Linux操作系統(tǒng)安全加固-教案3

《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案3（第3號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)2.1禁用或刪除無用賬號(hào)任務(wù)2.2檢查特殊賬號(hào)教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握linux賬號(hào)安全設(shè)置；2.掌握linux特殊賬號(hào)的管理；能力目標(biāo)1.能夠使用相關(guān)命令對(duì)禁用賬號(hào)進(jìn)行鎖定；2.能夠使用grep、awk快速檢索特殊賬號(hào)；素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生精益求精的工匠精神。2.培養(yǎng)學(xué)生獨(dú)立分析問題、解決問題的能力。學(xué)情分析1.專業(yè)興趣高，動(dòng)手能力強(qiáng)，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護(hù)技能，但掌握不深入；3.有一定溝通交通能力，85%的學(xué)生不具備換位思考意識(shí)，70%的學(xué)生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點(diǎn)分析教學(xué)重點(diǎn)1.會(huì)使用禁用無用賬號(hào)；2.會(huì)使用命令快速檢查特殊賬號(hào)；教學(xué)難點(diǎn)1.系統(tǒng)賬號(hào)（偽賬號(hào)）的危害；信息化應(yīng)用方法基于省級(jí)精品在線開放課程，通過泛雅教學(xué)平臺(tái)發(fā)布教學(xué)資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習(xí)；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學(xué)生根據(jù)任務(wù)現(xiàn)場操作，教師糾錯(cuò)，以小組為單位，生生互評(píng)（根據(jù)操作評(píng)分細(xì)則），并錄制視頻；對(duì)于學(xué)生的易錯(cuò)點(diǎn)和本節(jié)課的難點(diǎn)進(jìn)行突破學(xué)習(xí)，提升學(xué)生對(duì)操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.國家安全。通過案件，大學(xué)生泄露國家秘密事件，提升國家安全意識(shí)；2.工匠精神。通過課程實(shí)訓(xùn)，在一個(gè)個(gè)操作細(xì)節(jié)中，加固linux操作系統(tǒng)，培養(yǎng)學(xué)生精益求精工匠精神。3.隱私保護(hù)。通過密碼口令的加固，網(wǎng)絡(luò)中出現(xiàn)的“撞庫”事件，提升大學(xué)生個(gè)人信息保護(hù)意識(shí)；教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布LINUX系統(tǒng)安全加固任務(wù)1任務(wù)2學(xué)習(xí)任務(wù)，供學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課小林在對(duì)Linux服務(wù)器系統(tǒng)進(jìn)行深度審查時(shí)，注意到由于運(yùn)維團(tuán)隊(duì)安全意識(shí)的欠缺，系統(tǒng)內(nèi)積累了諸多冗余且無實(shí)際業(yè)務(wù)關(guān)聯(lián)的賬號(hào)與用戶組。對(duì)此，小林秉持嚴(yán)謹(jǐn)?shù)臉I(yè)務(wù)梳理原則，迅速采取行動(dòng)，對(duì)這些冗余且無實(shí)際業(yè)務(wù)關(guān)聯(lián)的賬號(hào)和用戶組進(jìn)行了禁用或刪除處理。此舉有效縮減了潛在的攻擊面，有力提升了系統(tǒng)的整體防護(hù)能力，降低了系統(tǒng)遭受外部入侵的風(fēng)險(xiǎn)。在Linux操作系統(tǒng)中有三大類用戶，分別是root用戶、系統(tǒng)用戶和普通用戶，每類用戶的權(quán)限和所能執(zhí)行的工作任務(wù)不同。在實(shí)際的管理中，用戶的角色是通過UID來標(biāo)識(shí)的，每個(gè)用戶的UID都不相同。黑客在入侵Linux操作系統(tǒng)之后，通常會(huì)通過創(chuàng)建一些特殊的賬號(hào)進(jìn)行隱藏，以便后期登錄時(shí)利用。工程師小林對(duì)服務(wù)器系統(tǒng)進(jìn)行安全基線檢測時(shí)，發(fā)現(xiàn)系統(tǒng)中存在一些特殊賬號(hào)，他及時(shí)對(duì)這些賬號(hào)進(jìn)行了處理和加固，以保障系統(tǒng)安全。任務(wù)1知識(shí)點(diǎn)講解1、用戶的概念和分類用戶是指實(shí)際登錄Linux操作系統(tǒng)中執(zhí)行操作的人或邏輯性的對(duì)象。在Linux操作系統(tǒng)中，不論是由本地登錄系統(tǒng)還是遠(yuǎn)程登錄系統(tǒng)，每個(gè)用戶都必須擁有一個(gè)賬號(hào)，并且不同的用戶對(duì)于不同的系統(tǒng)資源擁有不同的使用權(quán)限。用戶賬號(hào)由用戶名和密碼構(gòu)成，用戶名嚴(yán)格區(qū)分大小寫。用戶登錄Linux操作系統(tǒng)時(shí)，必須輸入用戶名和密碼，只有用戶名存在且與密碼相匹配時(shí)才能正常登錄。在Linux操作系統(tǒng)中，用戶由一個(gè)數(shù)字ID來標(biāo)識(shí)，稱為UID（UserIdentifier，用戶標(biāo)識(shí)符）。每個(gè)用戶對(duì)應(yīng)一個(gè)用戶賬號(hào)，也對(duì)應(yīng)唯一的UID。UID相當(dāng)于我們的身份證號(hào)碼，具有唯一性，因此可通過用戶的UID來判斷用戶的身份。Linux操作系統(tǒng)的用戶通常分為以下3類。（1）超級(jí)用戶：也被稱為root用戶、系統(tǒng)管理員或根用戶，擁有系統(tǒng)的最高權(quán)限，通常在系統(tǒng)維護(hù)和執(zhí)行其他必要的操作時(shí)使用，以避免安全風(fēng)險(xiǎn)，其UID為0。（2）系統(tǒng)用戶：Linux操作系統(tǒng)為了避免因某個(gè)服務(wù)程序出現(xiàn)漏洞而被黑客提權(quán)至整臺(tái)服務(wù)器，默認(rèn)服務(wù)程序會(huì)有獨(dú)立的系統(tǒng)用戶負(fù)責(zé)運(yùn)行，進(jìn)而有效控制被破壞的范圍。系統(tǒng)用戶是Linux操作系統(tǒng)正常運(yùn)行所需的內(nèi)置用戶，它們通常在系統(tǒng)啟動(dòng)時(shí)需要執(zhí)行某些服務(wù)程序，但在默認(rèn)情況下，這些用戶無法直接登錄系統(tǒng)。常見的系統(tǒng)用戶有bin、daemon、adm、ftp、mail等。（3）普通用戶：由root用戶創(chuàng)建的用于日常工作的用戶都屬于普通用戶，普通用戶能夠登錄系統(tǒng)，能夠操作自身目錄的內(nèi)容，但其使用系統(tǒng)的權(quán)限受到限制。2、與用戶賬號(hào)相關(guān)的系統(tǒng)文件在Linux操作系統(tǒng)中，完成用戶管理有多種方法，但是每一種方法實(shí)際上都是對(duì)相關(guān)的系統(tǒng)文件進(jìn)行修改。Linux用戶賬號(hào)信息存儲(chǔ)在/etc/passwd文件（用戶賬號(hào)文件）和/etc/shadow文件（用戶影子文件）中，Linux用戶組信息存儲(chǔ)在/etc/group文件（用戶組賬號(hào)文件）和/etc/gshadow文件（用戶組影子文件）中。1．/etc/passwd文件/etc/passwd文件是Linux操作系統(tǒng)識(shí)別用戶的文件，用于存儲(chǔ)用戶賬號(hào)信息，所有用戶都被記錄在該文件中。在用戶登錄期間，系統(tǒng)通過查詢這個(gè)文件，確定用戶的UID并驗(yàn)證用戶的密碼。該文件中的每一行代表一個(gè)用戶，且每個(gè)用戶的信息由冒號(hào)分隔為7個(gè)字段，各字段從左到右依次為：username:password:UID:GID:comment:homedirectory:shell以下字段分別表示用戶名、用戶密碼、UID、GID（GroupIdentifiev，組標(biāo)識(shí)符）、備注信息、用戶主目錄、命令解釋器。序號(hào)字段含義1username用戶登錄時(shí)使用的用戶名2password用戶密碼，出于安全考慮，通常使用“x”來填充該字段3UIDUID，與用戶名一一對(duì)應(yīng)4GIDGID，記錄用戶所屬的組，相同的組具有相同的GID5comment備注信息，該字段為可選項(xiàng)6homedirectory用戶主目錄，用戶登錄成功后進(jìn)入的默認(rèn)目錄7shell命令解釋器，用戶登錄Linux操作系統(tǒng)后進(jìn)入的Shell環(huán)境2．/etc/shadow文件在Linux操作系統(tǒng)中，所有用戶都可以讀取/etc/passwd文件的內(nèi)容，該文件中存儲(chǔ)了所有用戶賬號(hào)的信息。如果在/etc/passwd文件中存儲(chǔ)用戶密碼，則容易被黑客獲取并破譯。目前，許多Linux發(fā)行版本默認(rèn)引入了/etc/shadow文件，用于存儲(chǔ)加密后的用戶密碼，這就是隱藏口令的機(jī)制。/etc/passwd文件的默認(rèn)權(quán)限是000，也就是說除了root用戶以外，所有用戶都沒有查看或編輯該文件的權(quán)限。普通用戶只有在臨時(shí)獲得程序所有者的身份時(shí)，才能夠把變更的密碼信息寫入/etc/shadow文件中。/etc/shadow文件保存了用戶的用戶名、被加密的密碼、用戶修改密碼的時(shí)間、密碼到期時(shí)間、保留字段等信息，/etc/shadow文件和/etc/passwd文件是對(duì)應(yīng)互補(bǔ)的。/etc/shadow文件中的每一行代表一個(gè)用戶，且每個(gè)用戶的信息由冒號(hào)分隔為9個(gè)字段，各字段從左到右依次為：username:encryptedpassword:numberofdays:minimumpasswordlife:maximumpasswordlife:warningperiod:disableaccount:accountexpiration:reserved序號(hào)字段含義1username用戶登錄時(shí)使用的用戶名2encyptedpassword采用MD5加密方式加密后的用戶密碼3numberofdays從1970年1月1日開始到最近一次修改密碼的間隔天數(shù)4minimumpasswordlife用戶至少經(jīng)過多少天才能再次修改密碼5maximumpasswordlife用戶至多經(jīng)過多少天后必須修改密碼6warningperiod在用戶密碼到期前，提醒用戶密碼到期的天數(shù)，默認(rèn)為7天7disableaccount密碼到期多少天后，永久禁用該用戶賬號(hào)8accountexpiration從1970年1月1日開始到用戶賬號(hào)到期的間隔天數(shù)9reserved保留字段3．/etc/group文件/etc/group文件是Linux操作系統(tǒng)識(shí)別用戶組的文件，用于存儲(chǔ)用戶名、用戶組名等基本信息，該文件中的每一行都表示一個(gè)用戶組，且每個(gè)用戶組的信息由冒號(hào)分隔為4個(gè)字段，各字段從左到右依次為：groupname:password:GID:user_list以上字段分別表示用戶組名、用戶組密碼、GID、用戶組成員列表4．/etc/gshadow文件與/etc/shadow文件一樣，/etc/gshadow文件也是出于密碼安全性的考慮而引入的，該文件存儲(chǔ)著加密的用戶組密碼和用戶組管理員等信息，文件中每一行的用戶組信息由冒號(hào)分隔為4個(gè)字段，各字段從左到右依次為：groupname:encyptedpassword:admin:user_list以上字段分別表示用戶組名、加密后的用戶組密碼、用戶組管理員、用戶組成員列表3、用戶管理命令1．添加用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用useradd命令添加用戶賬號(hào)，其格式為“useradd[參數(shù)]用戶名”。使用該命令添加用戶賬號(hào)時(shí)，默認(rèn)的用戶家目錄會(huì)被存放在/home目錄中，默認(rèn)的Shell解釋器為/bin/bash，而且默認(rèn)會(huì)創(chuàng)建一個(gè)與該用戶同名的基本用戶組。參數(shù)作用-d指定用戶的家目錄（默認(rèn)為/home/username）-e指定用戶賬號(hào)的到期時(shí)間，格式為YYYY-MM-DD-g指定用戶所屬的基本組（基本組必須已存在）或GID-G指定一個(gè)或多個(gè)擴(kuò)展用戶組，各組之間用逗號(hào)隔開-s指定該用戶的默認(rèn)Shell解釋器-u指定該用戶的默認(rèn)UID，且必須唯一2．修改用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用usermod命令修改用戶賬號(hào)，如修改用戶名、UID、用戶家目錄、登錄Shell等，其格式為“usermod[參數(shù)]用戶名”。usermod命令中可使用的參數(shù)及其作用與useradd命令的基本相同，如-d、-g、-G、-u、-s等，這里不贅述。usermod命令中其他常用的參數(shù)及其作用如表2-4所示。表2-4usermod命令中其他常用的參數(shù)及其作用參數(shù)作用-L鎖定用戶，禁止其登錄系統(tǒng)-U解鎖用戶，允許其登錄系統(tǒng)-l僅修改用戶名3．刪除用戶賬號(hào)在Linux操作系統(tǒng)中，可以使用userdel命令刪除用戶賬號(hào)，其格式為“userdel[參數(shù)]用戶名”。如果不再使用某用戶賬號(hào)，則可以通過userdel命令刪除該用戶的所有信息。在執(zhí)行刪除操作時(shí)，使用-r參數(shù)可以在刪除用戶的同時(shí)，將用戶的家目錄及其所有子目錄和文件全部刪除。userdel命令中常用的參數(shù)及其作用如表2-5所示。表2-5userdel命令中常用的參數(shù)及其作用參數(shù)作用-f強(qiáng)制刪除用戶-r同時(shí)刪除用戶和用戶家目錄及其所有子目錄和文件任務(wù)1實(shí)施步驟（1）登錄CentOS，打開實(shí)驗(yàn)環(huán)境，如圖2-1所示，單擊“未列出？”選項(xiàng)。圖2-1登錄CentOS（2）使用root賬號(hào)進(jìn)行登錄，輸入用戶名“root”，如圖2-2所示，單擊“下一步”按鈕。圖2-2使用root賬號(hào)進(jìn)行登錄（3）輸入root賬號(hào)的密碼，如圖2-3所示，單擊“解鎖”按鈕登錄系統(tǒng)。圖2-3輸入root賬號(hào)的密碼（4）在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，如圖2-4所示。圖2-4打開命令終端窗口（5）使用命令“cat/etc/passwd”查看/etc/passwd文件的內(nèi)容，同時(shí)與系統(tǒng)管理員確認(rèn)無用的賬號(hào)。這里發(fā)現(xiàn)兩個(gè)無用的賬號(hào)，分別是hacker和qq，如圖2-5所示。圖2-5查看/etc/passwd文件（6）使用“userdelhacker”命令刪除賬號(hào)hacker，如圖2-6所示。圖2-6刪除hacker賬號(hào)（7）再次使用“cat/etc/passwd”命令查看/etc/passwd文件的內(nèi)容，確認(rèn)賬號(hào)hacker已被刪除，也可查看/etc/shadow文件的內(nèi)容，確認(rèn)賬號(hào)信息，如圖2-7所示。圖2-7確認(rèn)賬號(hào)hacker已被刪除（8）使用“usermod–Lqq”命令鎖定賬號(hào)qq，暫時(shí)禁止該用戶登錄系統(tǒng)，如圖2-8所示。圖2-8禁止用戶登錄系統(tǒng)（9）使用賬號(hào)qq登錄系統(tǒng)，輸入密碼后，提示無法登錄系統(tǒng)，如圖2-9所示。圖2-9被禁止用戶無法登錄系統(tǒng)四、任務(wù)2知識(shí)講解1、root權(quán)限賬號(hào)Linux操作系統(tǒng)通過用戶的UID來判斷用戶身份，root用戶的UID為0，擁有系統(tǒng)的最高權(quán)限?？梢酝ㄟ^修改用戶的UID來修改用戶的類型，如果把一個(gè)普通用戶的UID修改為0，那么它就擁有了root用戶的權(quán)限。很多黑客在入侵操作系統(tǒng)的時(shí)候，會(huì)利用系統(tǒng)漏洞繞過安全檢查，進(jìn)行提權(quán)操作，獲得root權(quán)限。黑客一旦獲得root權(quán)限，就會(huì)嘗試安裝后門，安裝后門的常用方法是在/etc/passwd文件中編輯新的root登錄名，修改其UID為0。系統(tǒng)管理員可以通過awk命令查看UID為0的賬號(hào)，確保UID為0的賬號(hào)只能是root賬號(hào)。2、空口令賬號(hào)在Linux操作系統(tǒng)中，為了安全起見，/etc/passwd文件中用戶的密碼處于被保護(hù)的狀態(tài)，即使用了“x”來對(duì)其進(jìn)行隱藏，實(shí)際的密碼內(nèi)容是加密后保存在/etc/\t"/qq_41781322/article/details/_blank"shadow文件中的。如果在創(chuàng)建新用戶時(shí)，沒有設(shè)置密碼，就會(huì)形成空口令賬號(hào)。在未設(shè)置用戶真實(shí)口令之前，可能會(huì)發(fā)生未經(jīng)授權(quán)使用該賬號(hào)登錄系統(tǒng)的情況，造成系統(tǒng)安全漏洞。系統(tǒng)管理員可通過編寫腳本，用diff命令將/etc/passwd文件的當(dāng)前版本與前一天的版本做比較，核實(shí)所有的修改行為是否合法，避免出現(xiàn)空口令賬號(hào)。3、管理用戶密碼在Linux操作系統(tǒng)中，使用passwd命令管理用戶密碼，其格式為“passwd[選項(xiàng)][用戶名]”。root用戶添加新用戶賬號(hào)后，必須為用戶賬號(hào)設(shè)置密碼（即使是空密碼）才能使用該賬號(hào)。普通用戶只能使用passwd命令修改自己的密碼，而root管理員則有權(quán)限修改其他所有用戶的密碼，且無須知道原來的密碼。passwd命令中常用的參數(shù)及其作用如表2-6所示。表2-6passwd命令中常用的參數(shù)及其作用參數(shù)作用-d刪除用戶密碼，使該用戶可用空密碼登錄系統(tǒng)-e強(qiáng)制用戶在下次登錄時(shí)修改密碼-l鎖定用戶賬號(hào)，禁止其登錄-u解除鎖定，允許用戶登錄-s查詢用戶賬號(hào)是否處于鎖定狀態(tài)4、awk命令awk是Linux環(huán)境下一種處理文本和數(shù)據(jù)的編程工具，它支持用戶自定義函數(shù)和動(dòng)態(tài)正則表達(dá)式等先進(jìn)功能。awk通常逐行讀入文件，然后根據(jù)相應(yīng)的命令對(duì)文本和數(shù)據(jù)進(jìn)行操作。默認(rèn)情況下，awk以空格作為分隔符。1．a(chǎn)wk基本語法awk基本語法如下。awk[option]'awk_script0'input_file1[input_file2...]即：awk[選項(xiàng)]'匹配規(guī)則或處理規(guī)則'[處理文本路徑]常用的選項(xiàng)如下。（1）-Ffs：使用fs作為輸入記錄的字段分隔符，fs是一個(gè)字符串或一個(gè)正則表達(dá)式，如果省略該選項(xiàng)，awk將使用環(huán)境變量IFS的值。（2）-ffilename：從腳本文件filename中讀取awk命令。（3）-vvar=value：為awk_script設(shè)置變量。2．a(chǎn)wk調(diào)用方法awk有3種調(diào)用方法，具體如下。（1）命令行方法：把a(bǔ)wk的腳本命令直接放在命令行中。（2）Shell腳本方法：把a(bǔ)wk的所有腳本命令放在一個(gè)腳本文件中，然后用-f選項(xiàng)來指定要運(yùn)行的腳本命令。（3）將所有awk命令插入一個(gè)單獨(dú)的文件中調(diào)用：將awk_script放入腳本文件并以#!/bin/awk-f作為首行，賦予該腳本可執(zhí)行權(quán)限，然后在Shell下通過輸入該腳本的腳本名進(jìn)行調(diào)用。3．a(chǎn)wk實(shí)例（1）搜索/etc/passwd文件中含root關(guān)鍵字的所有行。awk-F:'/root/'/etc/passwd（2）顯示/etc/passwd文件中所有的用戶賬號(hào)。awk-F:'{print$1}'/etc/passwd（3）從文件test中讀取命令。awk-ftest（4）使用awk-v命令傳遞變量參數(shù)，將文件test中第一列的值加1并打印輸出。awk-va=1’{print$1,$1+a}’test五、任務(wù)2實(shí)施步驟1．尋找未知的用戶賬號(hào)打開實(shí)驗(yàn)環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，輸入命令“grep:x:0:/etc/passwd”并按“Enter”鍵，查看用戶賬號(hào)信息。發(fā)現(xiàn)除root賬號(hào)外，還存在一個(gè)未知的hacker賬號(hào)，如圖2-10所示。這會(huì)使得系統(tǒng)存在風(fēng)險(xiǎn)，根據(jù)上節(jié)學(xué)習(xí)的內(nèi)容對(duì)該賬號(hào)進(jìn)行管理，需禁用或刪除該賬號(hào)。圖2-10尋找未知的用戶賬號(hào)2．檢查root權(quán)限賬號(hào)打開命令終端窗口，使用