfslock使用端口：由portmap （111）分配所需RPM包：nfs-utils相關RPM包：portmap（必需）配置文件：/etc/exportsNFS 客戶端策略檢查服務端的nfs共享資源showmount -e server將服務端開放的nfs共享目錄掛載到本機上的一個目錄mount -t nfs server:/share /mnt/nfsNFS 服務端配置編

31、輯/etc/exports文件以配置開放路徑路徑對象（方式）確保portmap服務已開啟打開或重啟nfs服務service nfs start/restartFTPvsftpd是RedHat Linux默認使用的ftp服務端軟件vsftpd 不再依賴于xinetd服務允許匿名或本地用戶訪問匿名訪問不須額外的RPM包/etc/vsftpd/vsftpd.conf是默認的配置文件ftp服務一覽后臺進程：vsftpd類型：System V 服務使用端口：20(ftp-data)，21(ftp)所需RPM包：vsftpd配置文件：/etc/vsftpd/vsftpd.conf /etc/vsftpd.

32、ftpusers /etc/pam.d/vsftpd日志：/var/log/vsftpd.logFTP用戶控制/etc/vsftpd.ftpusers/etc/vsftpd.user_listFTP測試工具ftpwho：查看當前使用ftp的用戶ftpcount：查看當前連線數(shù)目DHCPDHCP：動態(tài)主機配置協(xié)議使用服務端的dhcpd來提供服務dhcpd可以同時為DHCP及BOOTP客戶端提供服務dhcp服務一覽后臺進程：dhcpd腳本：/etc/rc.d/init.d/dhcpd使用端口：67（bootps），68（bootpc）所需RPM包：dhcpd相關RPM包：配置文件：/etc/ftp

33、access，/etc/ftphosts，/etc/ftpusers日志：/var/log/xferlog配置dhcp服務/etc/dhcpd.conf范例：subnet netmask range 53;default-lease-time 21600;max-lease-time 43200;option domain-name “”;option routers 54;option domain-name-servers 54;常用dhcp配置參數(shù)subnet X.X.X.X netmask X.X.X.X指定dhcp服務工作網(wǎng)段range 指定分配地址段default-lease-ti

34、me默認租期（請求續(xù)租時間）max-lease-time最大租期常用dhcp配置參數(shù)（二）option routers分配路由器option domain-name分配域名option domain-name-servers分配DNS serverIP綁定host為綁定主機起名（并不是分配給對方的名字）hardware ethernet指定硬件地址fixed-address指定IP地址或主機名支持為綁定主機單獨分配其他網(wǎng)絡數(shù)據(jù)第七單元安全及策略任課講師：_安全術語什么是安全？加密數(shù)據(jù)完整可用系統(tǒng)安全由系統(tǒng)中最小的安全組件決定 (木桶原理)基礎網(wǎng)絡安全大多數(shù)的計算機都連接到網(wǎng)絡上局域網(wǎng)、廣域網(wǎng)或

35、者Internet由于連接在網(wǎng)絡上，增加了對操作系統(tǒng)和后臺服務的危脅常用術語的定義黑客破解者（駭客）拒絕服務緩沖溢出病毒特洛伊木馬蠕蟲安全策略物理上的安全性用戶限制服務限制網(wǎng)絡限制加密安全策略 （續(xù)）安全策略是為了加強對系統(tǒng)安全特性和管理而定義的規(guī)則審核讓我們檢查使用的安全工具實際中使用的安全策略審核分析 目前的情況了解 安全需求確定 如何實現(xiàn)它們實施 安全機制測試 安裝入侵檢測工具嗅探器（sniffers）滲透檢測器記錄日志日志工具發(fā)現(xiàn)入侵后的措施反應，保護，鏡像，恢復，搜索，報告第一步：反應第二步：保護發(fā)現(xiàn)入侵后的措施 續(xù)1反應，保護，鏡像，恢復，搜索，報告第三步：鏡像第四步：恢復發(fā)現(xiàn)入侵

36、后的措施 續(xù)2反應，保護，鏡像，恢復，搜索，報告第五步：搜索第六步：報告?zhèn)浞莶呗砸粋€好的備份策略可以使你從災難中恢復出來通常備份策略由以下組成：一次定期的完全備份每日增量備份備份媒體遠距離存儲第八單元NIS任課講師：_什么是NIS服務NIS：Network Information Service 基于客戶端服務端模型公用資料集中存放在服務端管理提供復數(shù)的客戶端訪問使用基于RPC協(xié)議NIS服務一覽服務類型：SystemV后臺進程：ypserv,ypbind,yppasswdd使用端口：由portmap （111）分配所需RPM包：ypserv,ypbind,yp-tools相關RPM包：port

37、map服務端配置文件：/etc/ypserv.conf /var/yp/*NIS服務端與客戶端NIS客戶端的后臺進程是ypbind，服務端的后臺進程是ypserv服務端支持NIS協(xié)議第一版與第二版客戶端還多支持NIS+(v3)NIS的局限性安全性差可擴展性不足unix-onlyNIS客戶端基礎NIS客戶端工具ypbind可以通過兩種方式獲知其域內的服務器是誰在NIS域內廣播通過/etc/yp.conf讀取本域內NIS服務器的位置使用工具配置客戶端使用authconfig將本機添加入一個NIS域指定一個NIS服務器/etc/nsswitch.confnsswitch.conf記錄了系統(tǒng)查詢用戶密

38、碼、組、主機名等資源的遵循順序確定nsswitch.conf文件中需要向服務器查詢數(shù)據(jù)的資源順序中包含NIS項查詢資源可以是：files：本地文件dns：域名服務器nis/nisplus：NIS服務器ldap：ldap服務器db：數(shù)據(jù)庫NIS服務器布局扁平結構一個主服務器負責一個域一個主服務器可以帶領多個從服務器提供容錯負載均衡配置NIS服務端在/etc/sysconfig/network中設定一個NIS domain：NISDOMAIN=mydomain修改/var/yp/Makefile決定需共享的數(shù)據(jù)在/var/yp/securenets中指定許可共享的網(wǎng)段執(zhí)行/usr/lib/yp/y

39、pinit -m執(zhí)行service ypbind start執(zhí)行service ypserv start配置NIS從服務器將所有從服務器名放在/var/yp/ypservers文件中在每一個從服務器上安裝ypserv使用以下指令：/usr/lib/yp/ypinit s 主服務器名NIS工具ypcat：列出來自NIS server的map信息ypinit：建立并安裝NIS databaseypwhich：列出NIS server的名稱ypset：強制指定某臺機器當NIS servermakedbm：創(chuàng)造NIS map的dbm檔第九單元系統(tǒng)安全任課講師：_監(jiān)視文件系統(tǒng)監(jiān)視文件系統(tǒng)可以防止：硬盤空

40、間被占滿可能造成安全問題的錯誤權限監(jiān)視文件系統(tǒng)包括：數(shù)據(jù)正確性檢驗搜尋不需要或可能造成系統(tǒng)破壞的文件常規(guī)搜尋搜尋所有設置了強制位的文件find / -type f perm +6000搜尋可以被任何用戶寫入的文件find / -type f perm 2搜尋不屬于任何用戶與組的文件find / -nouser o -nogroupTripwire系統(tǒng)文件應該時時處于周密的監(jiān)視下配置文件被更改可能造成服務的啟動與運行故障可執(zhí)行文件被更改可能造成更大的問題tripwire可以根據(jù)配置監(jiān)測文件/目錄的大小、更改時間、inode狀態(tài)、所屬用戶/組及一系列屬性配置與使用tripwire安裝tripwir

41、e RPM包編輯twcfg.txt與twpol.txt，根據(jù)安裝情況來定義配置與監(jiān)視策略運行/etc/tripwire/twinstall.sh用tripwire init在/var/lib/tripwire/下建立原始數(shù)據(jù)庫$HOSTNAME.twd用tripwire -check來根據(jù)數(shù)據(jù)庫檢查系統(tǒng) 用twprint m r twrfile 文件名來閱讀監(jiān)視報告為Boot Loader加密LILO密碼明文存放在/etc/lilo.conf中可以應用于全局及局部用于防止用戶進入操作系統(tǒng)GRUB密碼經(jīng)過md5加密可以應用于全局及局部用于防止用戶更改啟動參數(shù)插裝型認證模塊（PAM）/lib/se

42、curity動態(tài)可加載庫集中安全管理配置在模塊被調用時即生效/etc/pam.d為PAM 客戶配置文件選擇需要的庫滿足所有條件通過認證或失敗PAM 配置/etc/pam.d/system-auth控制標志決定PAM如何使用模塊調用后的返回值required，sufficient，或optional/etc/security/下包含了部分配置文件核心PAM模塊pam_env：環(huán)境變量初始化pam_unix標準unix認證允許更改密碼pam_cracklib：強制使用好密碼常用的pam模塊pam_nologin如果/etc/nologin存在，則除了root用戶，任何用戶不能登錄pam_secur

43、etty在/etc/securetty文件中存放的，是root用戶可以登錄的終端不限制用戶登錄完成后用su切換成root常用的pam模塊（二）pam_access用一個簡單的配置文件完成基于用戶、組、及來源的訪問限制使用/etc/security/access.conf為其配置文件pam_listfile允許用戶針對某一服務單獨建立文件來建立基于用戶、組、本地終端、遠端主機的限制常用的pam模塊（三）pam_limits允許在許可用戶使用服務后，對用戶的使用資源，進行各種設置pam_time使用一個簡單的配置文件，來建立基于時間的服務訪問限制使用/etc/security/time.conf為

44、配置文件sudo讓一般用戶有可能使用root才可以使用的系統(tǒng)管理指令需要配置/etc/sudoers文件，來定義哪些用戶可以使用哪些指令，以及使用時是否需要密碼用visudo編輯/etc/sudoers文件用sudo 系統(tǒng)指令執(zhí)行系統(tǒng)指令第十單元防火墻和IP偽裝任課講師：_iptablesiptables是Red Hat Linux里默認使用的防火墻iptables提供多個設定參數(shù)可以用來定義過濾規(guī)則，包括IP/MAC地址、協(xié)議、端口、子網(wǎng)掩碼iptables支持在路由算法發(fā)生前后進行網(wǎng)絡地址轉換iptables結構iptables將防火墻的功能分成多個tablesfilter：數(shù)據(jù)包過濾NA

45、T：Network Address Translation/網(wǎng)絡地址轉換tables又包含多個chains5條默認基礎操作chains允許用戶自行定義chainsiptables語法iptables -t table pattern -j targetaction包括：-A chain：在chain中增添一條規(guī)則-D chain：在chain中刪除一條規(guī)則-L chain：列出chain中的規(guī)則-F chain：清空chain中的規(guī)則-P chain：為chain指定新的默認策略，可以是：ACCEPT：未經(jīng)禁止全部許可DROP：未經(jīng)許口全部禁止iptables語法（二）pattern包括：-s

46、 ：來源地址-d ：目標地址-p ：指定協(xié)議，可以是tcp/udp/icmp-dport ：目標端口，需指定-p-sport ：來源端口，需指定-ptarget包括：DROP：禁止ACCEPT：許可filter table用于過濾數(shù)據(jù)包的接送chain INPUT：設定遠端訪問主機時的規(guī)則來源是遠端訪問者，目標是本地主機chain OUTPUT：設定主機訪問遠端主機的規(guī)則來源是本地主機，目標是遠端被訪問主機chain FORWARD：設定主機為其他主機轉發(fā)數(shù)據(jù)包時的規(guī)則來源是請求轉發(fā)的主機，目標是遠端被訪問的主機NAT table用于處理網(wǎng)絡地址轉換chain PREROUTING：路由算法發(fā)

47、生之前轉換數(shù)據(jù)包內的來源地址chain POSTROUTING：路由算法發(fā)生之后轉換數(shù)據(jù)報內的目標地址用NAT table完成IP偽裝對于負責內部子網(wǎng)的路由器，需要為保留地址進行IP偽裝使用IP偽裝功能需要打開本機上的IP轉發(fā)功能范例：iptables t nat A POSTROUTING -s /24 -o eth1 j MASQUERADE第十一單元網(wǎng)絡安全任課講師：_基礎網(wǎng)絡安全越來越多的計算機被連接到網(wǎng)絡上與網(wǎng)絡連通對操作系統(tǒng)和后臺進程意味著冒險，被寄生與攻擊的可能基于主機的安全限制不受歡迎的來源封鎖不作利用的端口不安裝與啟動不使用的服務一般，每一種服務本身一般都會提供方式做相關限制配制防火墻保護主機tcp_wrapper基于主機與服務使用簡單的配置文件來設置訪問限制/etc/hosts.allow/etc/hosts.deny基于xinetd的服務也能在其配置中調用libwrap配置一旦被改變，立刻生效tcp_wrapper的配置訪問控制判斷順序：訪問是否被明確許可否則，訪問是否被明確禁止如果都沒有，默認許可配置文