【正文】 務(wù)后，對(duì)用戶的使用資源，進(jìn)行各種設(shè)置 ? pam_time – 使用一個(gè)簡(jiǎn)單的配置文件，來(lái)建立基于時(shí)間的服務(wù)訪問(wèn)限制 – 使用 /etc/security/ sudo ? 讓一般用戶有可能使用 root才可以使用的系統(tǒng)管理指令 ? 需要配置 /etc/sudoers文件，來(lái)定義哪些用戶可以使用哪些指令，以及使用時(shí)是否需要密碼 ? 用 visudo編輯 /etc/sudoers文件 ? 用‘ sudo 系統(tǒng)指令’執(zhí)行系統(tǒng)指令 第十單元 防火墻和 IP偽裝 任課講師： ______________ iptables ? iptables是 Red Hat Linux里默認(rèn)使用的防火墻 ? iptables提供多個(gè)設(shè)定參數(shù)可以用來(lái)定義過(guò)濾規(guī)則，包括 IP/MAC地址、協(xié)議、端口、子網(wǎng)掩碼 ? iptables支持在路由算法發(fā)生前后進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換 iptables結(jié)構(gòu) ? iptables將防火墻的功能分成多個(gè) tables – filter：數(shù)據(jù)包過(guò)濾 – NAT： Network Address Translation/網(wǎng)絡(luò)地址轉(zhuǎn)換 ? tables又包含多個(gè) chains – 5條默認(rèn)基礎(chǔ)操作 chains – 允許用戶自行定義 chains iptables語(yǔ)法 iptables [t table] action [pattern] [j target] ? action包括： A chain：在 chain中增添一條規(guī)則 D chain：在 chain中刪除一條規(guī)則 L chain：列出 chain中的規(guī)則 F chain：清空 chain中的規(guī)則 P chain：為 chain指定新的默認(rèn)策略，可以是： ? ACCEPT：未經(jīng)禁止全部許可 ? DROP：未經(jīng)許口全部禁止 iptables語(yǔ)法（二） ? pattern包括： s ip地址 ：來(lái)源地址 d ip地址 ：目標(biāo)地址 p 協(xié)議 ：指定協(xié)議，可以是 tcp/udp/icmp dport 端口 ：目標(biāo)端口，需指定 p sport 端口 ：來(lái)源端口，需指定 p ? target包括： – DROP：禁止 – ACCEPT：許可 filter table ? 用于過(guò)濾數(shù)據(jù)包的接送 ? chain INPUT： – 設(shè)定遠(yuǎn)端訪問(wèn)主機(jī)時(shí)的規(guī)則 – 來(lái)源是遠(yuǎn)端訪問(wèn)者，目標(biāo)是本地主機(jī) ? chain OUTPUT： – 設(shè)定主機(jī)訪問(wèn)遠(yuǎn)端主機(jī)的規(guī)則 – 來(lái)源是本地主機(jī)，目標(biāo)是遠(yuǎn)端被訪問(wèn)主機(jī) ? chain FORWARD： – 設(shè)定主機(jī)為其他主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)的規(guī)則 – 來(lái)源是請(qǐng)求轉(zhuǎn)發(fā)的主機(jī)，目標(biāo)是遠(yuǎn)端被訪問(wèn)的主機(jī) NAT table ? 用于處理網(wǎng)絡(luò)地址轉(zhuǎn)換 ? chain PREROUTING： – 路由算法發(fā)生之前 – 轉(zhuǎn)換數(shù)據(jù)包內(nèi)的來(lái)源地址 ? chain POSTROUTING： – 路由算法發(fā)生之后 – 轉(zhuǎn)換數(shù)據(jù)報(bào)內(nèi)的目標(biāo)地址 用 NAT table完成 IP偽裝 ? 對(duì)于負(fù)責(zé)內(nèi)部子網(wǎng)的路由器，需要為保留地址進(jìn)行 IP偽裝 ? 使用 IP偽裝功能需要打開(kāi)本機(jī)上的 IP轉(zhuǎn)發(fā)功能 ? 范例： iptables –t nat –A POSTROUTING \ s –j MASQUERADE 第十一單元 網(wǎng)絡(luò)安全 任課講師： ______________ 基礎(chǔ)網(wǎng)絡(luò)安全 ? 越來(lái)越多的計(jì)算機(jī)被連接到網(wǎng)絡(luò)上 ? 與網(wǎng)絡(luò)連通對(duì)操作系統(tǒng)和后臺(tái)進(jìn)程意味著冒險(xiǎn)，被寄生與攻擊的可能 基于主機(jī)的安全 ? 限制不受歡迎的來(lái)源 ? 封鎖不作利用的端口 ? 不安裝與啟動(dòng)不使用的服務(wù) ? 一般，每一種服務(wù)本身一般都會(huì)提供方式做相關(guān)限制 ? 配制防火墻保護(hù)主機(jī) tcp_wrapper ? 基于主機(jī)與服務(wù) ? 使用簡(jiǎn)單的配置文件來(lái)設(shè)置訪問(wèn)限制 – /etc/ – /etc/ ? 基于 xid的服務(wù)也能在其配置中調(diào)用libwrap ? 配置一旦被改變，立刻生效 tcp_wrapper的配置 ? 訪問(wèn)控制判斷順序： 1. 訪問(wèn)是否被明確許可 2. 否則，訪問(wèn)是否被明確禁止 3. 如果都沒(méi)有，默認(rèn)許可 ? 配置文件 – 許可用： /etc/ – 禁止用： /etc/ ? 基本語(yǔ)法： 后臺(tái)進(jìn)程列表：客戶端列表 [：參數(shù) ] 后臺(tái)進(jìn)程描述 ? 后臺(tái)進(jìn)程列表應(yīng)該是： – 服務(wù)的可執(zhí)行工具名 – 允許指定多項(xiàng)服務(wù) – 允許使用 ALL來(lái)匹配所有服務(wù) – 允許可執(zhí)行工具名后添加 IP或主機(jī)名，如果本機(jī)有多個(gè)網(wǎng)絡(luò)界面 客戶端列表 ? 客戶端描述可以包含： – IP地址（ ） – 域名或主機(jī)名（ ., ） – 子網(wǎng)掩碼（ ） – 網(wǎng)絡(luò)名（ @mydomain） 高級(jí)語(yǔ)法 ? 通配符 – ALL：所有 – LOCAL：所以主機(jī)名中不包含 .的主機(jī) – UNKNOWN：無(wú)法被解析的主機(jī) – KNOWN：可以雙向解析的主機(jī) – PARANOID：正向解析成功但無(wú)法反向解析的主機(jī) ? EXCEPT – 可用于服務(wù)列表與客戶端列表 – 可以層層套用 基于 xid的服務(wù) ? xid服務(wù)支持兩種訪問(wèn)限制 – 基于主機(jī) – 基于時(shí)間 ? 在 xid與 tcp_wrapper都限制的情況下： – 先檢查 tcp_wrapper – 如果 tcp_wrapper允許，再檢查 xid是否也允許 配置 xid訪問(wèn)限制 ? 可以寫在 /etc/，也可以寫在/etc/? 可以使用的控制語(yǔ)句： – only_from = 客戶端描述 – no_access =客戶端描述 – access_time =客戶端描述 – per_source = 數(shù)量 第十二單元 加密與保護(hù) 任課講師： ______________ 加密的意義 ? 數(shù)據(jù)不加密可能造成的后果 – 密碼 /數(shù)據(jù)被盜聽(tīng) – 數(shù)據(jù)被篡改 – 認(rèn)證被操縱 ? 不安全的服務(wù)和協(xié)議 – 密碼不安全： tel， ftp， pop3等等 – 數(shù)據(jù)不安全： sendmail， nfs等等 – 認(rèn)證不安全： rsh， rcp等等 單向校驗(yàn) ? 對(duì)數(shù)據(jù)文件用工具求值，并與原文件求得值做比較以驗(yàn)證文件是否為原文件 ? 常用的工具： – sum（ CRC32） – md5sum（ MD5） – sigen（ CRC32/MD5/SHA/HAVAL） 不對(duì)稱加密 ? 基于公鑰與私鑰組 ? 原理： – 先由收信人生成一對(duì)公鑰與私鑰 – 收信人將公鑰發(fā)布出去，留下私鑰 – 送信人獲取公鑰，然后用公鑰將傳送給收信人的信息加密 – 收信人收到加密信息后再用私鑰將信息解密 數(shù)字簽名 ? 另一種同樣基于公鑰與私鑰組的不對(duì)稱加密 ? 原理： – 發(fā)信人先生成一對(duì)公鑰與私鑰 – 發(fā)信人將公鑰發(fā)布出去，留下私鑰 – 發(fā)信人用私鑰將所傳送的信息加密，然后送出 – 收信人用獲得的公鑰將信息解密 openssh ? openssh用來(lái)普遍替代了不安全的基本網(wǎng)絡(luò)通訊工具 ? 支持用戶與基于標(biāo)記的認(rèn)證 ? 需要預(yù)先安裝 openssl ? openssh基礎(chǔ)配置放在 /etc/ssh下 ssh客戶端 ? ssh：安全 shell進(jìn)程 – ssh 主機(jī)名 – ssh 用戶 @主機(jī)名 – ssh 主機(jī)名 遠(yuǎn)端指令 ? scp：基于 ssh的安全遠(yuǎn)端拷貝文件與目錄 – scp 文件 用戶 @主機(jī)名 ：遠(yuǎn)端目錄 – scp –r 用戶 @主機(jī)名：遠(yuǎn)端目錄 本地目錄 ? sftp：基于 ssh的安全 ftp傳送 – sftp 主機(jī)名 – sftp –C 用戶 @主機(jī)名 ssh服務(wù)端 ? 配置 ssh服務(wù)端，需要安裝 opensshserver ? 后臺(tái)進(jìn)程 sshd，作為一個(gè) System V服務(wù)，可以用 /etc/? 采用公鑰與私鑰組機(jī)制 ? 使用 22為其服務(wù)端口 ? 支持 libwrapper的限制 RPM檢驗(yàn) ? 未經(jīng)檢驗(yàn)的 RPM包可能是危險(xiǎn)的 ? Red Hat對(duì)其認(rèn)證過(guò)的 RPM包提供 md5及gpgkey的認(rèn)證 ? 用戶可以自行檢驗(yàn) RPM包是否經(jīng)過(guò)認(rèn)證 rpm –K RPM包名 ? 導(dǎo)入 gpgkey gpg import /mnt/cdrom/RPMGPGKEY 第十三單元 服務(wù) 排 錯(cuò) 任課講師： ______________ 排除的步驟 ? 從最簡(jiǎn)單的問(wèn)題找起 ? 在修改配置之前先看日志文件 ? 使用服務(wù)的調(diào)試模式 ? 使用相應(yīng)的語(yǔ)法檢查器 ? 更多的問(wèn)題可以去 查尋 關(guān)于服務(wù)的問(wèn)題 ? 檢查服務(wù)的 log文件 ? 檢查是否可以正確的解析域名或是 IP地址 ? 檢查相依賴的服務(wù)或是網(wǎng)絡(luò)的配置 ? 檢查安全設(shè)置和訪問(wèn)控制連接許可 網(wǎng)絡(luò)的問(wèn)題 ? 域名解析的問(wèn)題 ? Ip地址配置的問(wèn)題 ? 默認(rèn)網(wǎng)關(guān)的問(wèn)題 ? 路由的問(wèn)題 ? 網(wǎng)卡模塊的問(wèn)題 ? 設(shè)備激活的問(wèn)題