RHCE認(rèn)證253安全管理.ppt

第一單元 服務(wù) 任課講師 服務(wù) 網(wǎng)絡(luò)服務(wù) 根據(jù)其使用的方法來(lái)分 可以被分為三類由init控制的服務(wù)由SystemV啟動(dòng)腳本啟動(dòng)的服務(wù)由xinetd管理的服務(wù) 由init控制的服務(wù) 配置在 etc inittab中可以設(shè)置respawn參數(shù)在服務(wù)每次被關(guān)閉時(shí)自動(dòng)重啟inittab文件被改變后 可以用initq來(lái)使改動(dòng)生效 由SystemV啟動(dòng)的服務(wù) 由 etc rc d init d 目錄下的SystemV腳本啟動(dòng) etc rc d init d script start stop restart 也可以用service命令來(lái)執(zhí)行腳本 在不同運(yùn)行級(jí)別下的默認(rèn)開關(guān)可以不同用chkconfig來(lái)管理在有些地方也被稱為standalone的服務(wù) 由xinetd管理的服務(wù) 由xinetd管理xinetddaemon服務(wù)管理文件放在 etc xinetd d 目錄下編輯服務(wù)文件來(lái)開關(guān)服務(wù)重啟xinetd chkconfig SystemV 決定在切換入某個(gè)運(yùn)行級(jí)別下時(shí) 服務(wù)打開還是關(guān)閉xinetd 在xinetd服務(wù)正在運(yùn)行的情況下 直接開啟或關(guān)閉基于xinetd的服務(wù) 第二單元 DNS 任課講師 DNS DNS DomainNameService 域名服務(wù)支持將計(jì)算機(jī)的域名解析成IP地址 正向搜索 支持將IP地址解析成計(jì)算機(jī)的域名 反向搜索 允許計(jì)算機(jī)根據(jù)邏輯組合成一個(gè)一個(gè)名字域 區(qū) 域及授權(quán) 一個(gè)域 domain 包含一個(gè)完整的分級(jí)域名下層樹一個(gè)區(qū) zone 則是域的一部分 被一個(gè)具體詳細(xì)的服務(wù)器所管理子域可以被授權(quán)成為附加的域一個(gè)區(qū)可以直接管理子域 英特網(wǎng)上的分級(jí)DNS 根域名服務(wù)器作為區(qū)認(rèn)證域名服務(wù)器的最高級(jí)別域名服務(wù)器存在為遞歸查詢提供權(quán)威解釋區(qū)認(rèn)證域名服務(wù)器區(qū)的劃分與認(rèn)證主域名服務(wù)器與從域名服務(wù)器 主域和從域 主域服務(wù)器擁有一個(gè)域的主復(fù)制數(shù)據(jù)從域服務(wù)器為主服務(wù)器提供自動(dòng)數(shù)據(jù)備份每一個(gè)從服務(wù)器都會(huì)自動(dòng)從主服務(wù)器處同步更新數(shù)據(jù) 客戶端DNS 客戶端產(chǎn)生對(duì)IP與主機(jī)名解析的需求 通常DNS客戶端上有許多程序運(yùn)行時(shí)需要解析客戶端檢索本地?cái)?shù)據(jù)文件的相關(guān)記錄客戶端將無(wú)法自行解釋的需求 通過(guò)53端口送給指定的DNS服務(wù)器收回的數(shù)據(jù)也許并不權(quán)威 服務(wù)端DNS 服務(wù)端接受請(qǐng)求如果自己無(wú)法給出回答 則可能將請(qǐng)求轉(zhuǎn)發(fā)給上級(jí)服務(wù)器 或直接詢問(wèn)根域名服務(wù)器其上級(jí)服務(wù)器有可能給出回答 或進(jìn)一步轉(zhuǎn)交給其他域名服務(wù)器一個(gè)服務(wù)器上可以記錄多個(gè)域的數(shù)據(jù) BIND BIND BerkeleyInternetNameDaemonBIND是在Internet上應(yīng)用最為廣泛的DNS服務(wù)器提供穩(wěn)定與可信賴的下層結(jié)構(gòu)以提供域名與IP地址的轉(zhuǎn)換 BIND服務(wù)一覽 后臺(tái)進(jìn)程 named腳本 etc rc d init d named使用端口 53 tcp udp 所需RPM包 bind bind utils相關(guān)RPM包 bindconf caching nameserver配置文件 etc named conf相關(guān)路徑 var named etc sysconfig named named進(jìn)程被SystemV腳本激活后 會(huì)根據(jù)此文件的參數(shù)決定其運(yùn)行參數(shù) 例如 OPTION d5 將debug等級(jí)設(shè)為5 etc named conf named conf是BIND使用的默認(rèn)配置文件在每一次named啟動(dòng)與掛起時(shí)都會(huì)被讀取一個(gè)簡(jiǎn)單的文本文件 其中記錄的可以包括options 全局參數(shù) zone 區(qū)域定義 accesscontrollists 訪問(wèn)控制列表 等 option 在 etc named conf的options段中被宣告常用的參數(shù)包括directory 指定zonefile的存放位置forwarders 指定其上級(jí)域名服務(wù)器allow query 指定允許向其提交請(qǐng)求的客戶allow transfer 指定允許復(fù)制zone數(shù)據(jù)的主機(jī) 主域 由一個(gè)zone段在 etc named conf中宣告typemaster file 存放該zone數(shù)據(jù)的文件名必須存在于options段中提及的目錄之下文件名可以隨意allow update 允許動(dòng)態(tài)更新該zone數(shù)據(jù)的客戶機(jī) 從域 由一個(gè)zone段在 etc named conf中宣告typeslave master 指定其主域名服務(wù)器對(duì)應(yīng)的主域名服務(wù)器必須承認(rèn)并存放有該區(qū)域的數(shù)據(jù)file 本地用于存放zone數(shù)據(jù)的文件從域名服務(wù)器總是試圖與其master聯(lián)系并獲取一份當(dāng)前數(shù)據(jù)的副本 反解析域 域的名字必須用 in addr arpa來(lái)結(jié)尾由一個(gè)zone段在 etc named conf中宣告反解析域一般對(duì)應(yīng)到一個(gè)具體的IP段反解析域同樣可以配置為從域許多服務(wù)會(huì)嘗試進(jìn)行反解析 根域 根域 zone IN typehint file named ca zone文件 文件通常存放在 var named目錄下用于存放指定域內(nèi)的各種資源與數(shù)據(jù)第一段資源記錄被成為起始授權(quán)記錄 SOA 每一個(gè)在 etc named conf中定義的zone都應(yīng)該對(duì)應(yīng)一個(gè)具體的zone文件 資源記錄 SOA 定義起始授權(quán)NS 指定域名服務(wù)器MX 指定郵件服務(wù)器A 將一個(gè)域名解析成其后的IPCNAME 將一個(gè)域名設(shè)置為另一個(gè)域名的別名PTR 將一個(gè)IP地址指向一個(gè)域名 SOA記錄 SOA StartofAuthority 起始授權(quán)每一個(gè)域文件中都應(yīng)該有一個(gè)SOA段 INSOAlocalhost root localhost 1997022700 Serial28800 Refresh14400 Retry3600000 Expire86400 Minimum NS記錄 NS nameserver 域名服務(wù)器每一個(gè)主域名服務(wù)器和從域名服務(wù)器都應(yīng)該擁有一條NS記錄 以防止主服務(wù)器在出現(xiàn)故障后 從服務(wù)器不能及時(shí)提供服務(wù) INNSINNS 資源記錄 A記錄用于將主機(jī)名對(duì)應(yīng)成IP地址CNAME記錄用于定義某一個(gè)地址的別名PTR記錄用于將IP地址對(duì)應(yīng)成一個(gè)主機(jī)名 MX與HINFO記錄 MX 用于定義某一個(gè)域里負(fù)責(zé)的郵件服務(wù)器每一條MX記錄前都需要指定優(yōu)先級(jí)別INMX5mailHINFO記錄提供解析時(shí)對(duì)一臺(tái)主機(jī)做補(bǔ)充注釋server1INHINFOmasterserver RoundRobin 利用復(fù)數(shù)A記錄來(lái)均衡數(shù)臺(tái)服務(wù)器的訪問(wèn)負(fù)載www0INA192 168 0 3www0INA192 168 0 4www0INA192 168 0 5 rndc 域名服務(wù)器控制程序安全防范 遠(yuǎn)程控制運(yùn)行的域名服務(wù)器使用TSIG安全例如 root stationxxroot rndcreloadrndc默認(rèn)只監(jiān)聽本地loopback端口 BIND語(yǔ)法檢查工具 在BIND出錯(cuò)時(shí)使用如下工具 named checkconf默認(rèn)檢查的配置文件是 etc fnamed checkzone檢查一個(gè)Zone文件的配置 redhat config bind 圖形界面下的BIND配置工具簡(jiǎn)單清晰地完成BIND配置可對(duì)應(yīng)多個(gè)版本的BIND配置文件存放在 etc alchemist namespace dns local adl 第三單元 Samba 任課講師 SAMBA原理概述 SAMBA SendMessageBlock整合了SMB協(xié)議及Netbios協(xié)議 使其運(yùn)做在TCP IP上 能夠讓Unixbased的機(jī)器與windows互動(dòng) SAMBA服務(wù)有兩個(gè)進(jìn)程 smbd SMB服務(wù)器nmbd netbios名字服務(wù)器 SAMBA服務(wù)一覽 后臺(tái)進(jìn)程 smbd nmbd腳本 etc rc d init d smb使用端口 137 138 139所需RPM包 samba samba common samba client相關(guān)RPM包 samba swat配置文件 etc samba smb conf SAMBA的配置 samba的配置文件 etc samba smb conf由數(shù)個(gè) 將配置文件分成數(shù)段 例如 global 一些全局配置 homes 讓用戶可以訪問(wèn)其主目錄 printers 定義共享的打印機(jī)資源圖形界面下的配置工具SWAT SambaWebAdminTool redhat config samba 全局設(shè)置 全局設(shè)置寫在 global 段內(nèi) 主要是指samba服務(wù)器的一些全局設(shè)定workgroupserverstringhostsallowsecurityencryptpasswordssmbpasswdfile 共享段 共享段用于在samba服務(wù)器上開放共享目錄一般每一個(gè) 表示一個(gè)指定的共享目錄 內(nèi)寫的是目錄的共享名 測(cè)試samba服務(wù) 用戶可以利用testparm指令來(lái)檢查smb conf文件的語(yǔ)法 只能檢查關(guān)鍵字段的拼寫錯(cuò)誤 對(duì)于配置值錯(cuò)誤需要結(jié)合日志文件來(lái)判斷 用戶可以用servicesmbstatus判斷samba服務(wù)的開啟狀況用戶可以用nmblookup來(lái)檢查本機(jī)上的samba服務(wù)是否正確開啟 管理smb用戶 samba服務(wù)支持用戶級(jí)別的共享限制使用smbadduser添加可以使用smb服務(wù)的用戶 語(yǔ)法 smbadduserlinux帳號(hào) windows帳號(hào)使用smbpasswd改變用戶的密碼 用戶密碼存放在 etc samba smbpasswd文件中用戶映射存放在 etc samba smbuser文件中 smbclient 可以用來(lái)向服務(wù)器請(qǐng)求samba服務(wù)資源列表smbclient L主機(jī)名可以用來(lái)象一個(gè)ftp客戶端一樣訪問(wèn)samba共享資源smbclient Ustudent XXX server1 tmp smbmount smbmount可以將遠(yuǎn)端的一個(gè)window共享目錄 或Unix系統(tǒng)通過(guò)samba服務(wù)共享出來(lái)的目錄 掛載到自己的Linux文件系統(tǒng)上 語(yǔ)法 smbmount server1 tmp mnt tmp o username student password XXX用于替代mount tsmb 第四單元 電子郵件服務(wù) 任課講師 郵件發(fā)送模型 郵件用戶代理 MUA 將信息傳送給郵件傳輸代理 MTA 郵件傳輸代理決定信息送至目的地的路由 然后根據(jù)情況決定是否還需要將信息交給中介郵件傳輸代理域郵件傳輸代理將郵件送至郵件投遞代理 MDA 用戶收到郵件 SMTP協(xié)議 SMTP SimpleMailTransferProtocol 簡(jiǎn)單郵件傳送協(xié)議定義郵件傳送基于TCP服務(wù)的應(yīng)用層RFC0821明文傳送 SMTP協(xié)議的使用 SMTP協(xié)議使用25端口SMTP協(xié)議命令HELO 通報(bào)來(lái)訪者地址MAILFROM 發(fā)件人地址RCPTTO 收件人地址DATA 輸入正文內(nèi)容 用單獨(dú)的 為行結(jié)束QUIT 連線結(jié)束 安全與反垃圾郵件策略 安全策略拒絕從無(wú)法解析的域送來(lái)的郵件建立各種基于主機(jī) 用戶 域的訪問(wèn)控制默認(rèn)配置僅允許本地收發(fā)不再使用setuid的工具反垃圾郵件策略默認(rèn)情況下不做轉(zhuǎn)發(fā)建立訪問(wèn)數(shù)據(jù)庫(kù)檢查郵件信頭 sendmail sendmail是使用十分廣泛的郵件提交工具 MSP 在郵件模型中承擔(dān)著MTA及MDA的作用支持多種類型的郵件地址尋址支持虛擬域及虛擬用戶允許用戶及主機(jī)偽裝提供在投遞失敗后自動(dòng)重發(fā)等多種錯(cuò)誤應(yīng)對(duì)策略 sendmail服務(wù)一覽 后臺(tái)進(jìn)程 sendmail腳本 etc init d sendmail使用端口 25 smtp 所需RPM包 sendmail sendmail cf sendmail doc配置文件 etc sendmail cf etc aliases etc mail usr share sendmail cf 相關(guān)服務(wù) procmail sendmail的主要配置文件 etc sendmail cf是默認(rèn)的sendmail主要配置文件包含域別名段 信頭格式段 轉(zhuǎn)發(fā)規(guī)則等數(shù)據(jù)很少被直接修改 etc mail submit cf被用于每次sendmail被一個(gè)用戶工具所調(diào)用的時(shí)候通常不需要修改 用m4生成sendmail cf m4是UNIX下使用的傳統(tǒng)宏處理器sendmail cf可以由一個(gè)宏文件經(jīng)m4處理后得到RedHat默認(rèn)使用 etc mail sendmail mc為 etc sendmail cf的宏文件m4 etc mail sendmail mc etc sendmail cf我們推薦使用m4處理sendmail mc來(lái)得到sendmail cf 編輯sendmail mc 每一個(gè)sendmail mc宏應(yīng)該定義了操作系統(tǒng)類型 文件位置 請(qǐng)求特征及郵件發(fā)送工具 用戶列表在每一行的開頭添加dnl表示注釋默認(rèn)情況下 sendmail服務(wù)器只偵聽本地的連接注釋DAEMON OPTION PORT smtp Addr 127 0 0 1 Name MTA 其他有用的配置 FEATURE accept unresolvable domains 接受無(wú)法反向解析的域來(lái)的郵件FEATURE dnsbl 支持根據(jù)dns黑洞列表來(lái)拒絕垃圾郵件FEATURE relay based on MX 自動(dòng)接受DNS中MX記錄來(lái)源的郵件轉(zhuǎn)發(fā)FEATURE blacklist recipients 允許使用黑名單查禁收件人 etc mail access 用于定義接受或拒絕的郵件來(lái)源 格式 IP 域名設(shè)定值設(shè)定值 REJECT 拒絕OK 無(wú)條件接受RELAY 允許轉(zhuǎn)發(fā)DISCARD 丟棄 etc mail virtusertable 允許在郵件服務(wù)中使用虛擬域及虛擬用戶并自動(dòng)映射 joe joe wenhua orgroot wenhua orgeddy eddy wenhua org etc aliases 定義本地用戶的別名別名后的映射對(duì)象可以是 一個(gè)本地用戶多個(gè)本地用戶 用逗號(hào)分隔 本地文件 需要指出路徑 指令 需要管道 另一個(gè)email地址設(shè)定完 etc aliases后 需要運(yùn)行newaliases更新aliases db 郵件收取 MDA將收到的信件根據(jù)用戶存放在 var spool mail下 var spool mail目錄下每一個(gè)文件對(duì)應(yīng)與文件名同名的用戶用戶使用mail等工具閱讀完信后 未被刪除的郵件會(huì)自動(dòng)轉(zhuǎn)存到用戶主目錄下的mbox文件中 POP3協(xié)議 POP3 PostOfficeProtocol3 郵局協(xié)議第三版POP3協(xié)議適用于不能時(shí)時(shí)在線的郵件用戶 支持客戶在服務(wù)器上租用信箱 然后利用POP3協(xié)議向服務(wù)器請(qǐng)求下載基于TCP IP協(xié)議與客戶端 服務(wù)端模型POP3的認(rèn)證與郵件傳送都采用明文 使用pop3協(xié)議 POP3協(xié)議使用110端口POP3協(xié)議命令USER 通報(bào)用戶名PASS 輸入密碼LIST 列出所有郵件大小RETR 閱讀郵件DELE 刪除郵件QUIT 連線結(jié)束 配置pop3服務(wù)器 pop3服務(wù)一般是基于xinetd的服務(wù)可以通過(guò)兩種方式開啟和關(guān)閉服務(wù)編輯 etc xinetd d ipop3并重啟xinetd使用chkconfig來(lái)開啟或關(guān)閉服務(wù) IMAP IMAP InternetMessageAccessProtocol 英特網(wǎng)信息存取協(xié)議另一種從郵件服務(wù)器上獲取郵件的協(xié)議與POP3相比 支持在下載郵件前先行下載郵件頭以預(yù)覽郵件的主題來(lái)源基于TCP IP使用143端口 郵件接收工具 mozilla mailmozilla下的郵件接收工具采用netscapemail的風(fēng)格evolutionGNOME下的默認(rèn)郵件接收工具采用windows下的outlook風(fēng)格kmailkde下的郵件接收工具fetchmail字符界面下的郵件接收工具 配置fetchmail fetchmail支持多種郵件接收協(xié)議fetchmail的配置文件是用戶主目錄下的 fetchmailrc文件 fetchmailrc 中每一行代表一個(gè)郵件信箱范例 protocolpop3username kevinzou password nopass procmail procmail是一個(gè)非常強(qiáng)大的郵件轉(zhuǎn)發(fā)工具可以用來(lái) 對(duì)收到來(lái)信進(jìn)行排序 并送入不同目錄預(yù)處理郵件在收到一封郵件后激活一個(gè)事件或程序自動(dòng)轉(zhuǎn)發(fā)郵件給其他用戶默認(rèn)情況下sendmail會(huì)將procmail設(shè)定為本機(jī)轉(zhuǎn)發(fā)郵件工具有可能在短時(shí)間內(nèi)產(chǎn)生大量轉(zhuǎn)發(fā)郵件 因此配置時(shí)應(yīng)小心謹(jǐn)慎 簡(jiǎn)單配置procmail procmail的配置文件是用戶主目錄下的 procmailrc 如需將來(lái)自kevinz關(guān)于linux的郵件轉(zhuǎn)發(fā)給todd 并復(fù)制入linux目錄 0 From kevinz Subject linux 0c todd wenhua org 0linux 郵件讀寫工具 圖形界面下的郵件接受工具一般也可以用來(lái)讀寫郵件字符界面下的郵件讀寫工具mail非常簡(jiǎn)單地郵件讀寫工具pine支持添加附件支持將已讀文件存入指定目錄 第五單元 WEB服務(wù)器 任課講師 http服務(wù)原理 超文本傳送協(xié)議基于客戶端 服務(wù)端模型協(xié)議流程 連接 客戶端與服務(wù)端建立連接請(qǐng)求 客戶端向服務(wù)端發(fā)送請(qǐng)求應(yīng)答 服務(wù)端響應(yīng) 將結(jié)果傳給客戶端關(guān)閉 執(zhí)行結(jié)束后關(guān)閉 web服務(wù)器apache 應(yīng)用廣泛的web服務(wù)器支持進(jìn)程控制在需要前自動(dòng)復(fù)制進(jìn)程進(jìn)程數(shù)量自動(dòng)使用需求支持動(dòng)態(tài)加載模塊不需重編譯就可擴(kuò)展其用途支持虛擬主機(jī)允許使用一臺(tái)web服務(wù)器提供多個(gè)web站點(diǎn)的共享 apache服務(wù)一覽 后臺(tái)進(jìn)程 httpd腳本 etc rc d init d httpd使用端口 80 http 443 https 所需RPM包 apache apache devel apache manual相關(guān)RPM包 apacheconf配置路徑 etc httpd var www apache的配置文件 配置文件儲(chǔ)存為 etc httpd conf httpd conf設(shè)置標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)器參數(shù) 虛擬主機(jī) 模塊定義文件名與mime類型訪問(wèn)控制默認(rèn)的html存放位置 var www html 全局配置 ServerType 選擇系統(tǒng)激活服務(wù)器的方式 可以是inetd或standaloneServerRoot 設(shè)定Apache安裝的絕對(duì)路徑TimeOut 設(shè)定服務(wù)器接收至完成的最長(zhǎng)等待時(shí)間KeepAlive 設(shè)定服務(wù)器是否開啟連續(xù)請(qǐng)求功能MaxKeepAliveRequests 設(shè)定服務(wù)器所能接受的最大連續(xù)請(qǐng)求量 全局配置 二 KeepAliveTimeout 使用者 連續(xù) 請(qǐng)求的等待時(shí)間上限MinSpareServers 設(shè)定最小閑置子進(jìn)程數(shù)MaxSpareServers 設(shè)定最大閑置子進(jìn)程數(shù)StartServers 設(shè)定激活時(shí)所需建立的子進(jìn)程數(shù)MaxClients 設(shè)定同時(shí)能夠提供使用者的最大服務(wù)請(qǐng)求數(shù) 主機(jī)配置 Port 設(shè)定http服務(wù)的默認(rèn)端口 User Group 設(shè)定服務(wù)器程序的執(zhí)行者與屬組ServerAdmin 設(shè)定站點(diǎn)管理者的電子郵件ServerName 設(shè)定服務(wù)器的名稱DocumentRoot 設(shè)定服務(wù)器的共享路徑DirectoryIndex 設(shè)定默認(rèn)調(diào)用文件順序ErrorLog 設(shè)定錯(cuò)誤記錄文件名稱 虛擬主機(jī) 在同一臺(tái)服務(wù)器上配置多個(gè)共享服務(wù)在虛擬主機(jī)中未指定的配置即采用主機(jī)配置ServerNDocumentRoot var www virtual 訪問(wèn)控制 Apache提供目錄級(jí)別與文件級(jí)別的基于主機(jī)的多種訪問(wèn)控制Apache提供目錄級(jí)別基于用戶密碼的訪問(wèn)控制 htaccess Apache支持在需要限制訪問(wèn)的目錄下 建立 htaccess文件來(lái)實(shí)行訪問(wèn)限制 用戶可以根據(jù)httpd conf中記錄的AllowOverride內(nèi)容 在 htaccess文件添加訪問(wèn)控制語(yǔ)句以取代在httpd conf中的記錄 改變 htaccess文件設(shè)置不需要重啟httpd CGI CGI程序只能放在有設(shè)定ScriptAlias的目錄下才可以使用 ScriptAlias cgi bin cgi bin Apache可以通過(guò)加載模塊來(lái)倍化CGI程序的速度 Apache加密網(wǎng)站 Apache用443端口提供https服務(wù)需要加載mod ssl模塊相關(guān)配置文件在 etc httpd conf d ssl conf加密配置認(rèn)證 conf ssl crt server crt私鑰 conf ssl key server key認(rèn)證 鑰匙生成 usr share ssl certs Makefile個(gè)人簽名認(rèn)證 maketestcert認(rèn)證簽名需要 makecertreq SquidWebProxyCache Squid支持為FTP HTTP等其他數(shù)據(jù)流做代理Squid會(huì)將SSL請(qǐng)求直接轉(zhuǎn)給目標(biāo)服務(wù)器或另一個(gè)代理Squid提供諸如訪問(wèn)控制列表 緩存管理及HTTP服務(wù)器加速 第六單元 NFS FTP和DHCP 任課講師 NFS NFS NetworkFileSystem 網(wǎng)絡(luò)文件系統(tǒng)Linux與Linux之間的文件共享提供遠(yuǎn)端讀存文件的服務(wù) NFS原理概述 建立在RPC協(xié)議上的服務(wù) 使用時(shí)需要打開portmap基于客戶端 服務(wù)器端模型服務(wù)端為多個(gè)客戶端提供服務(wù)客戶端也可以從多個(gè)服務(wù)端處獲得文件目錄 NFS服務(wù)一覽 后臺(tái)進(jìn)程 nfsd lockd rpciod rpc mounted rpc rquotad rpc statd腳本 etc init d nfs etc init d nfslock使用端口 由portmap 111 分配所需RPM包 nfs utils相關(guān)RPM包 portmap 必需 配置文件 etc exports NFS客戶端策略 檢查服務(wù)端的nfs共享資源showmount eserver將服務(wù)端開放的nfs共享目錄掛載到本機(jī)上的一個(gè)目錄mount tnfsserver share mnt nfs NFS服務(wù)端配置 編輯 etc exports文件以配置開放路徑路徑對(duì)象 方式 確保portmap服務(wù)已開啟打開或重啟nfs服務(wù)servicenfsstart restart FTP vsftpd是RedHatLinux默認(rèn)使用的ftp服務(wù)端軟件vsftpd不再依賴于xinetd服務(wù)允許匿名或本地用戶訪問(wèn)匿名訪問(wèn)不須額外的RPM包 etc vsftpd vsftpd conf是默認(rèn)的配置文件 ftp服務(wù)一覽 后臺(tái)進(jìn)程 vsftpd類型 SystemV服務(wù)使用端口 20 ftp data 21 ftp 所需RPM包 vsftpd配置文件 etc vsftpd vsftpd conf etc vsftpd ftpusers etc pam d vsftpd日志 var log vsftpd log FTP用戶控制 etc vsftpd ftpusers etc vsftpd user list FTP測(cè)試工具 ftpwho 查看當(dāng)前使用ftp的用戶ftpcount 查看當(dāng)前連線數(shù)目 DHCP DHCP 動(dòng)態(tài)主機(jī)配置協(xié)議使用服務(wù)端的dhcpd來(lái)提供服務(wù)dhcpd可以同時(shí)為DHCP及BOOTP客戶端提供服務(wù) dhcp服務(wù)一覽 后臺(tái)進(jìn)程 dhcpd腳本 etc rc d init d dhcpd使用端口 67 bootps 68 bootpc 所需RPM包 dhcpd相關(guān)RPM包 配置文件 etc ftpaccess etc ftphosts etc ftpusers日志 var log xferlog 配置dhcp服務(wù) etc dhcpd conf范例 subnet192 168 0 0netmask255 255 255 0 range192 168 0 2192 168 0 253 default lease time21600 max lease time43200 optiondomain name optionrouters192 168 0 254 optiondomain name servers192 168 0 254 常用dhcp配置參數(shù) subnetX X X XnetmaskX X X X指定dhcp服務(wù)工作網(wǎng)段range指定分配地址段default lease time默認(rèn)租期 請(qǐng)求續(xù)租時(shí)間 max lease time最大租期 常用dhcp配置參數(shù) 二 optionrouters分配路由器optiondomain name分配域名optiondomain name servers分配DNSserver IP綁定 host為綁定主機(jī)起名 并不是分配給對(duì)方的名字 hardwareethernet指定硬件地址fixed address指定IP地址或主機(jī)名支持為綁定主機(jī)單獨(dú)分配其他網(wǎng)絡(luò)數(shù)據(jù) 第七單元 安全及策略 任課講師 安全術(shù)語(yǔ) 什么是安全 加密數(shù)據(jù)完整可用系統(tǒng)安全由系統(tǒng)中最小的安全組件決定 木桶原理 基礎(chǔ)網(wǎng)絡(luò)安全 大多數(shù)的計(jì)算機(jī)都連接到網(wǎng)絡(luò)上 局域網(wǎng) 廣域網(wǎng)或者Internet由于連接在網(wǎng)絡(luò)上 增加了對(duì)操作系統(tǒng)和后臺(tái)服務(wù)的危脅 常用術(shù)語(yǔ)的定義 黑客破解者 駭客 拒絕服務(wù)緩沖溢出病毒特洛伊木馬蠕蟲 安全策略 物理上的安全性用戶限制服務(wù)限制網(wǎng)絡(luò)限制加密 安全策略 續(xù) 安全策略是為了加強(qiáng)對(duì)系統(tǒng)安全特性和管理而定義的規(guī)則審核讓我們檢查使用的安全工具實(shí)際中使用的安全策略 審核 分析目前的情況了解安全需求確定如何實(shí)現(xiàn)它們實(shí)施安全機(jī)制測(cè)試安裝 入侵檢測(cè) 工具嗅探器 sniffers 滲透檢測(cè)器記錄日志日志工具 發(fā)現(xiàn)入侵后的措施 反應(yīng) 保護(hù) 鏡像 恢復(fù) 搜索 報(bào)告第一步 反應(yīng)第二步 保護(hù) 發(fā)現(xiàn)入侵后的措施續(xù)1 反應(yīng) 保護(hù) 鏡像 恢復(fù) 搜索 報(bào)告第三步 鏡像第四步 恢復(fù) 發(fā)現(xiàn)入侵后的措施續(xù)2 反應(yīng) 保護(hù) 鏡像 恢復(fù) 搜索 報(bào)告第五步 搜索第六步 報(bào)告 備份策略 一個(gè)好的備份策略可以使你從災(zāi)難中恢復(fù)出來(lái)通常備份策略由以下組成 一次定期的完全備份每日增量備份備份媒體遠(yuǎn)距離存儲(chǔ) 第八單元 NIS 任課講師 什么是NIS服務(wù) NIS NetworkInformationService基于客戶端 服務(wù)端模型公用資料集中存放在服務(wù)端管理提供復(fù)數(shù)的客戶端訪問(wèn)使用基于RPC協(xié)議 NIS服務(wù)一覽 服務(wù)類型 SystemV后臺(tái)進(jìn)程 ypserv ypbind yppasswdd使用端口 由portmap 111 分配所需RPM包 ypserv ypbind yp tools相關(guān)RPM包 portmap服務(wù)端配置文件 etc ypserv conf var yp NIS服務(wù)端與客戶端 NIS客戶端的后臺(tái)進(jìn)程是ypbind 服務(wù)端的后臺(tái)進(jìn)程是ypserv服務(wù)端支持NIS協(xié)議第一版與第二版客戶端還多支持NIS v3 NIS的局限性安全性差可擴(kuò)展性不足unix only NIS客戶端基礎(chǔ) NIS客戶端工具ypbind可以通過(guò)兩種方式獲知其域內(nèi)的服務(wù)器是誰(shuí)在NIS域內(nèi)廣播通過(guò) etc yp conf讀取本域內(nèi)NIS服務(wù)器的位置使用工具配置客戶端使用authconfig將本機(jī)添加入一個(gè)NIS域指定一個(gè)NIS服務(wù)器 etc nsswitch conf nsswitch conf記錄了系統(tǒng)查詢用戶密碼 組 主機(jī)名等資源的遵循順序確定nsswitch conf文件中需要向服務(wù)器查詢數(shù)據(jù)的資源順序中包含NIS項(xiàng)查詢資源可以是 files 本地文件dns 域名服務(wù)器nis nisplus NIS服務(wù)器ldap ldap服務(wù)器db 數(shù)據(jù)庫(kù) NIS服務(wù)器布局 扁平結(jié)構(gòu)一個(gè)主服務(wù)器負(fù)責(zé)一個(gè)域一個(gè)主服務(wù)器可以帶領(lǐng)多個(gè)從服務(wù)器提供容錯(cuò)負(fù)載均衡 配置NIS服務(wù)端 在 etc sysconfig network中設(shè)定一個(gè)NISdomain NISDOMAIN mydomain修改 var yp Makefile決定需共享的數(shù)據(jù)在 var yp securenets中指定許可共享的網(wǎng)段執(zhí)行 usr lib yp ypinit m執(zhí)行serviceypbindstart執(zhí)行serviceypservstart 配置NIS從服務(wù)器 將所有從服務(wù)器名放在 var yp ypservers文件中在每一個(gè)從服務(wù)器上安裝ypserv使用以下指令 usr lib yp ypinit s主服務(wù)器名 NIS工具 ypcat 列出來(lái)自NISserver的map信息ypinit 建立并安裝NISdatabaseypwhich 列出NISserver的名稱ypset 強(qiáng)制指定某臺(tái)機(jī)器當(dāng)NISservermakedbm 創(chuàng)造NISmap的dbm檔 第九單元 系統(tǒng)安全 任課講師 監(jiān)視文件系統(tǒng) 監(jiān)視文件系統(tǒng)可以防止 硬盤空間被占滿可能造成安全問(wèn)題的錯(cuò)誤權(quán)限監(jiān)視文件系統(tǒng)包括 數(shù)據(jù)正確性檢驗(yàn)搜尋不需要或可能造成系統(tǒng)破壞的文件 常規(guī)搜尋 搜尋所有設(shè)置了強(qiáng)制位的文件find typef perm 6000搜尋可以被任何用戶寫入的文件find typef perm2搜尋不屬于任何用戶與組的文件find nouser o nogroup Tripwire 系統(tǒng)文件應(yīng)該時(shí)時(shí)處于周密的監(jiān)視下配置文件被更改可能造成服務(wù)的啟動(dòng)與運(yùn)行故障可執(zhí)行文件被更改可能造成更大的問(wèn)題tripwire可以根據(jù)配置監(jiān)測(cè)文件 目錄的大小 更改時(shí)間 inode狀態(tài) 所屬用戶 組及一系列屬性 配置與使用tripwire 安裝tripwireRPM包編輯twcfg txt與twpol txt 根據(jù)安裝情況來(lái)定義配置與監(jiān)視策略運(yùn)行 etc tripwire twinstall sh用tripwire init在 var lib tripwire 下建立原始數(shù)據(jù)庫(kù) HOSTNAME twd用tripwire check來(lái)根據(jù)數(shù)據(jù)庫(kù)檢查系統(tǒng)用 twprint mr twrfile文件名 來(lái)閱讀監(jiān)視報(bào)告 為BootLoader加密 LILO密碼明文存放在 etc lilo conf中可以應(yīng)用于全局及局部用于防止用戶進(jìn)入操作系統(tǒng)GRUB密碼經(jīng)過(guò)md5加密可以應(yīng)用于全局及局部用于防止用戶更改啟動(dòng)參數(shù) 插裝型認(rèn)證模塊 PAM lib security動(dòng)態(tài)可加載庫(kù)集中安全管理配置在模塊被調(diào)用時(shí)即生效 etc pam d為PAM 客戶 配置文件選擇需要的庫(kù)滿足所有條件通過(guò)認(rèn)證或失敗 PAM配置 etc pam d system auth控制標(biāo)志決定PAM如何使用模塊調(diào)用后的返回值required sufficient 或optional etc security 下包含了部分配置文件 核心PAM模塊 pam env 環(huán)境變量初始化pam unix標(biāo)準(zhǔn)unix認(rèn)證允許更改密碼pam cracklib 強(qiáng)制使用好密碼 常用的pam模塊 pam nologin如果 etc nologin存在 則除了root用戶 任何用戶不能登錄pam securetty在 etc securetty文件中存放的 是root用戶可以登錄的終端不限制用戶登錄完成后用su切換成root 常用的pam模塊 二 pam access用一個(gè)簡(jiǎn)單的配置文件完成基于用戶 組 及來(lái)源的訪問(wèn)限制使用 etc security access conf為其配置文件pam listfile允許用戶針對(duì)某一服務(wù)單獨(dú)建立文件來(lái)建立基于用戶 組 本地終端 遠(yuǎn)端主機(jī)的限制 常用的pam模塊 三 pam limits允許在許可用戶使用服務(wù)后 對(duì)用戶的使用資源 進(jìn)行各種設(shè)置pam time使用一個(gè)簡(jiǎn)單的配置文件 來(lái)建立基于時(shí)間的服務(wù)訪問(wèn)限制使用 etc security time conf為配置文件 sudo 讓一般用戶有可能使用root才可以使用的系統(tǒng)管理指令需要配置 etc sudoers文件 來(lái)定義哪些用戶可以使用哪些指令 以及使用時(shí)是否需要密碼用visudo編輯 etc sudoers文件用 sudo系統(tǒng)指令 執(zhí)行系統(tǒng)指令 第十單元 防火墻和IP偽裝 任課講師 iptables iptables是RedHatLinux里默認(rèn)使用的防火墻iptables提供多個(gè)設(shè)定參數(shù)可以用來(lái)定義過(guò)濾規(guī)則 包括IP MAC地址 協(xié)議 端口 子網(wǎng)掩碼iptables支持在路由算法發(fā)生前后進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換 iptables結(jié)構(gòu) iptables將防火墻的功能分成多個(gè)tablesfilter 數(shù)據(jù)包過(guò)濾NAT NetworkAddressTranslation 網(wǎng)絡(luò)地址轉(zhuǎn)換tables又包含多個(gè)chains5條默認(rèn)基礎(chǔ)操作chains允許用戶自行定義chains iptables語(yǔ)法 iptables ttable pattern jtarget action包括 Achain 在chain中增添一條規(guī)則 Dchain 在chain中刪除一條規(guī)則 Lchain 列出chain中的規(guī)則 Fchain 清空chain中的規(guī)則 Pchain 為chain指定新的默認(rèn)策略 可以是 ACCEPT 未經(jīng)禁止全部許可DROP 未經(jīng)許口全部禁止 iptables語(yǔ)法 二 pattern包括 s 來(lái)源地址 d 目標(biāo)地址 p 指定協(xié)議 可以是tcp udp icmp dport 目標(biāo)端口 需指定 p sport 來(lái)源端口 需指定 ptarget包括 DROP 禁止ACCEPT 許可 filtertable 用于過(guò)濾數(shù)據(jù)包的接送chainINPUT 設(shè)定遠(yuǎn)端訪問(wèn)主機(jī)時(shí)的規(guī)則來(lái)源是遠(yuǎn)端訪問(wèn)者 目標(biāo)是本地主機(jī)chainOUTPUT 設(shè)定主機(jī)訪問(wèn)遠(yuǎn)端主機(jī)的規(guī)則來(lái)源是本地主機(jī) 目標(biāo)是遠(yuǎn)端被訪問(wèn)主機(jī)chainFORWARD 設(shè)定主機(jī)為其他主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)的規(guī)則來(lái)源是請(qǐng)求轉(zhuǎn)發(fā)的主機(jī) 目標(biāo)是遠(yuǎn)端被訪問(wèn)的主機(jī) NATtable 用于處理網(wǎng)絡(luò)地址轉(zhuǎn)換chainPREROUTING 路由算法發(fā)生之前轉(zhuǎn)換數(shù)據(jù)包內(nèi)的來(lái)源地址chainPOSTROUTING 路由算法發(fā)生之后轉(zhuǎn)換數(shù)據(jù)報(bào)內(nèi)的目標(biāo)地址 用NATtable完成IP偽裝 對(duì)于負(fù)責(zé)內(nèi)部子網(wǎng)的路由器 需要為保留地址進(jìn)行IP偽裝使用IP偽裝功能需要打開本機(jī)上的IP轉(zhuǎn)發(fā)功能范例 iptables tnat APOSTROUTING s192 168 0 0 24 oeth1 jMASQUERADE 第十一單元 網(wǎng)絡(luò)安全 任課講師 基礎(chǔ)網(wǎng)絡(luò)安全 越來(lái)越多的計(jì)算機(jī)被連接到網(wǎng)絡(luò)上與網(wǎng)絡(luò)連通對(duì)操作系統(tǒng)和后臺(tái)進(jìn)程意味著冒險(xiǎn) 被寄生與攻擊的可能 基于主機(jī)的安全 限制不受歡迎的來(lái)源封鎖不作利用的端口不安裝與啟動(dòng)不使用的服務(wù)一般 每一種服務(wù)本身一般都會(huì)提供方式做相關(guān)限制配制防火墻保護(hù)主機(jī) tcp wrapper 基于主機(jī)與服務(wù)使用簡(jiǎn)單的配置文件來(lái)設(shè)置訪問(wèn)限制 etc hosts allow etc hosts deny基于xinetd的服務(wù)也能在其配置中調(diào)用libwrap配置一旦被改變 立刻生效 tcp wrapper的配置 訪問(wèn)控制判斷順序 訪問(wèn)是否被明確許可否則 訪問(wèn)是否被明確禁止如果都沒有 默認(rèn)許可配置文件許可用 etc hosts allow禁止用 etc hosts deny