【正文】 ? 使用 IP偽裝功能需要打開本機上的 IP轉(zhuǎn)發(fā)功能 ? 范例： iptables –t nat –A POSTROUTING \ s –j MASQUERADE 第十一單元 網(wǎng)絡安全 任課講師： ______________ 基礎網(wǎng)絡安全 ? 越來越多的計算機被連接到網(wǎng)絡上 ? 與網(wǎng)絡連通對操作系統(tǒng)和后臺進程意味著冒險，被寄生與攻擊的可能 基于主機的安全 ? 限制不受歡迎的來源 ? 封鎖不作利用的端口 ? 不安裝與啟動不使用的服務 ? 一般，每一種服務本身一般都會提供方式做相關限制 ? 配制防火墻保護主機 tcp_wrapper ? 基于主機與服務 ? 使用簡單的配置文件來設置訪問限制 – /etc/ – /etc/ ? 基于 xid的服務也能在其配置中調(diào)用libwrap ? 配置一旦被改變，立刻生效 tcp_wrapper的配置 ? 訪問控制判斷順序： 1. 訪問是否被明確許可 2. 否則，訪問是否被明確禁止 3. 如果都沒有，默認許可 ? 配置文件 – 許可用： /etc/ – 禁止用： /etc/ ? 基本語法： 后臺進程列表：客戶端列表 [：參數(shù) ] 后臺進程描述 ? 后臺進程列表應該是： – 服務的可執(zhí)行工具名 – 允許指定多項服務 – 允許使用 ALL來匹配所有服務 – 允許可執(zhí)行工具名后添加 IP或主機名，如果本機有多個網(wǎng)絡界面 客戶端列表 高級語法 ? 通配符 – ALL：所有 – LOCAL：所以主機名中不包含 .的主機 – UNKNOWN：無法被解析的主機 – KNOWN：可以雙向解析的主機 – PARANOID：正向解析成功但無法反向解析的主機 ? EXCEPT – 可用于服務列表與客戶端列表 – 可以層層套用 基于 xid的服務 ? xid服務支持兩種訪問限制 – 基于主機 – 基于時間 ? 在 xid與 tcp_wrapper都限制的情況下： – 先檢查 tcp_wrapper – 如果 tcp_wrapper允許，再檢查 xid是否也允許 配置 xid訪問限制 ? 可以寫在 /etc/，也可以寫在/etc/? 可以使用的控制語句： – only_from = 客戶端描述 – no_access =客戶端描述 – access_time =客戶端描述 – per_source = 數(shù)量 第十二單元 加密與保護 任課講師： ______________ 加密的意義 ? 數(shù)據(jù)不加密可能造成的后果 – 密碼 /數(shù)據(jù)被盜聽 – 數(shù)據(jù)被篡改 – 認證被操縱 ? 不安全的服務和協(xié)議 – 密碼不安全： tel， ftp， pop3等等 – 數(shù)據(jù)不安全： sendmail， nfs等等 – 認證不安全： rsh， rcp等等 單向校驗 ? 對數(shù)據(jù)文件用工具求值，并與原文件求得值做比較以驗證文件是否為原文件 ? 常用的工具： – sum（ CRC32） – md5sum（ MD5） – sigen（ CRC32/MD5/SHA/HAVAL） 不對稱加密 ? 基于公鑰與私鑰組 ? 原理： – 先由收信人生成一對公鑰與私鑰 – 收信人將公鑰發(fā)布出去，留下私鑰 – 送信人獲取公鑰，然后用公鑰將傳送給收信人的信息加密 – 收信人收到加密信息后再用私鑰將信息解密 數(shù)字簽名 ? 另一種同樣基于公鑰與私鑰組的不對稱加密 ? 原理： – 發(fā)信人先生成一對公鑰與私鑰 – 發(fā)信人將公鑰發(fā)布出去，留下私鑰 – 發(fā)信人用私鑰將所傳送的信息加密，然后送出 – 收信人用獲得的公鑰將信息解密 openssh ? openssh用來普遍替代了不安全的基本網(wǎng)絡通訊工具 ? 支持用戶與基于標記的認證 ? 需要預先安裝 openssl ? openssh基礎配置放在 /etc/ssh下 ssh客戶端 ? ssh：安全 shell進程 – ssh 主機名 – ssh 用戶 主機名 – ssh 主機名 遠端指令 ? scp：基于 ssh的安全遠端拷貝文件與目錄 – scp 文件 用戶 主機名 ：遠端目錄 – scp –r 用戶 主機名：遠端目錄 本地目錄 ? sftp：基于 ssh的安全 ftp傳送 – sftp 主機名 – sftp –C 用戶 主機名 ssh服務端 ? 配置 ssh服務端，需要安裝 opensshserver ? 后臺進程 sshd，作為一個 System V服務，可以用 /etc/? 采用公鑰與私鑰組機制 ? 使用 22為其服務端口 ? 支持 libwrapper的限制 RPM檢驗 ? 未經(jīng)檢驗的 RPM包可能是危險的 ? Red Hat對其認證過的 RPM包提供 md5及gpgkey的認證 ? 用戶可以自行檢驗 RPM包是否經(jīng)過認證 rpm –K RPM包名 ? 導入 gpgkey gpg import /mnt/cdrom/RPMGPGKEY 第十三單元 服務 排 錯 任課講師： ______________ 排除的步驟 ? 從最簡單的問題找起 ? 在修改配置之前先看日志文件 ? 使用服務的調(diào)試模式 ? 使用相應的語法檢查器 ? 更多的問題可以去 查尋 關于服務的問題 ? 檢查服務的 log文件 ? 檢查是否可以正確的解析域名或是 IP地址 ? 檢查相依賴的服務或是網(wǎng)絡的配置 ? 檢查安全設置和訪問控制連接許可 網(wǎng)絡的問題 ? 域名解析的問題 ? Ip地址配置的問題 ? 默認網(wǎng)關的問題 ? 路由的問題 ? 網(wǎng)卡模塊的問題 ? 設備激活的問題 ? 靜夜四無鄰，荒居舊業(yè)貧。 , April 1, 2023 ? 雨中黃葉樹，燈下白頭人。 00:32:2800:32:2800:324/1/2023 12:32:28 AM ? 1以我獨沈久，愧君相見頻。 :32:2800:32Apr231Apr23 ? 1故人江海別，幾度隔山川。 00:32:2800:32:2800:32Saturday, April 1, 2023 ? 1乍見翻疑夢，相悲各問年。 :32:2800:32:28April 1, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 4月 1日星期六 上午 12時 32分 28秒 00:32: ? 1比不了得就不比，得不到的就不要。 。 2023年 4月 上午 12時 32分 :32April 1, 2023 ? 1行動出成果，工作出財富。 2023年 4月 1日星期六 12時 32分 28秒 00:32:281 April 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 上午 12時 32分 28秒 上午 12時 32分 00:32: ? 沒有失敗，只有暫時停止成功！。 , April 1, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 00:32:2800:32:2800:324/1/2023 12:32:28 AM ? 1成功就是日復一日那一點點小小努力的積累。 :32:2800:32Apr231Apr23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 00:32:2800:32:2800:32Saturday, April 1, 2023 ? 1不知香積寺，數(shù)里入云峰。 :32:2800:32:28April 1, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 4月 1日星期六 上午 12時 32分 28秒 00:32: ? 1楚塞三湘接，荊門九派通。 。 2023年 4月 上午 12時 32分 :32April 1, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 4月 1日星期六 12時 32分 28秒 00:32:281 April 2023 ? 1空山新雨后，天氣晚來秋。 上午 12時 32分 28秒 上午 12時 32分 00:32: ? 楊柳散和風，青山澹吾慮。 , April 1, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 00:32:2800:32:2800:324/1/2023 12:32:28 AM ? 1越是沒有本領的就越加自命不凡。 :32:2800:32Apr231Apr23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 00:32:2800:32:2800:32Saturday, April 1, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強。 :32:2800:32:28April 1, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 4月 1日星期六 上午 12時 32分 28秒 00:32: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 4月 上午 12時 32分 :32April 1, 2023 ? 1業(yè)余生活要有意義，不要越軌。 2023年 4月 1日星期六 12時 32分 28秒 00:32:281 April 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。 上午 12時 32分 28秒 上午 12時 32分 00:32: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴