【正文】 務后，對用戶的使用資源，進行各種設置 ? pam_time – 使用一個簡單的配置文件，來建立基于時間的服務訪問限制 – 使用 /etc/security/ sudo ? 讓一般用戶有可能使用 root才可以使用的系統(tǒng)管理指令 ? 需要配置 /etc/sudoers文件，來定義哪些用戶可以使用哪些指令，以及使用時是否需要密碼 ? 用 visudo編輯 /etc/sudoers文件 ? 用‘ sudo 系統(tǒng)指令’執(zhí)行系統(tǒng)指令 第十單元 防火墻和 IP偽裝 任課講師： ______________ iptables ? iptables是 Red Hat Linux里默認使用的防火墻 ? iptables提供多個設定參數(shù)可以用來定義過濾規(guī)則，包括 IP/MAC地址、協(xié)議、端口、子網(wǎng)掩碼 ? iptables支持在路由算法發(fā)生前后進行網(wǎng)絡地址轉(zhuǎn)換 iptables結構 ? iptables將防火墻的功能分成多個 tables – filter：數(shù)據(jù)包過濾 – NAT： Network Address Translation/網(wǎng)絡地址轉(zhuǎn)換 ? tables又包含多個 chains – 5條默認基礎操作 chains – 允許用戶自行定義 chains iptables語法 iptables [t table] action [pattern] [j target] ? action包括： A chain：在 chain中增添一條規(guī)則 D chain：在 chain中刪除一條規(guī)則 L chain：列出 chain中的規(guī)則 F chain：清空 chain中的規(guī)則 P chain：為 chain指定新的默認策略，可以是： ? ACCEPT：未經(jīng)禁止全部許可 ? DROP：未經(jīng)許口全部禁止 iptables語法（二） ? pattern包括： s ip地址 ：來源地址 d ip地址 ：目標地址 p 協(xié)議 ：指定協(xié)議，可以是 tcp/udp/icmp dport 端口 ：目標端口，需指定 p sport 端口 ：來源端口，需指定 p ? target包括： – DROP：禁止 – ACCEPT：許可 filter table ? 用于過濾數(shù)據(jù)包的接送 ? chain INPUT： – 設定遠端訪問主機時的規(guī)則 – 來源是遠端訪問者，目標是本地主機 ? chain OUTPUT： – 設定主機訪問遠端主機的規(guī)則 – 來源是本地主機，目標是遠端被訪問主機 ? chain FORWARD： – 設定主機為其他主機轉(zhuǎn)發(fā)數(shù)據(jù)包時的規(guī)則 – 來源是請求轉(zhuǎn)發(fā)的主機，目標是遠端被訪問的主機 NAT table ? 用于處理網(wǎng)絡地址轉(zhuǎn)換 ? chain PREROUTING： – 路由算法發(fā)生之前 – 轉(zhuǎn)換數(shù)據(jù)包內(nèi)的來源地址 ? chain POSTROUTING： – 路由算法發(fā)生之后 – 轉(zhuǎn)換數(shù)據(jù)報內(nèi)的目標地址 用 NAT table完成 IP偽裝 ? 對于負責內(nèi)部子網(wǎng)的路由器，需要為保留地址進行 IP偽裝 ? 使用 IP偽裝功能需要打開本機上的 IP轉(zhuǎn)發(fā)功能 ? 范例： iptables –t nat –A POSTROUTING \ s –j MASQUERADE 第十一單元 網(wǎng)絡安全 任課講師： ______________ 基礎網(wǎng)絡安全 ? 越來越多的計算機被連接到網(wǎng)絡上 ? 與網(wǎng)絡連通對操作系統(tǒng)和后臺進程意味著冒險，被寄生與攻擊的可能 基于主機的安全 ? 限制不受歡迎的來源 ? 封鎖不作利用的端口 ? 不安裝與啟動不使用的服務 ? 一般，每一種服務本身一般都會提供方式做相關限制 ? 配制防火墻保護主機 tcp_wrapper ? 基于主機與服務 ? 使用簡單的配置文件來設置訪問限制 – /etc/ – /etc/ ? 基于 xid的服務也能在其配置中調(diào)用libwrap ? 配置一旦被改變，立刻生效 tcp_wrapper的配置 ? 訪問控制判斷順序： 1. 訪問是否被明確許可 2. 否則，訪問是否被明確禁止 3. 如果都沒有，默認許可 ? 配置文件 – 許可用： /etc/ – 禁止用： /etc/ ? 基本語法： 后臺進程列表：客戶端列表 [：參數(shù) ] 后臺進程描述 ? 后臺進程列表應該是： – 服務的可執(zhí)行工具名 – 允許指定多項服務 – 允許使用 ALL來匹配所有服務 – 允許可執(zhí)行工具名后添加 IP或主機名，如果本機有多個網(wǎng)絡界面 客戶端列表 ? 客戶端描述可以包含： – IP地址（ ） – 域名或主機名（ ., ） – 子網(wǎng)掩碼（ ） – 網(wǎng)絡名（ @mydomain） 高級語法 ? 通配符 – ALL：所有 – LOCAL：所以主機名中不包含 .的主機 – UNKNOWN：無法被解析的主機 – KNOWN：可以雙向解析的主機 – PARANOID：正向解析成功但無法反向解析的主機 ? EXCEPT – 可用于服務列表與客戶端列表 – 可以層層套用 基于 xid的服務 ? xid服務支持兩種訪問限制 – 基于主機 – 基于時間 ? 在 xid與 tcp_wrapper都限制的情況下： – 先檢查 tcp_wrapper – 如果 tcp_wrapper允許，再檢查 xid是否也允許 配置 xid訪問限制 ? 可以寫在 /etc/，也可以寫在/etc/? 可以使用的控制語句： – only_from = 客戶端描述 – no_access =客戶端描述 – access_time =客戶端描述 – per_source = 數(shù)量 第十二單元 加密與保護 任課講師： ______________ 加密的意義 ? 數(shù)據(jù)不加密可能造成的后果 – 密碼 /數(shù)據(jù)被盜聽 – 數(shù)據(jù)被篡改 – 認證被操縱 ? 不安全的服務和協(xié)議 – 密碼不安全： tel， ftp， pop3等等 – 數(shù)據(jù)不安全： sendmail， nfs等等 – 認證不安全： rsh， rcp等等 單向校驗 ? 對數(shù)據(jù)文件用工具求值，并與原文件求得值做比較以驗證文件是否為原文件 ? 常用的工具： – sum（ CRC32） – md5sum（ MD5） – sigen（ CRC32/MD5/SHA/HAVAL） 不對稱加密 ? 基于公鑰與私鑰組 ? 原理： – 先由收信人生成一對公鑰與私鑰 – 收信人將公鑰發(fā)布出去，留下私鑰 – 送信人獲取公鑰，然后用公鑰將傳送給收信人的信息加密 – 收信人收到加密信息后再用私鑰將信息解密 數(shù)字簽名 ? 另一種同樣基于公鑰與私鑰組的不對稱加密 ? 原理： – 發(fā)信人先生成一對公鑰與私鑰 – 發(fā)信人將公鑰發(fā)布出去，留下私鑰 – 發(fā)信人用私鑰將所傳送的信息加密，然后送出 – 收信人用獲得的公鑰將信息解密 openssh ? openssh用來普遍替代了不安全的基本網(wǎng)絡通訊工具 ? 支持用戶與基于標記的認證 ? 需要預先安裝 openssl ? openssh基礎配置放在 /etc/ssh下 ssh客戶端 ? ssh：安全 shell進程 – ssh 主機名 – ssh 用戶 @主機名 – ssh 主機名 遠端指令 ? scp：基于 ssh的安全遠端拷貝文件與目錄 – scp 文件 用戶 @主機名 ：遠端目錄 – scp –r 用戶 @主機名：遠端目錄 本地目錄 ? sftp：基于 ssh的安全 ftp傳送 – sftp 主機名 – sftp –C 用戶 @主機名 ssh服務端 ? 配置 ssh服務端，需要安裝 opensshserver ? 后臺進程 sshd，作為一個 System V服務，可以用 /etc/? 采用公鑰與私鑰組機制 ? 使用 22為其服務端口 ? 支持 libwrapper的限制 RPM檢驗 ? 未經(jīng)檢驗的 RPM包可能是危險的 ? Red Hat對其認證過的 RPM包提供 md5及gpgkey的認證 ? 用戶可以自行檢驗 RPM包是否經(jīng)過認證 rpm –K RPM包名 ? 導入 gpgkey gpg import /mnt/cdrom/RPMGPGKEY 第十三單元 服務 排 錯 任課講師： ______________ 排除的步驟 ? 從最簡單的問題找起 ? 在修改配置之前先看日志文件 ? 使用服務的調(diào)試模式 ? 使用相應的語法檢查器 ? 更多的問題可以去 查尋 關于服務的問題 ? 檢查服務的 log文件 ? 檢查是否可以正確的解析域名或是 IP地址 ? 檢查相依賴的服務或是網(wǎng)絡的配置 ? 檢查安全設置和訪問控制連接許可 網(wǎng)絡的問題 ? 域名解析的問題 ? Ip地址配置的問題 ? 默認網(wǎng)關的問題 ? 路由的問題 ? 網(wǎng)卡模塊的問題 ? 設備激活的問題