RHCE認(rèn)證253安全管理--中文版課件

1、第一單元服務(wù)任課講師：_服務(wù)網(wǎng)絡(luò)服務(wù)，根據(jù)其使用的方法來分，可以被分為三類由init控制的服務(wù)由System V 啟動(dòng)腳本啟動(dòng)的服務(wù)由xinetd 管理的服務(wù)由init控制的服務(wù)配置在/etc/inittab中可以設(shè)置respawn參數(shù)在服務(wù)每次被關(guān)閉時(shí)自動(dòng)重啟inittab文件被改變后，可以用init q來使改動(dòng)生效由System V啟動(dòng)的服務(wù)由/etc/rc.d/init.d/目錄下的System V腳本啟動(dòng)/etc/rc.d/init.d/script start | stop | restart也可以用service命令來執(zhí)行腳本。在不同運(yùn)行級(jí)別下的默認(rèn)開關(guān)可以不同用chkconfig

2、來管理在有些地方也被稱為standalone的服務(wù)由xinetd管理的服務(wù)由xinetd管理xinetd daemon服務(wù)管理文件放在/etc/xinetd.d/目錄下編輯服務(wù)文件來開關(guān)服務(wù)重啟xinetdchkconfigSystem V：決定在切換入某個(gè)運(yùn)行級(jí)別下時(shí)，服務(wù)打開還是關(guān)閉xinetd：在xinetd服務(wù)正在運(yùn)行的情況下，直接開啟或關(guān)閉基于xinetd的服務(wù)第二單元DNS任課講師：_DNSDNS：Domain Name Service/域名服務(wù)支持將計(jì)算機(jī)的域名解析成IP地址（正向搜索）支持將IP地址解析成計(jì)算機(jī)的域名（反向搜索）允許計(jì)算機(jī)根據(jù)邏輯組合成一個(gè)一個(gè)名字域區(qū)、域及授權(quán)

3、一個(gè)域（domain）包含一個(gè)完整的分級(jí)域名下層樹一個(gè)區(qū)（zone）則是域的一部分，被一個(gè)具體詳細(xì)的服務(wù)器所管理子域可以被授權(quán)成為附加的域一個(gè)區(qū)可以直接管理子域英特網(wǎng)上的分級(jí)DNS根域名服務(wù)器作為區(qū)認(rèn)證域名服務(wù)器的最高級(jí)別域名服務(wù)器存在為遞歸查詢提供權(quán)威解釋區(qū)認(rèn)證域名服務(wù)器區(qū)的劃分與認(rèn)證主域名服務(wù)器與從域名服務(wù)器主域和從域主域服務(wù)器擁有一個(gè)域的主復(fù)制數(shù)據(jù)從域服務(wù)器為主服務(wù)器提供自動(dòng)數(shù)據(jù)備份每一個(gè)從服務(wù)器都會(huì)自動(dòng)從主服務(wù)器處同步更新數(shù)據(jù)客戶端DNS客戶端產(chǎn)生對(duì)IP與主機(jī)名解析的需求，通常DNS客戶端上有許多程序運(yùn)行時(shí)需要解析客戶端檢索本地?cái)?shù)據(jù)文件的相關(guān)記錄客戶端將無法自行解釋的需求，通過53端口

4、送給指定的DNS服務(wù)器收回的數(shù)據(jù)也許并不權(quán)威服務(wù)端DNS服務(wù)端接受請(qǐng)求如果自己無法給出回答，則可能將請(qǐng)求轉(zhuǎn)發(fā)給上級(jí)服務(wù)器，或直接詢問根域名服務(wù)器其上級(jí)服務(wù)器有可能給出回答，或進(jìn)一步轉(zhuǎn)交給其他域名服務(wù)器一個(gè)服務(wù)器上可以記錄多個(gè)域的數(shù)據(jù)BINDBIND：Berkeley Internet Name DaemonBIND是在Internet上應(yīng)用最為廣泛的DNS服務(wù)器提供穩(wěn)定與可信賴的下層結(jié)構(gòu)以提供域名與IP地址的轉(zhuǎn)換BIND服務(wù)一覽后臺(tái)進(jìn)程：named腳本：/etc/rc.d/init.d/named使用端口：53（tcp，udp）所需RPM包：bind，bind-utils相關(guān)RPM包：bind

5、conf，caching-nameserver配置文件：/etc/named.conf相關(guān)路徑：/var/named/*/etc/sysconfig/namednamed進(jìn)程被System V腳本激活后，會(huì)根據(jù)此文件的參數(shù)決定其運(yùn)行參數(shù)：例如：OPTION=“-d 5”(將debug等級(jí)設(shè)為5)/etc/named.confnamed.conf是BIND使用的默認(rèn)配置文件在每一次named啟動(dòng)與掛起時(shí)都會(huì)被讀取一個(gè)簡(jiǎn)單的文本文件，其中記錄的可以包括options（全局參數(shù)）、zone（區(qū)域定義）、access control lists（訪問控制列表）等option在/etc/named.co

6、nf的options段中被宣告常用的參數(shù)包括directory：指定zone file的存放位置forwarders：指定其上級(jí)域名服務(wù)器allow-query：指定允許向其提交請(qǐng)求的客戶allow-transfer：指定允許復(fù)制zone數(shù)據(jù)的主機(jī)主域由一個(gè)zone段在/etc/named.conf中宣告type master；file：存放該zone數(shù)據(jù)的文件名必須存在于options段中提及的目錄之下文件名可以隨意allow-update：允許動(dòng)態(tài)更新該zone數(shù)據(jù)的客戶機(jī)從域由一個(gè)zone段在/etc/named.conf中宣告type slave；master：指定其主域名服務(wù)器對(duì)應(yīng)的

7、主域名服務(wù)器必須承認(rèn)并存放有該區(qū)域的數(shù)據(jù)file：本地用于存放zone數(shù)據(jù)的文件從域名服務(wù)器總是試圖與其master聯(lián)系并獲取一份當(dāng)前數(shù)據(jù)的副本反解析域域的名字必須用.in-來結(jié)尾由一個(gè)zone段在/etc/named.conf中宣告反解析域一般對(duì)應(yīng)到一個(gè)具體的IP段反解析域同樣可以配置為從域許多服務(wù)會(huì)嘗試進(jìn)行反解析根域根域“.”zone . IN type hint; file named.ca;zone文件文件通常存放在/var/named目錄下用于存放指定域內(nèi)的各種資源與數(shù)據(jù)第一段資源記錄被成為起始授權(quán)記錄（SOA）每一個(gè)在/etc/named.conf中定義的zone都應(yīng)該對(duì)應(yīng)一個(gè)具體

8、的zone文件資源記錄SOA：定義起始授權(quán)NS：指定域名服務(wù)器MX：指定郵件服務(wù)器A：將一個(gè)域名解析成其后的IPCNAME：將一個(gè)域名設(shè)置為另一個(gè)域名的別名PTR：將一個(gè)IP地址指向一個(gè)域名SOA記錄SOA（Start of Authority）：起始授權(quán)每一個(gè)域文件中都應(yīng)該有一個(gè)SOA 段 IN SOA localhost. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; MinimumNS記錄NS（name server）：域名服務(wù)器每一個(gè)主域名服務(wù)

9、器和從域名服務(wù)器都應(yīng)該擁有一條NS記錄，以防止主服務(wù)器在出現(xiàn)故障后，從服務(wù)器不能及時(shí)提供服務(wù)IN NS.INNS.資源記錄A記錄用于將主機(jī)名對(duì)應(yīng)成IP地址CNAME記錄用于定義某一個(gè)地址的別名PTR記錄用于將IP地址對(duì)應(yīng)成一個(gè)主機(jī)名MX與HINFO記錄 MX：用于定義某一個(gè)域里負(fù)責(zé)的郵件服務(wù)器 每一條MX記錄前都需要指定優(yōu)先級(jí)別INMX5mailHINFO記錄提供解析時(shí)對(duì)一臺(tái)主機(jī)做補(bǔ)充注釋server1INHINFOmaster serverRound Robin利用復(fù)數(shù)A記錄來均衡數(shù)臺(tái)服務(wù)器的訪問負(fù)載www0INAwww0INAwww0INAr n d c域名服務(wù)器控制程序安全防范，遠(yuǎn)程控制

10、運(yùn)行的域名服務(wù)器使用TSIG 安全例如： root stationxx root# rndc reloadrndc 默認(rèn)只監(jiān)聽本地loopback端口BIND語(yǔ)法檢查工具在BIND出錯(cuò)時(shí)使用如下工具： named-checkconf 默認(rèn)檢查的配置文件是 /etc/f named-checkzone 檢查一個(gè)Zone文件的配置redhat-config-bind圖形界面下的BIND配置工具簡(jiǎn)單清晰地完成BIND配置可對(duì)應(yīng)多個(gè)版本的BIND配置文件存放在/etc/alchemist/namespace/dns/local.adl第三單元Samba任課講師：_SAMBA 原理概述SAMBA：Sen

11、d Message Block整合了SMB協(xié)議及Netbios協(xié)議，使其運(yùn)做在TCP/IP上。能夠讓Unix based的機(jī)器與windows互動(dòng)。SAMBA服務(wù)有兩個(gè)進(jìn)程：smbd：SMB服務(wù)器nmbd：netbios名字服務(wù)器SAMBA 服務(wù)一覽后臺(tái)進(jìn)程：smbd，nmbd腳本：/etc/rc.d/init.d/smb使用端口：137，138，139所需RPM包：samba，samba-common，samba-client相關(guān)RPM包：samba-swat配置文件：/etc/samba/smb.confSAMBA 的配置samba的配置文件：/etc/samba/smb.conf由數(shù)個(gè)將

12、配置文件分成數(shù)段，例如：global：一些全局配置homes：讓用戶可以訪問其主目錄printers：定義共享的打印機(jī)資源圖形界面下的配置工具SWAT(Samba Web Admin Tool)redhat-config-samba全局設(shè)置全局設(shè)置寫在global段內(nèi)，主要是指samba服務(wù)器的一些全局設(shè)定workgroupserver stringhosts allowsecurityencrypt passwordssmb passwd file共享段共享段用于在samba服務(wù)器上開放共享目錄一般每一個(gè) 表示一個(gè)指定的共享目錄， 內(nèi)寫的是目錄的共享名測(cè)試samba服務(wù)用戶可以利用testp

13、arm指令來檢查smb.conf文件的語(yǔ)法。只能檢查關(guān)鍵字段的拼寫錯(cuò)誤。對(duì)于配置值錯(cuò)誤需要結(jié)合日志文件來判斷。用戶可以用service smb status判斷samba服務(wù)的開啟狀況用戶可以用nmblookup來檢查本機(jī)上的samba服務(wù)是否正確開啟管理smb用戶samba服務(wù)支持用戶級(jí)別的共享限制使用smbadduser添加可以使用smb服務(wù)的用戶。語(yǔ)法：smbadduser linux帳號(hào):windows帳號(hào)使用smbpasswd改變用戶的密碼。用戶密碼存放在/etc/samba/smbpasswd文件中用戶映射存放在/etc/samba/smbuser文件中smbclient可以用來向

14、服務(wù)器請(qǐng)求samba服務(wù)資源列表smbclient L 主機(jī)名可以用來象一個(gè)ftp客戶端一樣訪問samba共享資源smbclient -U student%XXX /server1/tmpsmbmountsmbmount可以將遠(yuǎn)端的一個(gè)window共享目錄，或Unix系統(tǒng)通過samba服務(wù)共享出來的目錄，掛載到自己的Linux文件系統(tǒng)上。語(yǔ)法：smbmount /server1/tmp /mnt/tmp o username=student,password=XXX用于替代mount t smb第四單元電子郵件服務(wù)任課講師：_郵件發(fā)送模型郵件用戶代理（MUA）將信息傳送給郵件傳輸代理（MTA）

15、郵件傳輸代理決定信息送至目的地的路由，然后根據(jù)情況決定是否還需要將信息交給中介郵件傳輸代理域郵件傳輸代理將郵件送至郵件投遞代理（MDA）用戶收到郵件SMTP協(xié)議SMTP：Simple Mail Transfer Protocol/簡(jiǎn)單郵件傳送協(xié)議定義郵件傳送基于TCP服務(wù)的應(yīng)用層RFC0821明文傳送SMTP協(xié)議的使用SMTP協(xié)議使用25端口SMTP協(xié)議命令HELO：通報(bào)來訪者地址MAIL FROM：發(fā)件人地址RCPT TO：收件人地址DATA：輸入正文內(nèi)容，用單獨(dú)的.為行結(jié)束QUIT：連線結(jié)束安全與反垃圾郵件策略安全策略拒絕從無法解析的域送來的郵件建立各種基于主機(jī)、用戶、域的訪問控制默認(rèn)配置

16、僅允許本地收發(fā)不再使用setuid的工具反垃圾郵件策略默認(rèn)情況下不做轉(zhuǎn)發(fā)建立訪問數(shù)據(jù)庫(kù)檢查郵件信頭sendmailsendmail是使用十分廣泛的郵件提交工具（MSP）在郵件模型中承擔(dān)著MTA及MDA的作用支持多種類型的郵件地址尋址支持虛擬域及虛擬用戶允許用戶及主機(jī)偽裝提供在投遞失敗后自動(dòng)重發(fā)等多種錯(cuò)誤應(yīng)對(duì)策略sendmail服務(wù)一覽后臺(tái)進(jìn)程：sendmail腳本：/etc/init.d/sendmail使用端口：25(smtp)所需RPM包：sendmail，sendmail-cf，sendmail-doc配置文件：/etc/sendmail.cf，/etc/aliases，/etc/mai

17、l/，/usr/share/sendmail-cf/相關(guān)服務(wù)：procmailsendmail的主要配置文件/etc/sendmail.cf是默認(rèn)的sendmail主要配置文件包含域別名段，信頭格式段，轉(zhuǎn)發(fā)規(guī)則等數(shù)據(jù)很少被直接修改/etc/mail/submit.cf被用于每次sendmail被一個(gè)用戶工具所調(diào)用的時(shí)候通常不需要修改用m4生成sendmail.cfm4是UNIX下使用的傳統(tǒng)宏處理器sendmail.cf可以由一個(gè)宏文件經(jīng)m4處理后得到Red Hat默認(rèn)使用/etc/mail/sendmail.mc為/etc/sendmail.cf的宏文件m4 /etc/mail/sendmai

18、l.mc /etc/sendmail.cf我們推薦使用m4處理sendmail.mc來得到sendmail.cf編輯sendmail.mc每一個(gè)sendmail.mc宏應(yīng)該定義了操作系統(tǒng)類型、文件位置、請(qǐng)求特征及郵件發(fā)送工具、用戶列表在每一行的開頭添加dnl表示注釋默認(rèn)情況下，sendmail服務(wù)器只偵聽本地的連接注釋DAEMON_OPTION(PORT=smtp,Addr=,Name=MTA)其他有用的配置FEATURE（accept_unresolvable_domains）接受無法反向解析的域來的郵件FEATURE（dnsbl）支持根據(jù)dns黑洞列表來拒絕垃圾郵件FEATURE（rela

19、y_based_on_MX）自動(dòng)接受DNS中MX記錄來源的郵件轉(zhuǎn)發(fā)FEATURE（blacklist_recipients）允許使用黑名單查禁收件人/etc/mail/access用于定義接受或拒絕的郵件來源：格式：IP/域名設(shè)定值設(shè)定值：REJECT：拒絕OK：無條件接受RELAY：允許轉(zhuǎn)發(fā)DISCARD：丟棄/etc/mail/virtusertable允許在郵件服務(wù)中使用虛擬域及虛擬用戶并自動(dòng)映射：joejoerooteddyeddy/etc/aliases定義本地用戶的別名別名后的映射對(duì)象可以是：一個(gè)本地用戶多個(gè)本地用戶（用逗號(hào)分隔）本地文件（需要指出路徑）指令（需要管道）另一個(gè)ema

20、il地址設(shè)定完/etc/aliases后，需要運(yùn)行newaliases更新aliases.db郵件收取MDA將收到的信件根據(jù)用戶存放在/var/spool/mail下/var/spool/mail目錄下每一個(gè)文件對(duì)應(yīng)與文件名同名的用戶用戶使用mail等工具閱讀完信后，未被刪除的郵件會(huì)自動(dòng)轉(zhuǎn)存到用戶主目錄下的mbox文件中POP3協(xié)議POP3：Post Office Protocol 3/郵局協(xié)議第三版POP3協(xié)議適用于不能時(shí)時(shí)在線的郵件用戶。支持客戶在服務(wù)器上租用信箱，然后利用POP3協(xié)議向服務(wù)器請(qǐng)求下載基于TCP/IP協(xié)議與客戶端/服務(wù)端模型POP3的認(rèn)證與郵件傳送都采用明文使用pop3協(xié)議

21、POP3協(xié)議使用110端口POP3協(xié)議命令USER：通報(bào)用戶名PASS：輸入密碼LIST：列出所有郵件大小RETR：閱讀郵件DELE：刪除郵件QUIT：連線結(jié)束配置pop3服務(wù)器pop3服務(wù)一般是基于xinetd的服務(wù)可以通過兩種方式開啟和關(guān)閉服務(wù)編輯/etc/xinetd.d/ipop3并重啟xinetd使用chkconfig來開啟或關(guān)閉服務(wù)IMAPIMAP：Internet Message Access Protocol/英特網(wǎng)信息存取協(xié)議另一種從郵件服務(wù)器上獲取郵件的協(xié)議與POP3相比，支持在下載郵件前先行下載郵件頭以預(yù)覽郵件的主題來源基于TCP/IP使用143端口郵件接收工具mozil

22、la-mailmozilla下的郵件接收工具采用netscape mail的風(fēng)格evolutionGNOME下的默認(rèn)郵件接收工具采用windows下的outlook風(fēng)格kmailkde下的郵件接收工具fetchmail字符界面下的郵件接收工具配置fetchmailfetchmail支持多種郵件接收協(xié)議fetchmail的配置文件是用戶主目錄下的.fetchmailrc文件“.fetchmailrc”中每一行代表一個(gè)郵件信箱范例： poll protocol pop3 username “kevinzou password “nopassprocmailprocmail是一個(gè)非常強(qiáng)大的郵件轉(zhuǎn)發(fā)工

23、具可以用來：對(duì)收到來信進(jìn)行排序，并送入不同目錄預(yù)處理郵件在收到一封郵件后激活一個(gè)事件或程序自動(dòng)轉(zhuǎn)發(fā)郵件給其他用戶默認(rèn)情況下sendmail會(huì)將procmail設(shè)定為本機(jī)轉(zhuǎn)發(fā)郵件工具有可能在短時(shí)間內(nèi)產(chǎn)生大量轉(zhuǎn)發(fā)郵件，因此配置時(shí)應(yīng)小心謹(jǐn)慎簡(jiǎn)單配置procmailprocmail的配置文件是用戶主目錄下的 ”.procmailrc”如需將來自kevinz關(guān)于linux的郵件轉(zhuǎn)發(fā)給todd，并復(fù)制入linux目錄：:0*From.*kevinz*Subject:.*linux :0 c! todd:0linux郵件讀寫工具圖形界面下的郵件接受工具一般也可以用來讀寫郵件字符界面下的郵件讀寫工具mail非

24、常簡(jiǎn)單地郵件讀寫工具pine支持添加附件支持將已讀文件存入指定目錄第五單元WEB服務(wù)器任課講師：_http 服務(wù)原理超文本傳送協(xié)議基于客戶端服務(wù)端模型協(xié)議流程：連接：客戶端與服務(wù)端建立連接請(qǐng)求：客戶端向服務(wù)端發(fā)送請(qǐng)求應(yīng)答：服務(wù)端響應(yīng)，將結(jié)果傳給客戶端關(guān)閉：執(zhí)行結(jié)束后關(guān)閉web服務(wù)器 apache應(yīng)用廣泛的web服務(wù)器支持進(jìn)程控制在需要前自動(dòng)復(fù)制進(jìn)程進(jìn)程數(shù)量自動(dòng)使用需求支持動(dòng)態(tài)加載模塊不需重編譯就可擴(kuò)展其用途支持虛擬主機(jī)允許使用一臺(tái)web服務(wù)器提供多個(gè)web站點(diǎn)的共享apache服務(wù)一覽后臺(tái)進(jìn)程：httpd腳本：/etc/rc.d/init.d/httpd使用端口：80(http)，443(ht

25、tps)所需RPM包：apache，apache-devel，apache-manual相關(guān)RPM包：apacheconf配置路徑：/etc/httpd/*，/var/www/*apache的配置文件配置文件儲(chǔ)存為/etc/httpd/conf/httpd.conf設(shè)置標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)器參數(shù)、虛擬主機(jī)、模塊定義文件名與mime類型訪問控制默認(rèn)的html存放位置/var/www/html全局配置ServerType：選擇系統(tǒng)激活服務(wù)器的方式?？梢允莍netd或standaloneServerRoot：設(shè)定Apache安裝的絕對(duì)路徑TimeOut：設(shè)定服務(wù)器接收至完成的最長(zhǎng)等待時(shí)間KeepAlive：

26、設(shè)定服務(wù)器是否開啟連續(xù)請(qǐng)求功能MaxKeepAliveRequests：設(shè)定服務(wù)器所能接受的最大連續(xù)請(qǐng)求量全局配置（二）KeepAliveTimeout：使用者 連續(xù) 請(qǐng)求的等待時(shí)間上限MinSpareServers：設(shè)定最小閑置子進(jìn)程數(shù)MaxSpareServers：設(shè)定最大閑置子進(jìn)程數(shù)StartServers：設(shè)定激活時(shí)所需建立的子進(jìn)程數(shù)MaxClients：設(shè)定同時(shí)能夠提供使用者的最大服務(wù)請(qǐng)求數(shù)主機(jī)配置Port：設(shè)定http服務(wù)的默認(rèn)端口。User/Group：設(shè)定服務(wù)器程序的執(zhí)行者與屬組ServerAdmin：設(shè)定站點(diǎn)管理者的電子郵件ServerName：設(shè)定服務(wù)器的名稱Documen

27、tRoot：設(shè)定服務(wù)器的共享路徑DirectoryIndex：設(shè)定默認(rèn)調(diào)用文件順序ErrorLog：設(shè)定錯(cuò)誤記錄文件名稱虛擬主機(jī)在同一臺(tái)服務(wù)器上配置多個(gè)共享服務(wù)在虛擬主機(jī)中未指定的配置即采用主機(jī)配置 ServerName DocumentRoot /var/www/virtual訪問控制Apache提供目錄級(jí)別與文件級(jí)別的基于主機(jī)的多種訪問控制Apache提供目錄級(jí)別基于用戶密碼的訪問控制.htaccessApache支持在需要限制訪問的目錄下，建立 .htaccess文件來實(shí)行訪問限制。用戶可以根據(jù)httpd.conf中記錄的AllowOverride內(nèi)容，在 .htaccess文件添加訪問

28、控制語(yǔ)句以取代在httpd.conf中的記錄。改變 .htaccess文件設(shè)置不需要重啟httpdCGICGI程序只能放在有設(shè)定ScriptAlias的目錄下才可以使用。ScriptAlias /cgi-bin/ /cgi-bin/Apache 可以通過加載模塊來倍化CGI程序的速度Apache加密網(wǎng)站Apache用443端口提供https服務(wù)需要加載mod_ssl模塊相關(guān)配置文件在/etc/httpd/conf.d/ssl.conf加密配置認(rèn)證：conf/ssl.crt/server.crt私鑰：conf/ssl.key/server.key認(rèn)證/鑰匙生成/usr/share/ssl/cer

29、ts/Makefile個(gè)人簽名認(rèn)證：make testcert認(rèn)證簽名需要：make certreqSquid Web Proxy CacheSquid支持為FTP、HTTP等其他數(shù)據(jù)流做代理Squid會(huì)將SSL請(qǐng)求直接轉(zhuǎn)給目標(biāo)服務(wù)器或另一個(gè)代理Squid提供諸如訪問控制列表、緩存管理及HTTP服務(wù)器加速第六單元NFS、FTP和DHCP任課講師：_NFSNFS：Network File System/網(wǎng)絡(luò)文件系統(tǒng)Linux與Linux之間的文件共享提供遠(yuǎn)端讀存文件的服務(wù)NFS 原理概述建立在RPC協(xié)議上的服務(wù)，使用時(shí)需要打開portmap基于客戶端服務(wù)器端模型服務(wù)端為多個(gè)客戶端提供服務(wù)客戶端也

30、可以從多個(gè)服務(wù)端處獲得文件目錄NFS 服務(wù)一覽后臺(tái)進(jìn)程：nfsd，lockd，rpciod，rpc.mounted，rpc.rquotad，rpc.statd腳本：/etc/init.d/nfs，/etc/init.d/nfslock使用端口：由portmap （111）分配所需RPM包：nfs-utils相關(guān)RPM包：portmap（必需）配置文件：/etc/exportsNFS 客戶端策略檢查服務(wù)端的nfs共享資源showmount -e server將服務(wù)端開放的nfs共享目錄掛載到本機(jī)上的一個(gè)目錄mount -t nfs server:/share /mnt/nfsNFS 服務(wù)端配置編

31、輯/etc/exports文件以配置開放路徑路徑對(duì)象（方式）確保portmap服務(wù)已開啟打開或重啟nfs服務(wù)service nfs start/restartFTPvsftpd是RedHat Linux默認(rèn)使用的ftp服務(wù)端軟件vsftpd 不再依賴于xinetd服務(wù)允許匿名或本地用戶訪問匿名訪問不須額外的RPM包/etc/vsftpd/vsftpd.conf是默認(rèn)的配置文件ftp服務(wù)一覽后臺(tái)進(jìn)程：vsftpd類型：System V 服務(wù)使用端口：20(ftp-data)，21(ftp)所需RPM包：vsftpd配置文件：/etc/vsftpd/vsftpd.conf /etc/vsftpd.

32、ftpusers /etc/pam.d/vsftpd日志：/var/log/vsftpd.logFTP用戶控制/etc/vsftpd.ftpusers/etc/vsftpd.user_listFTP測(cè)試工具ftpwho：查看當(dāng)前使用ftp的用戶ftpcount：查看當(dāng)前連線數(shù)目DHCPDHCP：動(dòng)態(tài)主機(jī)配置協(xié)議使用服務(wù)端的dhcpd來提供服務(wù)dhcpd可以同時(shí)為DHCP及BOOTP客戶端提供服務(wù)dhcp服務(wù)一覽后臺(tái)進(jìn)程：dhcpd腳本：/etc/rc.d/init.d/dhcpd使用端口：67（bootps），68（bootpc）所需RPM包：dhcpd相關(guān)RPM包：配置文件：/etc/ftp

33、access，/etc/ftphosts，/etc/ftpusers日志：/var/log/xferlog配置dhcp服務(wù)/etc/dhcpd.conf范例：subnet netmask range 53;default-lease-time 21600;max-lease-time 43200;option domain-name “”;option routers 54;option domain-name-servers 54;常用dhcp配置參數(shù)subnet X.X.X.X netmask X.X.X.X指定dhcp服務(wù)工作網(wǎng)段range 指定分配地址段default-lease-ti

34、me默認(rèn)租期（請(qǐng)求續(xù)租時(shí)間）max-lease-time最大租期常用dhcp配置參數(shù)（二）option routers分配路由器option domain-name分配域名option domain-name-servers分配DNS serverIP綁定host為綁定主機(jī)起名（并不是分配給對(duì)方的名字）hardware ethernet指定硬件地址fixed-address指定IP地址或主機(jī)名支持為綁定主機(jī)單獨(dú)分配其他網(wǎng)絡(luò)數(shù)據(jù)第七單元安全及策略任課講師：_安全術(shù)語(yǔ)什么是安全？加密數(shù)據(jù)完整可用系統(tǒng)安全由系統(tǒng)中最小的安全組件決定 (木桶原理)基礎(chǔ)網(wǎng)絡(luò)安全大多數(shù)的計(jì)算機(jī)都連接到網(wǎng)絡(luò)上局域網(wǎng)、廣域網(wǎng)或

35、者Internet由于連接在網(wǎng)絡(luò)上，增加了對(duì)操作系統(tǒng)和后臺(tái)服務(wù)的危脅常用術(shù)語(yǔ)的定義黑客破解者（駭客）拒絕服務(wù)緩沖溢出病毒特洛伊木馬蠕蟲安全策略物理上的安全性用戶限制服務(wù)限制網(wǎng)絡(luò)限制加密安全策略 （續(xù)）安全策略是為了加強(qiáng)對(duì)系統(tǒng)安全特性和管理而定義的規(guī)則審核讓我們檢查使用的安全工具實(shí)際中使用的安全策略審核分析 目前的情況了解 安全需求確定 如何實(shí)現(xiàn)它們實(shí)施 安全機(jī)制測(cè)試 安裝入侵檢測(cè)工具嗅探器（sniffers）滲透檢測(cè)器記錄日志日志工具發(fā)現(xiàn)入侵后的措施反應(yīng)，保護(hù)，鏡像，恢復(fù)，搜索，報(bào)告第一步：反應(yīng)第二步：保護(hù)發(fā)現(xiàn)入侵后的措施 續(xù)1反應(yīng)，保護(hù)，鏡像，恢復(fù)，搜索，報(bào)告第三步：鏡像第四步：恢復(fù)發(fā)現(xiàn)入侵

36、后的措施 續(xù)2反應(yīng)，保護(hù)，鏡像，恢復(fù)，搜索，報(bào)告第五步：搜索第六步：報(bào)告?zhèn)浞莶呗砸粋€(gè)好的備份策略可以使你從災(zāi)難中恢復(fù)出來通常備份策略由以下組成：一次定期的完全備份每日增量備份備份媒體遠(yuǎn)距離存儲(chǔ)第八單元NIS任課講師：_什么是NIS服務(wù)NIS：Network Information Service 基于客戶端服務(wù)端模型公用資料集中存放在服務(wù)端管理提供復(fù)數(shù)的客戶端訪問使用基于RPC協(xié)議NIS服務(wù)一覽服務(wù)類型：SystemV后臺(tái)進(jìn)程：ypserv,ypbind,yppasswdd使用端口：由portmap （111）分配所需RPM包：ypserv,ypbind,yp-tools相關(guān)RPM包：port

37、map服務(wù)端配置文件：/etc/ypserv.conf /var/yp/*NIS服務(wù)端與客戶端NIS客戶端的后臺(tái)進(jìn)程是ypbind，服務(wù)端的后臺(tái)進(jìn)程是ypserv服務(wù)端支持NIS協(xié)議第一版與第二版客戶端還多支持NIS+(v3)NIS的局限性安全性差可擴(kuò)展性不足unix-onlyNIS客戶端基礎(chǔ)NIS客戶端工具ypbind可以通過兩種方式獲知其域內(nèi)的服務(wù)器是誰(shuí)在NIS域內(nèi)廣播通過/etc/yp.conf讀取本域內(nèi)NIS服務(wù)器的位置使用工具配置客戶端使用authconfig將本機(jī)添加入一個(gè)NIS域指定一個(gè)NIS服務(wù)器/etc/nsswitch.confnsswitch.conf記錄了系統(tǒng)查詢用戶密

38、碼、組、主機(jī)名等資源的遵循順序確定nsswitch.conf文件中需要向服務(wù)器查詢數(shù)據(jù)的資源順序中包含NIS項(xiàng)查詢資源可以是：files：本地文件dns：域名服務(wù)器nis/nisplus：NIS服務(wù)器ldap：ldap服務(wù)器db：數(shù)據(jù)庫(kù)NIS服務(wù)器布局扁平結(jié)構(gòu)一個(gè)主服務(wù)器負(fù)責(zé)一個(gè)域一個(gè)主服務(wù)器可以帶領(lǐng)多個(gè)從服務(wù)器提供容錯(cuò)負(fù)載均衡配置NIS服務(wù)端在/etc/sysconfig/network中設(shè)定一個(gè)NIS domain：NISDOMAIN=mydomain修改/var/yp/Makefile決定需共享的數(shù)據(jù)在/var/yp/securenets中指定許可共享的網(wǎng)段執(zhí)行/usr/lib/yp/y

39、pinit -m執(zhí)行service ypbind start執(zhí)行service ypserv start配置NIS從服務(wù)器將所有從服務(wù)器名放在/var/yp/ypservers文件中在每一個(gè)從服務(wù)器上安裝ypserv使用以下指令：/usr/lib/yp/ypinit s 主服務(wù)器名NIS工具ypcat：列出來自NIS server的map信息ypinit：建立并安裝NIS databaseypwhich：列出NIS server的名稱ypset：強(qiáng)制指定某臺(tái)機(jī)器當(dāng)NIS servermakedbm：創(chuàng)造NIS map的dbm檔第九單元系統(tǒng)安全任課講師：_監(jiān)視文件系統(tǒng)監(jiān)視文件系統(tǒng)可以防止：硬盤空

40、間被占滿可能造成安全問題的錯(cuò)誤權(quán)限監(jiān)視文件系統(tǒng)包括：數(shù)據(jù)正確性檢驗(yàn)搜尋不需要或可能造成系統(tǒng)破壞的文件常規(guī)搜尋搜尋所有設(shè)置了強(qiáng)制位的文件find / -type f perm +6000搜尋可以被任何用戶寫入的文件find / -type f perm 2搜尋不屬于任何用戶與組的文件find / -nouser o -nogroupTripwire系統(tǒng)文件應(yīng)該時(shí)時(shí)處于周密的監(jiān)視下配置文件被更改可能造成服務(wù)的啟動(dòng)與運(yùn)行故障可執(zhí)行文件被更改可能造成更大的問題tripwire可以根據(jù)配置監(jiān)測(cè)文件/目錄的大小、更改時(shí)間、inode狀態(tài)、所屬用戶/組及一系列屬性配置與使用tripwire安裝tripwir

41、e RPM包編輯twcfg.txt與twpol.txt，根據(jù)安裝情況來定義配置與監(jiān)視策略運(yùn)行/etc/tripwire/twinstall.sh用tripwire init在/var/lib/tripwire/下建立原始數(shù)據(jù)庫(kù)$HOSTNAME.twd用tripwire -check來根據(jù)數(shù)據(jù)庫(kù)檢查系統(tǒng) 用twprint m r twrfile 文件名來閱讀監(jiān)視報(bào)告為Boot Loader加密LILO密碼明文存放在/etc/lilo.conf中可以應(yīng)用于全局及局部用于防止用戶進(jìn)入操作系統(tǒng)GRUB密碼經(jīng)過md5加密可以應(yīng)用于全局及局部用于防止用戶更改啟動(dòng)參數(shù)插裝型認(rèn)證模塊（PAM）/lib/se

42、curity動(dòng)態(tài)可加載庫(kù)集中安全管理配置在模塊被調(diào)用時(shí)即生效/etc/pam.d為PAM 客戶配置文件選擇需要的庫(kù)滿足所有條件通過認(rèn)證或失敗PAM 配置/etc/pam.d/system-auth控制標(biāo)志決定PAM如何使用模塊調(diào)用后的返回值required，sufficient，或optional/etc/security/下包含了部分配置文件核心PAM模塊pam_env：環(huán)境變量初始化pam_unix標(biāo)準(zhǔn)unix認(rèn)證允許更改密碼pam_cracklib：強(qiáng)制使用好密碼常用的pam模塊pam_nologin如果/etc/nologin存在，則除了root用戶，任何用戶不能登錄pam_secur

43、etty在/etc/securetty文件中存放的，是root用戶可以登錄的終端不限制用戶登錄完成后用su切換成root常用的pam模塊（二）pam_access用一個(gè)簡(jiǎn)單的配置文件完成基于用戶、組、及來源的訪問限制使用/etc/security/access.conf為其配置文件pam_listfile允許用戶針對(duì)某一服務(wù)單獨(dú)建立文件來建立基于用戶、組、本地終端、遠(yuǎn)端主機(jī)的限制常用的pam模塊（三）pam_limits允許在許可用戶使用服務(wù)后，對(duì)用戶的使用資源，進(jìn)行各種設(shè)置pam_time使用一個(gè)簡(jiǎn)單的配置文件，來建立基于時(shí)間的服務(wù)訪問限制使用/etc/security/time.conf為

44、配置文件sudo讓一般用戶有可能使用root才可以使用的系統(tǒng)管理指令需要配置/etc/sudoers文件，來定義哪些用戶可以使用哪些指令，以及使用時(shí)是否需要密碼用visudo編輯/etc/sudoers文件用sudo 系統(tǒng)指令執(zhí)行系統(tǒng)指令第十單元防火墻和IP偽裝任課講師：_iptablesiptables是Red Hat Linux里默認(rèn)使用的防火墻iptables提供多個(gè)設(shè)定參數(shù)可以用來定義過濾規(guī)則，包括IP/MAC地址、協(xié)議、端口、子網(wǎng)掩碼iptables支持在路由算法發(fā)生前后進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換iptables結(jié)構(gòu)iptables將防火墻的功能分成多個(gè)tablesfilter：數(shù)據(jù)包過濾NA

45、T：Network Address Translation/網(wǎng)絡(luò)地址轉(zhuǎn)換tables又包含多個(gè)chains5條默認(rèn)基礎(chǔ)操作chains允許用戶自行定義chainsiptables語(yǔ)法iptables -t table pattern -j targetaction包括：-A chain：在chain中增添一條規(guī)則-D chain：在chain中刪除一條規(guī)則-L chain：列出chain中的規(guī)則-F chain：清空chain中的規(guī)則-P chain：為chain指定新的默認(rèn)策略，可以是：ACCEPT：未經(jīng)禁止全部許可DROP：未經(jīng)許口全部禁止iptables語(yǔ)法（二）pattern包括：-s

46、 ：來源地址-d ：目標(biāo)地址-p ：指定協(xié)議，可以是tcp/udp/icmp-dport ：目標(biāo)端口，需指定-p-sport ：來源端口，需指定-ptarget包括：DROP：禁止ACCEPT：許可filter table用于過濾數(shù)據(jù)包的接送chain INPUT：設(shè)定遠(yuǎn)端訪問主機(jī)時(shí)的規(guī)則來源是遠(yuǎn)端訪問者，目標(biāo)是本地主機(jī)chain OUTPUT：設(shè)定主機(jī)訪問遠(yuǎn)端主機(jī)的規(guī)則來源是本地主機(jī)，目標(biāo)是遠(yuǎn)端被訪問主機(jī)chain FORWARD：設(shè)定主機(jī)為其他主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)的規(guī)則來源是請(qǐng)求轉(zhuǎn)發(fā)的主機(jī)，目標(biāo)是遠(yuǎn)端被訪問的主機(jī)NAT table用于處理網(wǎng)絡(luò)地址轉(zhuǎn)換chain PREROUTING：路由算法發(fā)

47、生之前轉(zhuǎn)換數(shù)據(jù)包內(nèi)的來源地址chain POSTROUTING：路由算法發(fā)生之后轉(zhuǎn)換數(shù)據(jù)報(bào)內(nèi)的目標(biāo)地址用NAT table完成IP偽裝對(duì)于負(fù)責(zé)內(nèi)部子網(wǎng)的路由器，需要為保留地址進(jìn)行IP偽裝使用IP偽裝功能需要打開本機(jī)上的IP轉(zhuǎn)發(fā)功能范例：iptables t nat A POSTROUTING -s /24 -o eth1 j MASQUERADE第十一單元網(wǎng)絡(luò)安全任課講師：_基礎(chǔ)網(wǎng)絡(luò)安全越來越多的計(jì)算機(jī)被連接到網(wǎng)絡(luò)上與網(wǎng)絡(luò)連通對(duì)操作系統(tǒng)和后臺(tái)進(jìn)程意味著冒險(xiǎn)，被寄生與攻擊的可能基于主機(jī)的安全限制不受歡迎的來源封鎖不作利用的端口不安裝與啟動(dòng)不使用的服務(wù)一般，每一種服務(wù)本身一般都會(huì)提供方式做相關(guān)限制配制防火墻保護(hù)主機(jī)tcp_wrapper基于主機(jī)與服務(wù)使用簡(jiǎn)單的配置文件來設(shè)置訪問限制/etc/hosts.allow/etc/hosts.deny基于xinetd的服務(wù)也能在其配置中調(diào)用libwrap配置一旦被改變，立刻生效tcp_wrapper的配置訪問控制判斷順序：訪問是否被明確許可否則，訪問是否被明確禁止如果都沒有，默認(rèn)許可配置文