網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程（微課版）-教案 Linux操作系統(tǒng)安全加固

《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案3（第3號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)2.1禁用或刪除無用賬號(hào)任務(wù)2.2檢查特殊賬號(hào)教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握linux賬號(hào)安全設(shè)置；2.掌握linux特殊賬號(hào)的管理；能力目標(biāo)1.能夠使用相關(guān)命令對(duì)禁用賬號(hào)進(jìn)行鎖定；2.能夠使用grep、awk快速檢索特殊賬號(hào)；素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生獨(dú)立分析問題、解決問題的能力。學(xué)情分析1.專業(yè)興趣高，動(dòng)手能力強(qiáng)，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護(hù)技能，但掌握不深入；3.有一定溝通交通能力，85%的學(xué)生不具備換位思考意識(shí)，70%的學(xué)生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點(diǎn)分析教學(xué)重點(diǎn)1.會(huì)使用禁用無用賬號(hào)；2.會(huì)使用命令快速檢查特殊賬號(hào)；教學(xué)難點(diǎn)1.系統(tǒng)賬號(hào)（偽賬號(hào)）的危害；信息化應(yīng)用方法基于省級(jí)精品在線開放課程，通過泛雅教學(xué)平臺(tái)發(fā)布教學(xué)資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習(xí)；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學(xué)生根據(jù)任務(wù)現(xiàn)場(chǎng)操作，教師糾錯(cuò)，以小組為單位，生生互評(píng)（根據(jù)操作評(píng)分細(xì)則），并錄制視頻；對(duì)于學(xué)生的易錯(cuò)點(diǎn)和本節(jié)課的難點(diǎn)進(jìn)行突破學(xué)習(xí)，提升學(xué)生對(duì)操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.國(guó)家安全。通過案件，大學(xué)生泄露國(guó)家秘密事件，提升國(guó)家安全意識(shí)；2.工匠精神。通過課程實(shí)訓(xùn)，在一個(gè)個(gè)操作細(xì)節(jié)中，加固linux操作系統(tǒng)，培養(yǎng)學(xué)生精益求精工匠精神。3.隱私保護(hù)。通過密碼口令的加固，網(wǎng)絡(luò)中出現(xiàn)的“撞庫”事件，提升大學(xué)生個(gè)人信息保護(hù)意識(shí)；教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布LINUX系統(tǒng)安全加固任務(wù)1任務(wù)2學(xué)習(xí)任務(wù)，供學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課小林在對(duì)Linux服務(wù)器系統(tǒng)進(jìn)行深度審查時(shí)，注意到由于運(yùn)維團(tuán)隊(duì)安全意識(shí)的欠缺，系統(tǒng)內(nèi)積累了諸多冗余且無實(shí)際業(yè)務(wù)關(guān)聯(lián)的賬號(hào)與用戶組。對(duì)此，小林秉持嚴(yán)謹(jǐn)?shù)臉I(yè)務(wù)梳理原則，迅速采取行動(dòng)，對(duì)這些冗余且無實(shí)際業(yè)務(wù)關(guān)聯(lián)的賬號(hào)和用戶組進(jìn)行了禁用或刪除處理。此舉有效縮減了潛在的攻擊面，有力提升了系統(tǒng)的整體防護(hù)能力，降低了系統(tǒng)遭受外部入侵的風(fēng)險(xiǎn)。在Linux操作系統(tǒng)中有三大類用戶，分別是root用戶、系統(tǒng)用戶和普通用戶，每類用戶的權(quán)限和所能執(zhí)行的工作任務(wù)不同。在實(shí)際的管理中，用戶的角色是通過UID來標(biāo)識(shí)的，每個(gè)用戶的UID都不相同。黑客在入侵Linux操作系統(tǒng)之后，通常會(huì)通過創(chuàng)建一些特殊的賬號(hào)進(jìn)行隱藏，以便后期登錄時(shí)利用。工程師小林對(duì)服務(wù)器系統(tǒng)進(jìn)行安全基線檢測(cè)時(shí)，發(fā)現(xiàn)系統(tǒng)中存在一些特殊賬號(hào)，他及時(shí)對(duì)這些賬號(hào)進(jìn)行了處理和加固，以保障系統(tǒng)安全。任務(wù)1知識(shí)點(diǎn)講解1、用戶的概念和分類用戶是指實(shí)際登錄Linux操作系統(tǒng)中執(zhí)行操作的人或邏輯性的對(duì)象。在Linux操作系統(tǒng)中，不論是由本地登錄系統(tǒng)還是遠(yuǎn)程登錄系統(tǒng)，每個(gè)用戶都必須擁有一個(gè)賬號(hào)，并且不同的用戶對(duì)于不同的系統(tǒng)資源擁有不同的使用權(quán)限。用戶賬號(hào)由用戶名和密碼構(gòu)成，用戶名嚴(yán)格區(qū)分大小寫。用戶登錄Linux操作系統(tǒng)時(shí)，必須輸入用戶名和密碼，只有用戶名存在且與密碼相匹配時(shí)才能正常登錄。在Linux操作系統(tǒng)中，用戶由一個(gè)數(shù)字ID來標(biāo)識(shí)，稱為UID（UserIdentifier，用戶標(biāo)識(shí)符）。每個(gè)用戶對(duì)應(yīng)一個(gè)用戶賬號(hào)，也對(duì)應(yīng)唯一的UID。UID相當(dāng)于我們的身份證號(hào)碼，具有唯一性，因此可通過用戶的UID來判斷用戶的身份。Linux操作系統(tǒng)的用戶通常分為以下3類。（1）超級(jí)用戶：也被稱為root用戶、系統(tǒng)管理員或根用戶，擁有系統(tǒng)的最高權(quán)限，通常在系統(tǒng)維護(hù)和執(zhí)行其他必要的操作時(shí)使用，以避免安全風(fēng)險(xiǎn)，其UID為0。（2）系統(tǒng)用戶：Linux操作系統(tǒng)為了避免因某個(gè)服務(wù)程序出現(xiàn)漏洞而被黑客提權(quán)至整臺(tái)服務(wù)器，默認(rèn)服務(wù)程序會(huì)有獨(dú)立的系統(tǒng)用戶負(fù)責(zé)運(yùn)行，進(jìn)而有效控制被破壞的范圍。系統(tǒng)用戶是Linux操作系統(tǒng)正常運(yùn)行所需的內(nèi)置用戶，它們通常在系統(tǒng)啟動(dòng)時(shí)需要執(zhí)行某些服務(wù)程序，但在默認(rèn)情況下，這些用戶無法直接登錄系統(tǒng)。常見的系統(tǒng)用戶有bin、daemon、adm、ftp、mail等。（3）普通用戶：由root用戶創(chuàng)建的用于日常工作的用戶都屬于普通用戶，普通用戶能夠登錄系統(tǒng)，能夠操作自身目錄的內(nèi)容，但其使用系統(tǒng)的權(quán)限受到限制。2、與用戶賬號(hào)相關(guān)的系統(tǒng)文件在Linux操作系統(tǒng)中，完成用戶管理有多種方法，但是每一種方法實(shí)際上都是對(duì)相關(guān)的系統(tǒng)文件進(jìn)行修改。Linux用戶賬號(hào)信息存儲(chǔ)在/etc/passwd文件（用戶賬號(hào)文件）和/etc/shadow文件（用戶影子文件）中，Linux用戶組信息存儲(chǔ)在/etc/group文件（用戶組賬號(hào)文件）和/etc/gshadow文件（用戶組影子文件）中。1．/etc/passwd文件/etc/passwd文件是Linux操作系統(tǒng)識(shí)別用戶的文件，用于存儲(chǔ)用戶賬號(hào)信息，所有用戶都被記錄在該文件中。在用戶登錄期間，系統(tǒng)通過查詢這個(gè)文件，確定用戶的UID并驗(yàn)證用戶的密碼。該文件中的每一行代表一個(gè)用戶，且每個(gè)用戶的信息由冒號(hào)分隔為7個(gè)字段，各字段從左到右依次為：username:password:UID:GID:comment:homedirectory:shell以下字段分別表示用戶名、用戶密碼、UID、GID（GroupIdentifiev，組標(biāo)識(shí)符）、備注信息、用戶主目錄、命令解釋器。序號(hào)字段含義1username用戶登錄時(shí)使用的用戶名2password用戶密碼，出于安全考慮，通常使用“x”來填充該字段3UIDUID，與用戶名一一對(duì)應(yīng)4GIDGID，記錄用戶所屬的組，相同的組具有相同的GID5comment備注信息，該字段為可選項(xiàng)6homedirectory用戶主目錄，用戶登錄成功后進(jìn)入的默認(rèn)目錄7shell命令解釋器，用戶登錄Linux操作系統(tǒng)后進(jìn)入的Shell環(huán)境2．/etc/shadow文件在Linux操作系統(tǒng)中，所有用戶都可以讀取/etc/passwd文件的內(nèi)容，該文件中存儲(chǔ)了所有用戶賬號(hào)的信息。如果在/etc/passwd文件中存儲(chǔ)用戶密碼，則容易被黑客獲取并破譯。目前，許多Linux發(fā)行版本默認(rèn)引入了/etc/shadow文件，用于存儲(chǔ)加密后的用戶密碼，這就是隱藏口令的機(jī)制。/etc/passwd文件的默認(rèn)權(quán)限是000，也就是說除了root用戶以外，所有用戶都沒有查看或編輯該文件的權(quán)限。普通用戶只有在臨時(shí)獲得程序所有者的身份時(shí)，才能夠把變更的密碼信息寫入/etc/shadow文件中。/etc/shadow文件保存了用戶的用戶名、被加密的密碼、用戶修改密碼的時(shí)間、密碼到期時(shí)間、保留字段等信息，/etc/shadow文件和/etc/passwd文件是對(duì)應(yīng)互補(bǔ)的。/etc/shadow文件中的每一行代表一個(gè)用戶，且每個(gè)用戶的信息由冒號(hào)分隔為9個(gè)字段，各字段從左到右依次為：username:encryptedpassword:numberofdays:minimumpasswordlife:maximumpasswordlife:warningperiod:disableaccount:accountexpiration:reserved序號(hào)字段含義1username用戶登錄時(shí)使用的用戶名2encyptedpassword采用MD5加密方式加密后的用戶密碼3numberofdays從1970年1月1日開始到最近一次修改密碼的間隔天數(shù)4minimumpasswordlife用戶至少經(jīng)過多少天才能再次修改密碼5maximumpasswordlife用戶至多經(jīng)過多少天后必須修改密碼6warningperiod在用戶密碼到期前，提醒用戶密碼到期的天數(shù)，默認(rèn)為7天7disableaccount密碼到期多少天后，永久禁用該用戶賬號(hào)8accountexpiration從1970年1月1日開始到用戶賬號(hào)到期的間隔天數(shù)9reserved保留字段3．/etc/group文件/etc/group文件是Linux操作系統(tǒng)識(shí)別用戶組的文件，用于存儲(chǔ)用戶名、用戶組名等基本信息，該文件中的每一行都表示一個(gè)用戶組，且每個(gè)用戶組的信息由冒號(hào)分隔為4個(gè)字段，各字段從左到右依次為：groupname:password:GID:user_list以上字段分別表示用戶組名、用戶組密碼、GID、用戶組成員列表4．/etc/gshadow文件與/etc/shadow文件一樣，/etc/gshadow文件也是出于密碼安全性的考慮而引入的，該文件存儲(chǔ)著加密的用戶組密碼和用戶組管理員等信息，文件中每一行的用戶組信息由冒號(hào)分隔為4個(gè)字段，各字段從左到右依次為：groupname:encyptedpassword:admin:user_list以上字段分別表示用戶組名、加密后的用戶組密碼、用戶組管理員、用戶組成員列表3、用戶管理命令1．添加用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用useradd命令添加用戶賬號(hào)，其格式為“useradd[參數(shù)]用戶名”。使用該命令添加用戶賬號(hào)時(shí)，默認(rèn)的用戶家目錄會(huì)被存放在/home目錄中，默認(rèn)的Shell解釋器為/bin/bash，而且默認(rèn)會(huì)創(chuàng)建一個(gè)與該用戶同名的基本用戶組。參數(shù)作用-d指定用戶的家目錄（默認(rèn)為/home/username）-e指定用戶賬號(hào)的到期時(shí)間，格式為YYYY-MM-DD-g指定用戶所屬的基本組（基本組必須已存在）或GID-G指定一個(gè)或多個(gè)擴(kuò)展用戶組，各組之間用逗號(hào)隔開-s指定該用戶的默認(rèn)Shell解釋器-u指定該用戶的默認(rèn)UID，且必須唯一2．修改用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用usermod命令修改用戶賬號(hào)，如修改用戶名、UID、用戶家目錄、登錄Shell等，其格式為“usermod[參數(shù)]用戶名”。usermod命令中可使用的參數(shù)及其作用與useradd命令的基本相同，如-d、-g、-G、-u、-s等，這里不贅述。usermod命令中其他常用的參數(shù)及其作用如表2-4所示。表2-4usermod命令中其他常用的參數(shù)及其作用參數(shù)作用-L鎖定用戶，禁止其登錄系統(tǒng)-U解鎖用戶，允許其登錄系統(tǒng)-l僅修改用戶名3．刪除用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用userdel命令刪除用戶賬號(hào)，其格式為“userdel[參數(shù)]用戶名”。如果不再使用某用戶賬號(hào)，則可以通過userdel命令刪除該用戶的所有信息。在執(zhí)行刪除操作時(shí)，使用-r參數(shù)可以在刪除用戶的同時(shí)，將用戶的家目錄及其所有子目錄和文件全部刪除。userdel命令中常用的參數(shù)及其作用如表2-5所示。表2-5userdel命令中常用的參數(shù)及其作用參數(shù)作用-f強(qiáng)制刪除用戶-r同時(shí)刪除用戶和用戶家目錄及其所有子目錄和文件任務(wù)1實(shí)施步驟（1）登錄CentOS，打開實(shí)驗(yàn)環(huán)境，如圖2-1所示，單擊“未列出？”選項(xiàng)。圖2-1登錄CentOS（2）使用root賬號(hào)進(jìn)行登錄，輸入用戶名“root”，如圖2-2所示，單擊“下一步”按鈕。圖2-2使用root賬號(hào)進(jìn)行登錄（3）輸入root賬號(hào)的密碼，如圖2-3所示，單擊“解鎖”按鈕登錄系統(tǒng)。圖2-3輸入root賬號(hào)的密碼（4）在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，如圖2-4所示。圖2-4打開命令終端窗口（5）使用命令“cat/etc/passwd”查看/etc/passwd文件的內(nèi)容，同時(shí)與系統(tǒng)管理員確認(rèn)無用的賬號(hào)。這里發(fā)現(xiàn)兩個(gè)無用的賬號(hào)，分別是hacker和qq，如圖2-5所示。圖2-5查看/etc/passwd文件（6）使用“userdelhacker”命令刪除賬號(hào)hacker，如圖2-6所示。圖2-6刪除hacker賬號(hào)（7）再次使用“cat/etc/passwd”命令查看/etc/passwd文件的內(nèi)容，確認(rèn)賬號(hào)hacker已被刪除，也可查看/etc/shadow文件的內(nèi)容，確認(rèn)賬號(hào)信息，如圖2-7所示。圖2-7確認(rèn)賬號(hào)hacker已被刪除（8）使用“usermod–Lqq”命令鎖定賬號(hào)qq，暫時(shí)禁止該用戶登錄系統(tǒng)，如圖2-8所示。圖2-8禁止用戶登錄系統(tǒng)（9）使用賬號(hào)qq登錄系統(tǒng)，輸入密碼后，提示無法登錄系統(tǒng)，如圖2-9所示。圖2-9被禁止用戶無法登錄系統(tǒng)四、任務(wù)2知識(shí)講解1、root權(quán)限賬號(hào)Linux操作系統(tǒng)通過用戶的UID來判斷用戶身份，root用戶的UID為0，擁有系統(tǒng)的最高權(quán)限?？梢酝ㄟ^修改用戶的UID來修改用戶的類型，如果把一個(gè)普通用戶的UID修改為0，那么它就擁有了root用戶的權(quán)限。很多黑客在入侵操作系統(tǒng)的時(shí)候，會(huì)利用系統(tǒng)漏洞繞過安全檢查，進(jìn)行提權(quán)操作，獲得root權(quán)限。黑客一旦獲得root權(quán)限，就會(huì)嘗試安裝后門，安裝后門的常用方法是在/etc/passwd文件中編輯新的root登錄名，修改其UID為0。系統(tǒng)管理員可以通過awk命令查看UID為0的賬號(hào)，確保UID為0的賬號(hào)只能是root賬號(hào)。2、空口令賬號(hào)在Linux操作系統(tǒng)中，為了安全起見，/etc/passwd文件中用戶的密碼處于被保護(hù)的狀態(tài)，即使用了“x”來對(duì)其進(jìn)行隱藏，實(shí)際的密碼內(nèi)容是加密后保存在/etc/\t"/qq_41781322/article/details/_blank"shadow文件中的。如果在創(chuàng)建新用戶時(shí)，沒有設(shè)置密碼，就會(huì)形成空口令賬號(hào)。在未設(shè)置用戶真實(shí)口令之前，可能會(huì)發(fā)生未經(jīng)授權(quán)使用該賬號(hào)登錄系統(tǒng)的情況，造成系統(tǒng)安全漏洞。系統(tǒng)管理員可通過編寫腳本，用diff命令將/etc/passwd文件的當(dāng)前版本與前一天的版本做比較，核實(shí)所有的修改行為是否合法，避免出現(xiàn)空口令賬號(hào)。3、管理用戶密碼在Linux操作系統(tǒng)中，使用passwd命令管理用戶密碼，其格式為“passwd[選項(xiàng)][用戶名]”。root用戶添加新用戶賬號(hào)后，必須為用戶賬號(hào)設(shè)置密碼（即使是空密碼）才能使用該賬號(hào)。普通用戶只能使用passwd命令修改自己的密碼，而root管理員則有權(quán)限修改其他所有用戶的密碼，且無須知道原來的密碼。passwd命令中常用的參數(shù)及其作用如表2-6所示。表2-6passwd命令中常用的參數(shù)及其作用參數(shù)作用-d刪除用戶密碼，使該用戶可用空密碼登錄系統(tǒng)-e強(qiáng)制用戶在下次登錄時(shí)修改密碼-l鎖定用戶賬號(hào)，禁止其登錄-u解除鎖定，允許用戶登錄-s查詢用戶賬號(hào)是否處于鎖定狀態(tài)4、awk命令awk是Linux環(huán)境下一種處理文本和數(shù)據(jù)的編程工具，它支持用戶自定義函數(shù)和動(dòng)態(tài)正則表達(dá)式等先進(jìn)功能。awk通常逐行讀入文件，然后根據(jù)相應(yīng)的命令對(duì)文本和數(shù)據(jù)進(jìn)行操作。默認(rèn)情況下，awk以空格作為分隔符。1．a(chǎn)wk基本語法awk基本語法如下。awk[option]'awk_script0'input_file1[input_file2...]即：awk[選項(xiàng)]'匹配規(guī)則或處理規(guī)則'[處理文本路徑]常用的選項(xiàng)如下。（1）-Ffs：使用fs作為輸入記錄的字段分隔符，fs是一個(gè)字符串或一個(gè)正則表達(dá)式，如果省略該選項(xiàng)，awk將使用環(huán)境變量IFS的值。（2）-ffilename：從腳本文件filename中讀取awk命令。（3）-vvar=value：為awk_script設(shè)置變量。2．a(chǎn)wk調(diào)用方法awk有3種調(diào)用方法，具體如下。（1）命令行方法：把a(bǔ)wk的腳本命令直接放在命令行中。（2）Shell腳本方法：把a(bǔ)wk的所有腳本命令放在一個(gè)腳本文件中，然后用-f選項(xiàng)來指定要運(yùn)行的腳本命令。（3）將所有awk命令插入一個(gè)單獨(dú)的文件中調(diào)用：將awk_script放入腳本文件并以#!/bin/awk-f作為首行，賦予該腳本可執(zhí)行權(quán)限，然后在Shell下通過輸入該腳本的腳本名進(jìn)行調(diào)用。3．a(chǎn)wk實(shí)例（1）搜索/etc/passwd文件中含root關(guān)鍵字的所有行。awk-F:'/root/'/etc/passwd（2）顯示/etc/passwd文件中所有的用戶賬號(hào)。awk-F:'{print$1}'/etc/passwd（3）從文件test中讀取命令。awk-ftest（4）使用awk-v命令傳遞變量參數(shù)，將文件test中第一列的值加1并打印輸出。awk-va=1’{print$1,$1+a}’test五、任務(wù)2實(shí)施步驟1．尋找未知的用戶賬號(hào)打開實(shí)驗(yàn)環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，輸入命令“grep:x:0:/etc/passwd”并按“Enter”鍵，查看用戶賬號(hào)信息。發(fā)現(xiàn)除root賬號(hào)外，還存在一個(gè)未知的hacker賬號(hào)，如圖2-10所示。這會(huì)使得系統(tǒng)存在風(fēng)險(xiǎn)，根據(jù)上節(jié)學(xué)習(xí)的內(nèi)容對(duì)該賬號(hào)進(jìn)行管理，需禁用或刪除該賬號(hào)。圖2-10尋找未知的用戶賬號(hào)2．檢查root權(quán)限賬號(hào)打開命令終端窗口，使用命令“awk-F:'($3==0)'/etc/passwd”查看UID為0的賬號(hào)，確保UID為0的賬號(hào)只有root賬號(hào)，如圖2-11所示。圖2-11檢查root權(quán)限賬號(hào)3．檢查空口令賬號(hào)打開命令終端窗口，輸入命令“awk-F:'($2==""){print$1}'/etc/shadow”，檢查$2位是否為空，為空則輸出$1位的用戶名，發(fā)現(xiàn)test用戶賬號(hào)的密碼為空，如圖2-12所示。圖2-12檢查空口令賬號(hào)4．加固空口令賬號(hào)對(duì)空口令并且可登錄的賬號(hào)，按照系統(tǒng)密碼強(qiáng)度要求，為其設(shè)置賬號(hào)密碼。對(duì)步驟3中的test賬號(hào)設(shè)置密碼，如圖2-13所示。圖2-13加固空口令賬號(hào)課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置1.請(qǐng)?zhí)砑佑脩糍~號(hào)test1、test2，將其加入用戶組jsj，設(shè)置其默認(rèn)家目錄為/home/test1和/home/test2，查看/etc/passwd文件和/etc/group文件，使用usermod命令禁用test2，然后查看相應(yīng)文件的變化。2.awk和grep是Linux的文本處理工具，grep命令常用來查找或匹配文本，它能使用正則表達(dá)式搜索文本，并把匹配的行輸出。awk命令能夠逐行讀入文件，以空格為默認(rèn)分隔符將每行切片，切開的部分再進(jìn)行分析處理。請(qǐng)分別使用grep命令和awk命令查找UID為0的賬號(hào)。教學(xué)反思1.在課程目標(biāo)上，立德樹人，在教學(xué)過程注重學(xué)生素質(zhì)培養(yǎng)，全方位育人，思政的融入要選取熱門新聞時(shí)事或?qū)W生身邊事；2.在教學(xué)內(nèi)容上，課程涉及命令較多，注意循序漸進(jìn)，關(guān)注學(xué)生的學(xué)習(xí)接受情況，不要過于追求教學(xué)進(jìn)度和覆蓋面；3.在教學(xué)方式上，注重教師自身數(shù)字化素養(yǎng)，積極信息化教學(xué)手段，設(shè)計(jì)好互動(dòng)點(diǎn)，鼓勵(lì)學(xué)生基于學(xué)習(xí)通自主探究學(xué)習(xí)，全程陪伴學(xué)生，及時(shí)答疑解惑，鼓勵(lì)并引導(dǎo)學(xué)生實(shí)訓(xùn)實(shí)踐，攻堅(jiān)克難，用奮斗收獲幸福?！毒W(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案4（第4號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)2.3限制用戶對(duì)su命令的使用任務(wù)2.4限制FTP登錄教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握su的安全配置；2.掌握FTP的工作模式及工作原理；3.掌握FTP安全加固要求；能力目標(biāo)1.能夠?qū)u進(jìn)行限制，特定用戶方可su；2.能夠?qū)TP用戶惡意占用帶寬，隨意切換目錄進(jìn)行限制；素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生良好的職業(yè)道德、法律意識(shí)、愛崗敬業(yè)精神；2.培養(yǎng)學(xué)生自主學(xué)習(xí)能力、交流溝通能力、創(chuàng)新能力和團(tuán)隊(duì)合作意識(shí)；3.培養(yǎng)學(xué)生網(wǎng)絡(luò)安全意識(shí)、民族自豪感和科技報(bào)國(guó)精神。學(xué)情分析1.專業(yè)興趣高，動(dòng)手能力強(qiáng)，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護(hù)技能，但掌握不深入；3.有一定溝通交通能力，85%的學(xué)生不具備換位思考意識(shí)，70%的學(xué)生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點(diǎn)分析教學(xué)重點(diǎn)1.su的安全性優(yōu)點(diǎn)及不足；2.FTP服務(wù)器安全加固調(diào)試；教學(xué)難點(diǎn)1.限制FTP用戶在家目錄，不能隨意切換；2.FTP的工作模式及工作原理；信息化應(yīng)用方法基于省級(jí)精品在線開放課程，通過泛雅教學(xué)平臺(tái)發(fā)布教學(xué)資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習(xí)；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學(xué)生根據(jù)任務(wù)現(xiàn)場(chǎng)操作，教師糾錯(cuò)，以小組為單位，生生互評(píng)（根據(jù)操作評(píng)分細(xì)則），并錄制視頻；對(duì)于學(xué)生的易錯(cuò)點(diǎn)和本節(jié)課的難點(diǎn)進(jìn)行突破學(xué)習(xí)，提升學(xué)生對(duì)操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.在課程引入環(huán)節(jié)，討論相關(guān)服務(wù)的安全風(fēng)險(xiǎn)，提高警惕意識(shí)，再通過FTP應(yīng)用服務(wù)器安全加固，在實(shí)訓(xùn)和驗(yàn)證測(cè)試中，提升服務(wù)器安全指標(biāo)，提升安全意識(shí)；2.通過課程實(shí)訓(xùn)，在加固linux服務(wù)器過程，追求服務(wù)器性能和安全性，培養(yǎng)學(xué)生精益求精工匠精神。3.通過問卷+討論方式，交流遠(yuǎn)程控制的本質(zhì)，幫助學(xué)生進(jìn)一步明白是非，網(wǎng)絡(luò)不是法外之地，遵紀(jì)守法，守住安全底線。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布LINUX系統(tǒng)安全加固任務(wù)3、任務(wù)4學(xué)習(xí)任務(wù)，供學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課Linux操作系統(tǒng)出于安全性考慮，限制了許多系統(tǒng)命令和服務(wù)只能由root管理員使用，但是這讓普通用戶受到了更多的權(quán)限束縛，從而導(dǎo)致無法順利完成特定的工作任務(wù)。su命令可以滿足用戶切換身份的需求，使得當(dāng)前用戶在不退出登錄的情況下，順暢地切換到其他用戶，例如，從root管理員切換到普通用戶，或者從普通用戶切換到root管理員。工程師小林在對(duì)服務(wù)器系統(tǒng)進(jìn)行安全基線檢測(cè)時(shí)發(fā)現(xiàn)su命令存在安全隱患，給系統(tǒng)帶來了安全風(fēng)險(xiǎn)，小林及時(shí)限制了用戶對(duì)su命令的使用，保障了系統(tǒng)安全。FTP是用來在兩臺(tái)計(jì)算機(jī)之間傳輸文件的通信協(xié)議，一臺(tái)計(jì)算機(jī)作為FTP服務(wù)器，一臺(tái)計(jì)算機(jī)作為FTP客戶端。無論是PC（PersonalComputer，個(gè)人計(jì)算機(jī)）、服務(wù)器、大型機(jī)，還是iOS、Linux、Windows等操作系統(tǒng)，只要雙方都支持FTP，就可以方便地實(shí)現(xiàn)共享文件、上傳文件、下載文件和刪除文件等操作。但由于FTP的簡(jiǎn)單性，且不提供加密功能，它在某些情況下通常比更先進(jìn)的文件傳輸協(xié)議[如SFTP（SecureFileTransferProtocol，安全文件傳輸協(xié)議）]更易受到攻擊。因此，在使用FTP進(jìn)行敏感數(shù)據(jù)傳輸或遠(yuǎn)程管理時(shí)，應(yīng)格外小心并采取適當(dāng)?shù)陌踩胧?。工程師小林檢查了Linux服務(wù)器系統(tǒng)下vsftp軟件的安裝和配置，并進(jìn)行了FTP安全配置和加固，保障了系統(tǒng)安全。任務(wù)3知識(shí)點(diǎn)講解1、su命令在Linux操作系統(tǒng)中，默認(rèn)情況下，所有用戶都可以使用su命令切換用戶。su命令的格式為：su-目標(biāo)用戶在su與目標(biāo)用戶之間有一個(gè)半字線（-），這表示完全切換到目標(biāo)用戶，即把用戶的環(huán)境變量信息也變更為目標(biāo)用戶的相應(yīng)信息，而不是保留其原始的信息。使用su命令從root管理員切換到普通用戶時(shí)不需要進(jìn)行密碼驗(yàn)證，而從普通用戶切換到root管理員時(shí)需要進(jìn)行密碼驗(yàn)證，這也是Linux操作系統(tǒng)的一個(gè)必要的安全檢查。su命令切換實(shí)例如圖2-14所示。圖2-14su命令切換實(shí)例2、su命令的安全隱患在默認(rèn)情況下，任何用戶都可以使用su命令進(jìn)行用戶切換，這樣就有機(jī)會(huì)通過su命令無限次地去嘗試其他用戶（如root管理員）的登錄密碼，這給系統(tǒng)帶來了安全隱患。為了增強(qiáng)系統(tǒng)安全并降低非授權(quán)用戶利用su命令進(jìn)行用戶切換，尤其是嘗試訪問root賬戶帶來的風(fēng)險(xiǎn)，可以實(shí)施以下措施優(yōu)化管理。首先安裝pam_wheel模塊。如系統(tǒng)未安裝此模塊，需使用包管理器安裝pam_wheel相關(guān)包。接下來配置PAM（PluggableAuthenticationModule，可插拔認(rèn)證模塊）以啟用pam_wheel。編輯PAM配置文件/etc/pam.d/su，在文件中添加或確保存在以下一行代碼：這行代碼指示PAM在進(jìn)行身份認(rèn)證時(shí)參考pam_wheel模塊。authrequiredpam_wheel.souse_uid這意味著只有屬于指定組（默認(rèn)建議為wheel組）的用戶才能通過此認(rèn)證流程。最后管理wheel組成員。創(chuàng)建或利用已有的wheel組，并通過以下命令將信任的用戶添加到該組中。這樣做可以明確指定哪些用戶擁有執(zhí)行su命令的權(quán)限。usermod-aGwheel用戶名這條命令將指定的用戶名加入wheel組中，-aG參數(shù)表示追加用戶到指定的組，不影響用戶原有的組身份。通過以上措施，系統(tǒng)能夠有效限制用戶對(duì)su命令的濫用，確保只有被授權(quán)的管理員用戶組成員才能嘗試切換到root用戶或其他特權(quán)賬戶，從而顯著降低了因密碼猜測(cè)攻擊導(dǎo)致的安全風(fēng)險(xiǎn)。3、sudo提權(quán)機(jī)制通過su命令可以非常方便地進(jìn)行用戶切換，但前提條件是必須知道目標(biāo)用戶的登錄密碼。對(duì)于實(shí)際生產(chǎn)環(huán)境中的Linux服務(wù)器，每多一個(gè)用戶知道特權(quán)密碼，安全風(fēng)險(xiǎn)就多一分，會(huì)增大特權(quán)密碼被黑客獲取的概率。因此，Linux操作系統(tǒng)通過sudo命令把特定的執(zhí)行權(quán)限賦予指定用戶，這樣既保證了普通用戶能夠完成特定的工作任務(wù)，又避免了泄露特權(quán)密碼。sudo命令用于給普通用戶提供額外的權(quán)限來完成原本root管理員才能完成的工作任務(wù)，它需要借助修改配置文件/etc/sudoers來完成對(duì)用戶的管理，其配置原則是在保證普通用戶完成相應(yīng)工作任務(wù)的前提下，盡可能少地賦予其額外的權(quán)限。sudo命令的格式為“sudo[參數(shù)]命令名稱”。sudo命令常用的參數(shù)及其作用如下表所示。參數(shù)作用-l指定列出當(dāng)前用戶可執(zhí)行的命令-uUID或用戶名以指定的用戶身份執(zhí)行命令-k清空密碼的有效時(shí)間，下次執(zhí)行sudo命令時(shí)需要再次進(jìn)行密碼驗(yàn)證-h列出幫助信息任務(wù)3實(shí)施步驟（1）開啟pam_wheel認(rèn)證。打開實(shí)驗(yàn)環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，編輯完成后的文件如圖2-15所示。將開頭的“#”號(hào)刪除后保存文件并退出，開啟pam_wheel認(rèn)證編輯/etc/pam.d/su文件。圖2-15開啟pam_wheel認(rèn)證（2）新建用戶賬號(hào)user，因?yàn)槠洳粚儆趙heel組，所以不能使用su命令，如圖2-16所示。圖2-16新建用戶賬號(hào)user（3）將user賬號(hào)添加至wheel組，使得user賬號(hào)可使用su命令進(jìn)行用戶切換，如圖2-17所示。圖2-17切換用戶（4）使用sudo命令編輯/etc/sudoers文件，添加配置，使得賬號(hào)user能夠具有添加新用戶的權(quán)限，如圖2-18所示。圖2-18編輯/etc/sudoers文件（5）使用su命令切換至user用戶，然后使用命令sudouseradduser1添加新用戶，說明用戶user獲得了添加新用戶的權(quán)限，如圖2-19所示。圖2-19添加用戶user1（6）執(zhí)行命令iduser1，查看用戶user1已添加成功，如圖2-20所示。圖2-20查看用戶user1已添加成功任務(wù)4知識(shí)點(diǎn)講解1、FTP服務(wù)器的登錄模式FTP服務(wù)器的登錄模式有以下3種。（1）匿名用戶登錄模式：使用用戶名anonymous，無須輸入密碼即可登錄FTP服務(wù)器，是一種最不安全的登錄模式。（2）本地賬戶登錄模式：當(dāng)進(jìn)入FTP登錄窗口時(shí)，需要輸入正確的用戶名和密碼方可登錄FTP服務(wù)器。但如果黑客破解了賬戶信息，就可以暢通無阻地登錄FTP服務(wù)器，從而完全控制整臺(tái)服務(wù)器。（3）虛擬用戶登錄模式：將登錄用戶映射到指定的系統(tǒng)賬號(hào)（/sbin/nologin）來訪問FTP資源。為FTP服務(wù)單獨(dú)建立用戶數(shù)據(jù)庫文件，虛擬出用來進(jìn)行口令驗(yàn)證的賬戶信息，而這些賬戶信息在服務(wù)器系統(tǒng)中實(shí)際上是不存在的，僅供FTP服務(wù)程序進(jìn)行認(rèn)證時(shí)使用。這樣，即使黑客破解了賬戶信息也無法登錄服務(wù)器，從而有效降低了其破壞范圍和影響，是3種登錄模式中最安全的。2、FTP工作原理FTP是TCP/IP的一種具體應(yīng)用，它工作在OSI（OpenSystemInterconnection，開放系統(tǒng)互連）模型的第七層（應(yīng)用層）和TCP/IP模型的第四層。FTP基于C/S模式，默認(rèn)使用20、21端口，其中20端口為數(shù)據(jù)端口，用于進(jìn)行數(shù)據(jù)傳輸；21端口為命令端口，用于接收客戶端發(fā)出的相關(guān)FTP命令和參數(shù)。FTP的工作原理分為如下4個(gè)部分。（1）客戶端發(fā)送連接請(qǐng)求。客戶端向服務(wù)器發(fā)送連接請(qǐng)求，同時(shí)客戶端系統(tǒng)動(dòng)態(tài)打開一個(gè)大于1024的端口（如1031端口）等候服務(wù)器連接。（2）建立FTP會(huì)話連接。當(dāng)FTP服務(wù)器在端口21偵聽到該請(qǐng)求后，會(huì)在客戶端的1031端口和服務(wù)器的21端口之間建立起一個(gè)FTP會(huì)話連接。（3）數(shù)據(jù)傳輸。當(dāng)需要傳輸數(shù)據(jù)時(shí)，F(xiàn)TP客戶端再動(dòng)態(tài)打開一個(gè)大于1024的端口（如1032端口）連接到服務(wù)器的20端口，并在這兩個(gè)端口之間進(jìn)行數(shù)據(jù)的傳輸。（4）自動(dòng)釋放動(dòng)態(tài)分配的端口。數(shù)據(jù)傳輸完畢后，F(xiàn)TP客戶端將斷開與FTP服務(wù)器的連接，客戶端上動(dòng)態(tài)分配的端口將自動(dòng)釋放。3、FTP服務(wù)數(shù)據(jù)傳輸模式FTP服務(wù)傳輸數(shù)據(jù)分為主動(dòng)傳輸模式（ActiveFTP）和被動(dòng)傳輸模式（PassiveFTP）兩種。（1）主動(dòng)傳輸模式：是由FTP服務(wù)器主動(dòng)連接FTP客戶端的數(shù)據(jù)端口。首先，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（如1025端口），并和FTP服務(wù)器的21端口建立連接，然后開放N+1端口（如1026端口）進(jìn)行監(jiān)聽。FTP客戶端在需要接收數(shù)據(jù)時(shí)，會(huì)向FTP服務(wù)器發(fā)送PORT命令，然后，F(xiàn)TP服務(wù)器通過自己的TCP20端口，主動(dòng)向FTP客戶端的1026端口傳輸數(shù)據(jù)，如圖2-21所示，其中，S表示源端口，D表示目的端口。圖2-21主動(dòng)傳輸模式（2）被動(dòng)傳輸模式：是FTP服務(wù)器被動(dòng)地等待FTP客戶端連接自己的數(shù)據(jù)端口。首先，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（如1025端口）向FTP服務(wù)器的21端口發(fā)起連接，同時(shí)會(huì)開啟N+1端口（如1026端口），然后向FTP服務(wù)器發(fā)送PASV命令，通知FTP服務(wù)器進(jìn)入被動(dòng)傳輸模式。FTP服務(wù)器收到命令后，開放一個(gè)大于1024的端口（如1521端口）進(jìn)行監(jiān)聽，然后用PORT命令通知FTP客戶端，自己的數(shù)據(jù)端口是1521。FTP客戶端收到命令后，通過1026端口連接FTP服務(wù)器的端口1521，然后在兩個(gè)端口之間進(jìn)行數(shù)據(jù)傳輸，如圖2-22所示。圖2-22被動(dòng)傳輸模式4、vsftpd服務(wù)vsftpd（VerySecureFTPDaemon，非常安全的FTP守護(hù)進(jìn)程）是一款運(yùn)行在Linux系統(tǒng)上的完全免費(fèi)的、開源的FTP服務(wù)器軟件，它支持很多其他FTP服務(wù)器所不支持的特性，如非常高的安全性需求、帶寬限制、良好的可伸縮性、支持IPv6、高速率等。同時(shí)，VSFTP還支持虛擬用戶和虛擬目錄，便于系統(tǒng)管理員進(jìn)行用戶管理。VSFTP提供了系統(tǒng)用戶、匿名用戶和虛擬用戶3種不同的用戶，所有的虛擬用戶會(huì)映射成一個(gè)系統(tǒng)用戶，訪問時(shí)的文件目錄為該系統(tǒng)用戶的家目錄。VSFTP常用的配置文件及其說明如表2-8所示。配置文件說明/usr/sbin/vsftpdvsftpd主程序/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的用戶列表文件，記錄不允許訪問FTP服務(wù)器的用戶名單/etc/vsftpd/user_list禁止或允許使用vsftpd的用戶列表文件/etc/rc.d/init.d/vsftpd啟動(dòng)腳本/etc/pam.d/vsftpdPAM認(rèn)證文件/etc/logrotate.d/vsftpd.log日志文件/var/ftp匿名用戶主目錄常見的FTP命令及其功能如表2-9所示。FTP命令功能open連接FTP服務(wù)器close中斷與遠(yuǎn)程服務(wù)器的FTP會(huì)話（與open對(duì)應(yīng)）quit退出FTP會(huì)話續(xù)表FTP命令功能openhost[port]建立指定的FTP服務(wù)器連接，可指定連接端口ls顯示服務(wù)器上的目錄cd

directory改變服務(wù)器的工作目錄help[cmd]顯示FTP內(nèi)部命令cmd的幫助信息，如helpgetget

remote-file[local-file]從服務(wù)器下載指定文件到客戶端put

local-file[remote-file]從客戶端上傳指定文件到服務(wù)器status顯示當(dāng)前FTP狀態(tài)system顯示遠(yuǎn)程主機(jī)的操作系統(tǒng)useruser-name[password][account]向遠(yuǎn)程主機(jī)表明自己的身份，需要密碼時(shí)，必須輸入密碼，如useranonymousmy@email五、任務(wù)4實(shí)施步驟（1）登錄Linux服務(wù)器，執(zhí)行命令rpm-qa|grepvsftp查看是否安裝了vsftp服務(wù)。是否安裝了vsftp服務(wù)，顯示已安裝vsftp服務(wù)，如圖2-23所示。圖2-23查看是否已安裝vsftp服務(wù)（2）切換至/etc/vsftpd/目錄，查看VSFTP配置文件列表，如圖2-24所示。圖2-24查看VSFTP配置文件列表（3）打開ftpusers文件，查看禁止訪問FTP服務(wù)器的用戶名單，如圖2-25所示。圖2-25查看禁止訪問FTP服務(wù)器的用戶名單（4）登錄Windows系統(tǒng)，打開“命令提示符”窗口，進(jìn)入FTP模式，使用open命令連接FTP服務(wù)器，如圖2-26所示。圖2-26連接FTP服務(wù)器（5）輸入用戶名“anonymous”，使用匿名賬號(hào)進(jìn)行登錄，不需要輸入密碼，按“Enter”鍵即可登錄FTP服務(wù)器，如圖2-27所示。圖2-27匿名用戶anonymous登錄成功（6）登錄FTP服務(wù)器，編輯/etc/vsftpd/vsftpd.conf配置文件，如圖2-28所示。圖2-28編輯/etc/vsftpd/vsftpd.conf配置文件（7）修改配置，禁止匿名用戶登錄，如圖2-29所示。圖2-29禁止匿名用戶登錄（8）使用命令systemctlrestartvsftpd重啟vsftpd服務(wù)，如圖2-30所示。圖2-30重啟vsftpd服務(wù)（9）再次登錄Windows系統(tǒng)，打開“命令提示符”窗口，進(jìn)入FTP模式，使用匿名用戶登錄FTP服務(wù)器，提示登錄失敗，如圖2-31所示。圖2-31匿名用戶登錄失敗（10）修改FTP默認(rèn)端口號(hào)，登錄FTP服務(wù)器，編輯/etc/vsftpd/vsftpd.conf配置文件，添加語句listen_port=4449，該語句指定了修改后FTP服務(wù)器的端口號(hào)，如圖2-32所示，修改完成后需使用systemctlrestartvsftpd命令重啟vsftpd服務(wù)。圖2-32編輯配置文件/etc/vsftpd/vsftpd.conf，修改FTP端口號(hào)（11）登錄Windows系統(tǒng)，打開“命令提示符”窗口，進(jìn)入FTP模式，使用open命令連接FTP服務(wù)器，并輸入修改后的端口號(hào)“4449”，提示連接成功，要求輸入用戶名，如圖2-33所示。圖2-33客戶端以新的端口號(hào)連接FTP服務(wù)器課后：1.任務(wù)總結(jié)2.教師答疑3.布置預(yù)習(xí)任務(wù)作業(yè)布置wheel組是在Linux系統(tǒng)中用于控制用戶權(quán)限的特殊組。當(dāng)用戶加入wheel組后，他們可以使用su命令來切換到root用戶，而不需要輸入root用戶的密碼。這種機(jī)制的目的是為用戶需要root權(quán)限時(shí)提供便利，同時(shí)保障系統(tǒng)安全。請(qǐng)配置wheel組，限制普通用戶jsj可以使用su命令切換到root用戶，普通用戶test無法使用su命令。2.VSFTP是一款深受系統(tǒng)管理者和開發(fā)者歡迎的FTP服務(wù)器軟件，安裝后的vsftp服務(wù)主配置文件為/etc/vsftpd/vsftpd.conf，該文件可設(shè)置用戶訪問目錄、限制最大傳輸速率、設(shè)置文件操作權(quán)限、激活歡迎信息等。請(qǐng)以管理員身份登錄FTP服務(wù)器并創(chuàng)建用戶test，設(shè)置其登錄密碼為123456，限定其登錄主目錄為/home/ftp/test。教學(xué)反思1.在課程目標(biāo)上，立德樹人，在教學(xué)過程注重學(xué)生素質(zhì)培養(yǎng)，全方位育人，思政的融入要選取熱門新聞時(shí)事或?qū)W生身邊事；2.在教學(xué)內(nèi)容上，F(xiàn)TP限制用戶在家目錄難度較大，學(xué)生難以一次性完成，多加鼓勵(lì)，對(duì)于密鑰傳遞部分仔細(xì)演示，不要過于追求實(shí)訓(xùn)速度，側(cè)重實(shí)驗(yàn)過程理解。《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案5（第5號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)2.5檢查SSH服務(wù)任務(wù)2.6配置防火墻策略教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握SSH的安全配置要求，口令認(rèn)證與密鑰認(rèn)證的區(qū)別，對(duì)于安全傳輸?shù)挠绊懀?.掌握防火墻的終端管理工具；3.掌握防火墻的圖像管理工具；能力目標(biāo)1.能夠使用口令認(rèn)證、密鑰認(rèn)證兩種方式進(jìn)行SSH服務(wù)器遠(yuǎn)程登錄；2.能夠?qū)Ψ阑饓M(jìn)行配置；素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生良好的職業(yè)道德、法律意識(shí)、愛崗敬業(yè)精神；2.培養(yǎng)學(xué)生自主學(xué)習(xí)能力、交流溝通能力、創(chuàng)新能力和團(tuán)隊(duì)合作意識(shí)；3.培養(yǎng)學(xué)生網(wǎng)絡(luò)安全意識(shí)、民族自豪感和科技報(bào)國(guó)精神。學(xué)情分析1.專業(yè)興趣高，動(dòng)手能力強(qiáng)，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護(hù)技能，但掌握不深入；3.有一定溝通交通能力，85%的學(xué)生不具備換位思考意識(shí)，70%的學(xué)生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點(diǎn)分析教學(xué)重點(diǎn)1.基于秘鑰的SSH服務(wù)器的調(diào)試；2.防火墻終端配置命令；教學(xué)難點(diǎn)1.基于口令的SSH的登陸安全性及服務(wù)器調(diào)試；2.SSH兩種認(rèn)證安全性。信息化應(yīng)用方法基于省級(jí)精品在線開放課程，通過泛雅教學(xué)平臺(tái)發(fā)布教學(xué)資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習(xí)；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學(xué)生根據(jù)任務(wù)現(xiàn)場(chǎng)操作，教師糾錯(cuò)，以小組為單位，生生互評(píng)（根據(jù)操作評(píng)分細(xì)則），并錄制視頻；對(duì)于學(xué)生的易錯(cuò)點(diǎn)和本節(jié)課的難點(diǎn)進(jìn)行突破學(xué)習(xí)，提升學(xué)生對(duì)操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.國(guó)家安全。在課程引入環(huán)節(jié)，討論相關(guān)服務(wù)的安全風(fēng)險(xiǎn)，提高警惕意識(shí)，再通過FTP應(yīng)用服務(wù)器安全加固，在實(shí)訓(xùn)和驗(yàn)證測(cè)試中，提升服務(wù)器安全指標(biāo)，提升安全意識(shí)；2.工匠精神。通過課程實(shí)訓(xùn)，在加固linux服務(wù)器過程，追求服務(wù)器性能和安全性，培養(yǎng)學(xué)生精益求精工匠精神。3.法律意識(shí)。通過問卷+討論方式，交流遠(yuǎn)程控制的本質(zhì)，幫助學(xué)生進(jìn)一步明白是非，網(wǎng)絡(luò)不是法外之地，遵紀(jì)守法，守住安全底線。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布LINUX系統(tǒng)安全加固任務(wù)5、任務(wù)6學(xué)習(xí)任務(wù)，供學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課SSH主要用于遠(yuǎn)程登錄服務(wù)器和安全傳輸文件。然而，最近的研究表明，在SSH連接中存在漏洞，可能被黑客利用以攻擊服務(wù)器。安全威脅監(jiān)控平臺(tái)Shadowserver最近的一份研究報(bào)告表明，互聯(lián)網(wǎng)上有近1100萬臺(tái)SSH服務(wù)器容易受到水龜攻擊（TerrapinAttack）。水龜攻擊是德國(guó)波鴻魯爾大學(xué)安全研究人員開發(fā)的新攻擊技術(shù)，一旦攻擊成功，攻擊者可以破壞管理員通過SSH會(huì)話建立的安全連接，導(dǎo)致計(jì)算機(jī)、云和其他敏感環(huán)境受到損害。工程師小林通過查看SSH服務(wù)器端配置，發(fā)現(xiàn)SSH服務(wù)器端存在允許空密碼登錄等不安全配置，于是他及時(shí)對(duì)SSH服務(wù)進(jìn)行加固，降低了系統(tǒng)被攻擊的風(fēng)險(xiǎn)。防火墻是保障網(wǎng)絡(luò)安全的基本工具，通過在服務(wù)器與外部訪客之間建立過濾機(jī)制，防火墻在網(wǎng)絡(luò)層面上實(shí)現(xiàn)了安全防范。防火墻作為公網(wǎng)與內(nèi)網(wǎng)之間的保護(hù)屏障，在保障數(shù)據(jù)安全方面起著至關(guān)重要的作用。當(dāng)前在Linux操作系統(tǒng)中存在多個(gè)防火墻管理工具，新的Linux發(fā)行版本使用firewalld服務(wù)取代以前的iptables服務(wù)來定義防火墻策略。實(shí)際上，iptables服務(wù)會(huì)把配置好的防火墻策略交由內(nèi)核層面的netfilter網(wǎng)絡(luò)過濾器來處理，而firewalld服務(wù)則是把配置好的防火墻策略交由內(nèi)核層面的nftables包過濾框架來處理，它們?cè)诜阑饓Σ呗缘呐渲盟悸飞鲜潜３忠恢碌?。工程師小林通過配置Linux防火墻策略，以達(dá)到保護(hù)系統(tǒng)數(shù)據(jù)安全的目的。任務(wù)5知識(shí)點(diǎn)講解1、SSH簡(jiǎn)介SSH是一種建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，用于建立加密的遠(yuǎn)程登錄會(huì)話，具有高安全性、速度快和支持遠(yuǎn)程命令執(zhí)行等優(yōu)勢(shì)。傳統(tǒng)遠(yuǎn)程登錄和文件傳輸方式（如Telnet、FTP等）使用明文傳輸數(shù)據(jù)，存在很大的安全隱患。隨著人們對(duì)網(wǎng)絡(luò)安全越來越重視，這些方式已慢慢不被接受。SSH協(xié)議通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密和驗(yàn)證，在不安全的網(wǎng)絡(luò)環(huán)境中提供了安全的網(wǎng)絡(luò)服務(wù)。作為Telnet等不安全遠(yuǎn)程Shell協(xié)議的安全替代方案，目前SSH協(xié)議已經(jīng)被全世界廣泛用于遠(yuǎn)程登錄、文件傳輸、服務(wù)部署和管理等場(chǎng)景。2、SSH工作流程SSH由服務(wù)器和客戶端組成，為建立安全的SSH通道，雙方需要先建立TCP連接，然后協(xié)商使用的版本號(hào)和各類算法，并生成相同的會(huì)話密鑰用于后續(xù)的對(duì)稱加密。在完成用戶認(rèn)證后，雙方即可建立會(huì)話進(jìn)行數(shù)據(jù)交互。SSH工作流程包括如下幾個(gè)階段。1．連接建立SSH依賴端口進(jìn)行通信。在未建立SSH連接時(shí)，SSH服務(wù)器會(huì)在指定端口偵聽連接請(qǐng)求，SSH客戶端向SSH服務(wù)器的指定端口發(fā)起連接請(qǐng)求后，雙方建立一個(gè)TCP連接，后續(xù)會(huì)通過該端口進(jìn)行通信。默認(rèn)情況下，SSH服務(wù)器使用端口22。2．版本號(hào)協(xié)商SSH協(xié)議目前存在SSH1.x（SSH2.0之前的版本）和SSH2.0。SSH2.0協(xié)議相比SSH1.x協(xié)議來說，在結(jié)構(gòu)上進(jìn)行了擴(kuò)展，可以支持更多的認(rèn)證方法和密鑰交換算法，同時(shí)提高了服務(wù)能力。SSH服務(wù)器和客戶端通過協(xié)商確定最終使用的SSH版本號(hào)。3．算法協(xié)商SSH工作過程中需要使用多種類型的算法，包括用于產(chǎn)生會(huì)話密鑰的密鑰交換算法、用于數(shù)據(jù)信息加密的對(duì)稱加密算法、用于進(jìn)行數(shù)字簽名和認(rèn)證的公鑰（PablicKey）算法和用于數(shù)據(jù)完整性保護(hù)的HMAC（Hash-basedMessageAuthenticationCode，基于散列的消息認(rèn)證碼）算法。SSH服務(wù)器和客戶端對(duì)每種類型中的具體算法的支持情況不同，因此雙方需要協(xié)商確定每種類型中最終使用的算法。4．密鑰交換SSH服務(wù)器和客戶端通過密鑰交換算法，動(dòng)態(tài)生成共享的會(huì)話密鑰和會(huì)話ID，建立加密通道。會(huì)話密鑰主要用于后續(xù)數(shù)據(jù)傳輸?shù)募用?，?huì)話ID用于在認(rèn)證過程中標(biāo)識(shí)SSH連接。在該階段還會(huì)完成SSH客戶端對(duì)SSH服務(wù)器的身份認(rèn)證，服務(wù)器先使用服務(wù)器私鑰（PrivateKey）對(duì)消息進(jìn)行簽名，客戶端再使用服務(wù)器公鑰驗(yàn)證簽名，從而完成客戶端對(duì)服務(wù)器的身份認(rèn)證。5．用戶認(rèn)證SSH客戶端向SSH服務(wù)器發(fā)起用戶認(rèn)證請(qǐng)求，SSH服務(wù)器對(duì)SSH客戶端進(jìn)行認(rèn)證。SSH用戶認(rèn)證最基本的兩種方式是密碼認(rèn)證和密鑰認(rèn)證。密碼認(rèn)證的基本原理是SSH客戶端使用對(duì)稱密鑰對(duì)密碼進(jìn)行加密，SSH服務(wù)器使用對(duì)稱密鑰解密后驗(yàn)證密碼的合法性，這種認(rèn)證方式比較簡(jiǎn)單，但每次登錄都需要輸入用戶名和密碼。而密鑰認(rèn)證可以實(shí)現(xiàn)安全性更高的免密登錄，其基本原理是SSH客戶端使用客戶端私鑰對(duì)消息進(jìn)行簽名，服務(wù)器再使用客戶端公鑰驗(yàn)證簽名。這是一種廣泛使用且推薦的方式。6．會(huì)話請(qǐng)求認(rèn)證通過后，SSH客戶端向服務(wù)器發(fā)送會(huì)話請(qǐng)求，請(qǐng)求服務(wù)器提供某種類型的服務(wù)，即請(qǐng)求與服務(wù)器建立相應(yīng)的會(huì)話。服務(wù)器根據(jù)客戶端請(qǐng)求進(jìn)行回應(yīng)。7．?dāng)?shù)據(jù)交互會(huì)話建立后，SSH服務(wù)器和客戶端在該會(huì)話上進(jìn)行數(shù)據(jù)交互，雙方發(fā)送的數(shù)據(jù)均使用會(huì)話密鑰進(jìn)行加解密。3、SSH常用命令1．SSH連接至遠(yuǎn)程主機(jī)命令格式如下：sshname@remoteserver或sshremoteserver-lname以上兩種格式都可以實(shí)現(xiàn)通過SSH連接至遠(yuǎn)程主機(jī)，remoteserver代表遠(yuǎn)程主機(jī)，name代表登錄遠(yuǎn)程主機(jī)的用戶名。2．SSH連接至遠(yuǎn)程主機(jī)指定的端口命令格式如下：sshname@remoteserver-p2222

或sshremoteserver-lname-p2222其中，-p參數(shù)用于指定端口號(hào)。4、SSH安全設(shè)置（1）修改默認(rèn)端口：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將Port參數(shù)值修改為允許訪問的端口。（2）取消密碼驗(yàn)證方式，只使用密鑰對(duì)驗(yàn)證方式登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PasswordAuthentication參數(shù)值修改為NO。（3）只允許通過指定網(wǎng)段訪問SSH服務(wù)：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，uqfListenAddress參數(shù)值修改為允許訪問SSH的網(wǎng)段。（4）禁止空密碼登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PermitEmptyPasswords參數(shù)值修改為NO。（5）禁止root用戶通過SSH登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PermitRootLogin參數(shù)值修改為no。任務(wù)5實(shí)施步驟（1）登錄SSH服務(wù)器端，使用命令cat/etc/ssh/sshd_config查看配置文件，顯示SSH服務(wù)的默認(rèn)端口為22，如圖2-34所示。圖2-34SSH服務(wù)默認(rèn)端口（2）登錄SSH客戶端（IP地址為29），執(zhí)行命令ssh-keygen生成公鑰，如圖2-35所示。圖2-35SSH客戶端生成公鑰（3）登錄SSH客戶端，執(zhí)行命令ssh-copy-id28，將公鑰傳至服務(wù)器端（IP地址為28），此時(shí)需要輸入服務(wù)器端root賬戶的密碼，如圖2-36所示。圖2-36SSH客戶端將公鑰傳至服務(wù)器端（4）登錄SSH客戶端，執(zhí)行命令sshroot@28遠(yuǎn)程登錄服務(wù)器端，不需要輸入密碼，如圖2-37所示。圖2-37SSH客戶端遠(yuǎn)程登錄服務(wù)器端（5）編輯配置文件/etc/ssh/sshd_config，修改PermitRootLogin為no，禁止root用戶通過SSH登錄，如圖2-38所示。圖2-38禁止root用戶通過SSH登錄（6）執(zhí)行systemctlrestartsshd命令重啟SSH服務(wù)，重啟后執(zhí)行命令systemctlstatussshd查看SSH服務(wù)狀態(tài)，如圖2-39所示。圖2-39重啟SSH服務(wù)并查看SSH服務(wù)狀態(tài)（7）登錄SSH客戶端，以root用戶身份遠(yuǎn)程登錄SSH服務(wù)器端，輸入正確的root用戶密碼，提示登錄失敗，如圖2-40所示。圖2-40root用戶通過SSH登錄失?。?）登錄SSH服務(wù)器端，編輯配置文件/etc/ssh/sshd_config，將SSH服務(wù)的默認(rèn)端口號(hào)修改為2220，同時(shí)修改PermitRootlogin為yes，允許root用戶通過SSH登錄，如圖2-41所示。圖2-41修改SSH服務(wù)的默認(rèn)端口號(hào)為2220（9）登錄SSH客戶端，執(zhí)行命令sshroot@28-p2220遠(yuǎn)程登錄SSH服務(wù)器端，如圖2-42所示。圖2-42SSH客戶端連接服務(wù)器2220端口任務(wù)6知識(shí)點(diǎn)講解1、firewalld簡(jiǎn)介firewalld是Linux操作系統(tǒng)默認(rèn)的防火墻配置管理工具，它擁有基于CLI（CommandLineInterface，命令行界面）和基于GUI（GraphicalUserInterface，圖形用戶界面）的兩種管理方式。相較于傳統(tǒng)的防火墻配置管理工具，firewalld支持動(dòng)態(tài)更新技術(shù)并加入了區(qū)域（Zone）的概念。區(qū)域是firewalld預(yù)先準(zhǔn)備的幾套防火墻策略集合（策略模板），用戶可以根據(jù)實(shí)際應(yīng)用場(chǎng)景選擇合適的策略集合，從而實(shí)現(xiàn)防火墻策略的快速切換。進(jìn)行任何規(guī)則的變更都不需要對(duì)整個(gè)防火墻規(guī)則列表進(jìn)行重新加載，只需要將變更部分保存并更新即可，極大地提升了防火墻策略的應(yīng)用效率。firewalld同時(shí)具備對(duì)IPv4和IPv6防火墻設(shè)置的支持。firewalld中常見的區(qū)域（默認(rèn)為public）及相應(yīng)的默認(rèn)規(guī)則策略如下表所示。區(qū)域默認(rèn)規(guī)則策略阻塞區(qū)域（block）拒絕流入的流量，除非與流出的流量相關(guān)工作區(qū)域（work）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、ipp-client、dhcpv6-client服務(wù)相關(guān)，則允許流量家庭區(qū)域（home）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、mdns、ipp-client、mba-client、dhcpv6-client服務(wù)相關(guān)，則允許流量公共區(qū)域（public）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、dhcpv6-client服務(wù)相關(guān)，則允許流量隔離區(qū)域（dmz）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量信任區(qū)域（trusted）允許所有的流量丟棄區(qū)域（drop）拒絕流入的流量，除非與流出的流量相關(guān)內(nèi)部區(qū)域（internal）等同于home區(qū)域外部區(qū)域（external）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量2、firewalld配置模式在Linux操作系統(tǒng)中，firewalld有兩種配置模式：一是運(yùn)行時(shí)（Runtime）模式，又稱為當(dāng)前生效模式，能夠立即生效，但在系統(tǒng)重啟后會(huì)失效，它不中斷現(xiàn)有連接，且無法修改服務(wù)配置；二是永久（Permanent）模式，不立即生效，但在系統(tǒng)重啟后會(huì)生效，或者立即同步后生效，它會(huì)中斷現(xiàn)有連接，同時(shí)可以修改服務(wù)配置。與Linux系統(tǒng)中其他的防火墻配置管理工具一樣，使用firewalld配置的防火墻策略默認(rèn)為運(yùn)行時(shí)模式，隨著系統(tǒng)的重啟會(huì)失效。如果想讓防火墻策略一直存在，就需要使用永久模式，其方法是在用firewall-cmd命令正常設(shè)置防火墻策略時(shí)添加--permanent參數(shù)，這樣配置的防火墻策略就可以永久生效。如果想讓配置的防火墻策略立即生效，則需要手動(dòng)執(zhí)行firewall-cmd--reload命令。3、firewalld基本命令在Linux服務(wù)器中安裝MySQL、Tomcat等需要端口的服務(wù)時(shí)，經(jīng)常要對(duì)防火墻進(jìn)行一些操作，常用的命令如下。（1）查看防火墻狀態(tài)（dead代表關(guān)閉狀態(tài)，running代表已開啟狀態(tài)）。systemctlstatusfirewalld（2）查看防火墻所有開放的端口。firewall-cmd--list-po