Linux操作系統(tǒng)安全

貴州大學(xué)實(shí)驗(yàn)報(bào)告 小三號(hào) 加黑 學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù) 專業(yè) 信息安全 班級(jí) 121 姓名饒永明學(xué)號(hào) 1208060066 實(shí)驗(yàn)組 實(shí)驗(yàn)時(shí)間 5 27 指導(dǎo)教師蔣朝惠成績(jī) 實(shí)驗(yàn)項(xiàng)目 名稱 Linux 操作系統(tǒng)安全 實(shí) 驗(yàn) 目 的 通過實(shí)驗(yàn)掌握 linux 操作系統(tǒng)環(huán)境下的用戶管理 進(jìn)程管理以及文件管理的相關(guān)操 作命令 掌握 linux 中相關(guān)安全配置方法 建立起 linux 的基本安全框架 實(shí) 驗(yàn) 要 求 掌握 Linux 的操作系統(tǒng)安全的基本配置 實(shí) 驗(yàn) 原 理 用戶管理 Linux 支持以命令行或窗口方式管理用戶和用戶組 它提供了安全的用 戶和口令文件保護(hù)以及強(qiáng)大的口令設(shè)置規(guī)則 并對(duì)用戶和用戶組的權(quán)限進(jìn)行細(xì)粒度的劃 分 文件管理 在 Linux 中 文件和目錄的權(quán)限根據(jù)其所屬的用戶和用戶組來劃分 文 件所屬的用戶 即文件的創(chuàng)建者 文件所屬用戶組的用戶 即文件創(chuàng)建者所在的用戶組 中的其他用戶 其他用戶 即文件所屬用戶組之外的其他用戶 插入式身份認(rèn)證模塊 PAM PAM 是插入式身份認(rèn)證模塊 它提供身份認(rèn)證功能防止 未授權(quán)用戶的訪問 其身份認(rèn)證功能高度模塊化 可通過配置文件進(jìn)行靈活配置 在高 版本的 Linux 中自動(dòng)啟用了 PAM 用戶也可以自行配置 PAM 文件 但是 任何很小的錯(cuò) 誤改動(dòng)都可能導(dǎo)致所有用戶被阻塞 所以在進(jìn)行相關(guān)文件改動(dòng)之前 應(yīng)當(dāng)先備份系統(tǒng)內(nèi) 核 記錄系統(tǒng) syslogd Linux 使用了一系列的日志文件 為管理員提供了很多關(guān)于系統(tǒng) 安全狀態(tài)的信息 Syslogd 是一種系統(tǒng)日志守護(hù)進(jìn)程 它接受系統(tǒng)和應(yīng)用程序 守護(hù)進(jìn) 2 程以及內(nèi)核提供的消息 并根據(jù)在 etc syslog conf 文件的配置 對(duì)這些消息在不同日 志文件中進(jìn)行記錄和處理 絕大部分內(nèi)部系統(tǒng)工具都會(huì)通過呼叫 syslog 接口來提供這 些記錄到日志中的消息 系統(tǒng)管理員可以通過設(shè)置 etc syslog conf 文件來設(shè)置希望記 錄的消息類型或希望監(jiān)視的設(shè)備 實(shí) 驗(yàn) 儀 器 安裝 red Hat Linux 9 0 操作系統(tǒng)的計(jì)算機(jī) 實(shí) 驗(yàn) 內(nèi) 容 和 步 驟 一 賬戶和安全口令 1 查看和添加賬戶 添加賬號(hào) 查看賬戶列表 并進(jìn)入用戶查看權(quán)限 2 添加和更改口令 切換用戶并添加口令 3 設(shè)置賬戶管理 4 賬戶禁用與恢復(fù) 3 鎖定賬戶 驗(yàn)證 表明鎖定成功 檢查用戶的當(dāng)前狀態(tài) 解鎖用戶 5 建立用戶組 用如下命令創(chuàng)建新的用戶組 用如下命令修改用戶的名稱 用如下命令將用戶添加進(jìn)用戶組 用下面的命令將用戶設(shè)置為該用戶組的管理員 6 設(shè)置口令規(guī)則 用 vi 命令編輯 etc login defs 文件 4 7 為賬戶和組相關(guān)系統(tǒng)加上不可更改屬性 防止非授權(quán)用戶獲得權(quán)限 輸入一下命令為口令文件加上不可更改屬性 驗(yàn)證是否成功 驗(yàn)證結(jié)果 可用同樣的方法鎖定 etc shadow etc group etc gshadow 去除不可修改屬性可用如下命令 驗(yàn)證是否成功 二 文件系統(tǒng)管理及安全 1 新建文件夾和文件 再用此命令在 folder 文件下建一個(gè)子文件夾 進(jìn)入 folder 文件夾下建立一個(gè)名為 newfile 的文件 2 編輯文件 用 vi 命令編輯 newfile 文件 在插入模式下插入 按 ESE 鍵返回命令行格式 輸入 wq 退出并保存 5 3 查看文件內(nèi)容和相關(guān)信息 使用 cat 命令查看文件相關(guān)內(nèi)容 用 ll 命令查看相關(guān)的文件信息 輸入如下 4 設(shè)置文件的所屬用戶 用戶組合權(quán)限 用 chmod 命令將 newfile 文件的訪問權(quán)限設(shè)置為所屬用戶有讀寫和執(zhí)行權(quán)限 用戶組有 讀寫權(quán)限 其他用戶沒有任何權(quán)限 再次查看用戶權(quán)限 分別用 root 用戶和 myusername 用戶嘗試讀寫操作并記錄試驗(yàn)結(jié)果 用 root 用戶 用 myusername 用戶 三 查看和更改 PAM 模塊設(shè)置 1 查看用于控制口令選擇和口令時(shí)效的 PAM 模塊設(shè)置 查看 etc pam d 文件夾中的文件列表 打開文件 etc pam d passwd 查看與用戶口令有關(guān)的 PAM 設(shè)置 6 查看文件 etc pam d system auth 2 限制 su 命令的使用用戶 查看所需要的用戶組 不存在責(zé)創(chuàng)建 新建用戶 并將其加入到 wheel 用戶組中 再次查看信息 終端顯示 7 輸入下面的命令行 用 vi 編輯 su 文件 5 輸入下面命令 更改文件權(quán)限 限制只有 wheel 用戶可以使用 su 命令 6 用 su 命令相互切換用戶成員 發(fā)現(xiàn)權(quán)限不夠 四 檢查 syslog 日志設(shè)置以及日志文件 1 打開 etc syslog conf 文件 查看相關(guān)設(shè)置 rao1 localhost root cat etc syslog conf Log all kernel messages to the console Logging much else clutters up the screen kern dev console Log anything except mail of level info or higher Don t log private authentication messages info mail none news none authpriv none cron none var log messages The authpriv file has restricted access authpriv var log secure Log all the mail messages in one place mail var log maillog 8 Log cron stuff cron var log cron Everybody gets emergency messages emerg Save news errors of level crit and higher in a special file uucp news crit var log spooler Save boot messages also to boot log local7 var log boot log news crit var log news news crit news err var log news news err news notice var log news news notice 2 打開 var log message 文件 查看系統(tǒng)相關(guān)的記錄信息 找出用戶身份認(rèn)證的記 錄 3 新建用戶 user 并以用戶名重復(fù)兩次是失敗的系統(tǒng)登錄 4 再次查看 var log message 文件 查看關(guān)于登錄失敗的記錄信息 可以看到兩次 登錄失敗的記錄 思考題 1 在 Linux 中 如何設(shè)置一個(gè)文件夾的訪問權(quán)限 答 可以用 chmod 命令 chmod xxx dirxxx 為 3 位數(shù)字 分別表示文件所有者 文 件所有者所在的組 其他用戶的權(quán)限 4 代表讀權(quán)限 2 代表寫權(quán)限 1 代表執(zhí)行權(quán)限 需要那些權(quán)限相加即可 0 為不任何權(quán)限 dir 為要更改權(quán)的文件如果是文件夾帶上遞歸 參數(shù) R 可改變文件內(nèi)全部文件的權(quán)限 2 如何限制其他用戶使用 su 命令 答 用 chowd 和 chmod 兩個(gè)命令 現(xiàn)更改文件權(quán)限 再限制將 su 命令限制到某個(gè)用 戶組 這樣就只能這個(gè)用戶可以用 su 命令了 3 如何啟用和禁止用戶賬戶 9 答 用 passwd l 用戶名 將用戶鎖住 用 passwd l 用戶名 將用戶 解鎖 2 2 22 2 2 LinuxLinux 中的中的 WebWeb FtpFtp 服務(wù)器的安全配置服務(wù)器的安全配置 一 Apache 服務(wù)器的安全配置 1 apache 的安裝 通過下面命令檢查 apache 是否安裝 說明已經(jīng)安裝 如果未安裝 則通過 mount 掛載光盤 進(jìn)入光盤通過 rmp 命令安裝 最后用 unmount 卸 載光盤 2 apache 的啟動(dòng) 用下面命令查看 apache 是否啟動(dòng) 發(fā)現(xiàn)服務(wù)停止 則用下面命令啟動(dòng)服務(wù) 并再次驗(yàn)證 用下面命令查看 httpd 所有進(jìn)程 3 apache 的配置 10 啟動(dòng) apache 用 vi 命令對(duì) apache 進(jìn)行配置 4 修改主配置文件 1 修改主配置文件 2 重啟 apache 3 在客戶機(jī)上訪問 http 192 168 0 20 server info 11 5 認(rèn)證與授權(quán) 1 修改主配置文件 2 創(chuàng)建口令文件 security 并添加用戶 rym 密碼 rym 域 security 3 改口令文件的所有者和用戶組均為 apache 4 重啟 httpd 5 在客戶機(jī)登錄 驗(yàn)證 12 登錄成功 13 6 日志的管理和統(tǒng)計(jì)分析 通過 cat 命令查看錯(cuò)誤日志和訪問日志 二 二 vsftpdvsftpd 服務(wù)器的安全配置服務(wù)器的安全配置 1 通過以下命令確認(rèn) vsftpd 是否安裝 啟動(dòng) vsftpd 14 2 獨(dú)立 FTP 服務(wù)器的安全配置 用 vi 編輯 FTP 的配置文件 etc vsftpd vsftpd conf 1 禁止匿名用戶名登陸 2 對(duì)本地用戶的登陸和訪問進(jìn)行控制 對(duì)本地用戶的訪問進(jìn)行控制 3 控制用戶登陸后難呢過切換到自身根目錄以外的目錄 4 設(shè)置日志選項(xiàng) 15 5 設(shè)置安全選項(xiàng) 6 設(shè)置性能選項(xiàng) 7 獨(dú)立模式下和其他認(rèn)證方式方法的結(jié)合 客戶端訪問 ftp 16 3 xinetd 方式下 FTP 服務(wù)器的安全配置 1 修改 vsftpd conf 配置文件 2 編輯 xinetd 配置文件 復(fù)制 vsftpd 編輯 vsftpd 文件 3 修改 vsftpd 的啟動(dòng)流程 刪除獨(dú)立 vsftpd 的啟動(dòng)項(xiàng) 重新啟動(dòng) xinetd 守護(hù)進(jìn)程 由 xinetd 啟動(dòng) vsftpd 17 實(shí) 驗(yàn) 總 結(jié) 思考題 思考題 1 在 apache 配置中 如何設(shè)置值允許一部分 IP 地址訪問 答 在中做如下配置 SetHandle server info Order deny allow Allow from ip 地址 子網(wǎng)掩碼 Deny from all 配置完后重啟 httpd 服務(wù) 2 在 apache 配置中 如何設(shè)置網(wǎng)站文件夾的可讀寫權(quán)限 答 1 修改主配置文件 2 創(chuàng)建口令文件 security 并添加用戶 rym 密碼 rym 域 security 3 改口令文件的所有者和用戶組均為 apache 4 如果要設(shè)置可讀寫權(quán)限的操作 可在 apache 用戶組中添加新用戶 并在 security 中對(duì)此用戶進(jìn)行權(quán)限設(shè)置 5 重啟 httpd 3 在 apache 配置中 如何保證日志文件的安全性 答 1 對(duì)日志文件進(jìn)行權(quán)限設(shè)置 只允許規(guī)定用戶訪問 2 對(duì)日志文件進(jìn)行定期備份 可防止篡改和丟失 總結(jié) 總結(jié) 通過本次實(shí)驗(yàn)