網絡安全技術實踐教程（微課版）課件 第二章 Linux操作系統(tǒng)安全加固

《網絡安全技術實踐教程》第二章Linux操作系統(tǒng)安全加固本章思維導圖

隨著互聯(lián)網的不斷發(fā)展，網絡安全問題日益凸顯，黑客的攻擊手段也越來越復雜且難以防范。Linux作為一種開源的操作系統(tǒng)，其安全性一直備受關注。為確保服務器系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)的安全，某學校委托眾智科技對其Linux服務器進行安全檢測和加固。公司安排工程師小林對Linux服務器進行安全基線檢測，檢測內容包括賬號安全、root權限、FTP安全、SSH（SecureShell，安全外殼）安全、防火墻配置等，并采取相應措施對服務器進行安全加固，保障系統(tǒng)安全。項目概述【知識目標】

1、掌握Linux用戶與用戶組的管理。

2、理解FTP的功能及工作原理。

3、理解SSH的安全驗證方式。

4、了解Linux防火墻配置管理工具?！灸芰δ繕恕?、能夠對Linux系統(tǒng)進行安全加固。

2、能夠安全配置Linux系統(tǒng)下的FTP服務。

3、能夠安全配置Linux系統(tǒng)下的SSH服務。

4、能夠根據(jù)實際需要配置firewalld防火墻，防護網絡攻擊，保障系統(tǒng)安全?！舅刭|目標】

1、培養(yǎng)學生獨立分析問題、解決問題的能力。

2、培養(yǎng)學生的團隊協(xié)作精神。

3、培養(yǎng)學生的信息安全意識，樹立國家安全觀。12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略任務描述小林在對Linux服務器系統(tǒng)進行深度審查時，注意到由于運維團隊安全意識的欠缺，系統(tǒng)內積累了諸多冗余且無實際業(yè)務關聯(lián)的用戶與用戶組。對此，小林秉持嚴謹?shù)臉I(yè)務梳理原則，迅速采取行動，對這些用戶和用戶組進行了禁用或刪除處理。此舉有效縮減了潛在的攻擊面，有力提升了系統(tǒng)的整體防護能力，降低了系統(tǒng)遭受外部入侵的風險。2.1禁用或刪除無用賬號用戶的概念用戶是指實際登錄Linux操作系統(tǒng)中執(zhí)行操作的人或邏輯性的對象。在Linux操作系統(tǒng)中，不論是由本地登錄系統(tǒng)還是遠程登錄系統(tǒng)，每個用戶都必須擁有一個賬號，并且不同的用戶對于不同的系統(tǒng)資源擁有不同的使用權限。用戶賬號由用戶名和密碼構成，用戶名嚴格區(qū)分字母大小寫。用戶登錄Linux操作系統(tǒng)時，必須輸入用戶名和密碼，只有用戶名存在且與密碼相匹配時才能正常登錄。在Linux操作系統(tǒng)中，用戶由一個數(shù)字ID來標識，稱為UID（UserIdentifier，用戶標識符）。每個用戶對應一個用戶賬號，也對應唯一的UID。UID相當于身份證號碼，具有唯一性，因此可通過用戶的UID來判斷用戶的身份。用戶的分類2.1禁用或刪除無用賬號1、超級用戶：也被稱為root用戶、系統(tǒng)管理員或根用戶，擁有系統(tǒng)的最高權限，通常在系統(tǒng)維護和執(zhí)行其他必要的操作時使用，以避免安全風險，其UID為0。2、系統(tǒng)用戶：Linux操作系統(tǒng)為了避免因某個服務程序出現(xiàn)漏洞而被黑客提權至整臺服務器，默認服務程序會有獨立的系統(tǒng)用戶負責運行，進而有效控制被破壞的范圍。系統(tǒng)用戶是Linux操作系統(tǒng)正常運行所需的內置用戶，它們通常在系統(tǒng)啟動時需要執(zhí)行某些服務程序，但在默認情況下，這些用戶無法直接登錄系統(tǒng)。常見的系統(tǒng)用戶有bin、daemon、adm、ftp、mail等。3、普通用戶：由root用戶創(chuàng)建的用于日常工作的用戶都屬于普通用戶，普通用戶能夠登錄系統(tǒng)，能夠操作自身目錄的內容，但其使用系統(tǒng)的權限受到限制。/etc/passwd文件/etc/group文件/etc/passwd文件/etc/passwd文件是Linux操作系統(tǒng)識別用戶的文件，用于存儲用戶賬號信息，所有用戶都被記錄在該文件中。在用戶登錄期間，系統(tǒng)通過查詢這個文件，確定用戶的UID并驗證用戶的密碼。/etc/shadow文件，用于存儲加密后的用戶密碼，文件的默認權限是000，即除了root用戶以外，所有用戶都沒有查看或編輯該文件的權限。普通用戶只有在臨時獲得程序所有者的身份時，才能夠把變更的密碼信息寫入/etc/shadow文件中。/etc/shadow文件保存了用戶的用戶名、被加密的密碼、用戶修改密碼的時間、密碼到期時間、保留字段等信息，/etc/shadow文件和/etc/passwd文件是對應互補的。/etc/group文件是Linux操作系統(tǒng)識別用戶組的文件，用于存儲用戶名、用戶組名等基本信息，該文件中的每一行都表示一個用戶組，且每個用戶組的信息由冒號分隔為4個字段，各字段從左到右依次為：用戶組名、用戶組密碼、GID、用戶組成員列表與用戶賬號相關的系統(tǒng)文件2.1禁用或刪除無用賬號/etc/shadow文件與/etc/shadow文件一樣，/etc/gshadow文件也是出于密碼安全性的考慮而引入的，該文件存儲著加密的用戶組密碼和用戶組管理員等信息，文件中每一行的用戶組信息由冒號分隔為4個字段，各字段從左到右依次為：示用戶組名、加密后的用戶組密碼、用戶組管理員、用戶組成員列表。添加用戶用戶管理命令使用useradd命令添加用戶賬號，其格式為“useradd[參數(shù)]用戶名”。使用該命令添加用戶賬號時，默認的用戶主目錄會被存放在/home目錄中，默認的Shell解釋器為/bin/bash，且默認會創(chuàng)建一個與該用戶同名的基本用戶組。修改用戶使用usermod命令修改用戶賬號，如修改用戶名、UID、用戶主目錄、登錄Shell等，其格式為“usermod[參數(shù)]用戶名”。刪除用戶使用userdel命令刪除用戶賬號，其格式為“userdel[參數(shù)]用戶名”。如果不再使用某用戶賬號，則可以通過userdel命令刪除該用戶的所有信息。在執(zhí)行刪除操作時，使用-r參數(shù)可以在刪除用戶的同時，將用戶的主目錄及其所有子目錄和文件全部刪除。2.1禁用或刪除無用賬號任務實施2.1禁用或刪除無用賬號【任務分析】以管理員身份登錄Linux服務器，查看系統(tǒng)中是否存在無用賬號，為提高系統(tǒng)安全性，對無用賬號進行禁用和刪除?！緦嵱柇h(huán)境】硬件：一臺預裝Windows10的宿主機，安裝CentOS的虛擬機，橋接關系。【實施步驟】（1）登錄CentOS，打開實驗環(huán)境，選擇“未列出？”選項。任務實施2.1禁用或刪除無用賬號（2）使用root賬號進行登錄，輸入用戶名“root”，單擊“下一步”按鈕。任務實施2.1禁用或刪除無用賬號（3）輸入root賬號的密碼，單擊“解鎖”按鈕登錄系統(tǒng)。任務實施2.1禁用或刪除無用賬號（4）在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口。任務實施2.1禁用或刪除無用賬號（5）使用命令“cat/etc/passwd”查看/etc/passwd文件的內容，同時與系統(tǒng)管理員確認無用的賬號。這里發(fā)現(xiàn)兩個無用的賬號，分別是hacker和qq。任務實施2.1禁用或刪除無用賬號（6）使用“userdelhacker”命令刪除賬號hacker。任務實施2.1禁用或刪除無用賬號（7）再次使用“cat/etc/passwd”命令查看/etc/passwd文件的內容，確認賬號hacker已被刪除，也可查看etc/shadow文件的內容，確認賬號信息。任務實施2.1禁用或刪除無用賬號（8）使用“usermod–Lqq”命令鎖定賬號qq，暫時禁止該用戶登錄系統(tǒng)。任務實施2.1禁用或刪除無用賬號（9）使用賬號qq登錄系統(tǒng)，輸入密碼后，提示無法登錄系統(tǒng)。12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略任務描述在Linux操作系統(tǒng)中有三大類用戶，分別是root用戶、系統(tǒng)用戶和普通用戶，每類用戶的權限和所能執(zhí)行的工作任務不同。在實際的管理中，用戶的角色是通過UID來標識的，每個用戶的UID都不相同。黑客在入侵Linux操作系統(tǒng)之后，通常會通過創(chuàng)建一些特殊的賬號進行隱藏，以便后期登錄時利用。工程師小林對服務器系統(tǒng)進行安全基線檢測時，發(fā)現(xiàn)系統(tǒng)中存在一些特殊賬號，他及時對這些賬號進行了處理和加固，以保障系統(tǒng)安全。2.2檢查特殊賬號root權限賬號Linux操作系統(tǒng)通過UID來判斷用戶身份，root用戶的UID為0，擁有系統(tǒng)的最高權限?？梢酝ㄟ^修改UID來修改用戶的類型，如果把一個普通用戶的UID修改為0，那么它就擁有了root用戶的權限。很多黑客在入侵操作系統(tǒng)的時候，會利用系統(tǒng)漏洞繞過安全檢查，進行提權操作，獲得root用戶的權限。黑客一旦獲得root用戶的權限，就會嘗試安裝后門，安裝后門的常用方法是在/etc/passwd文件中編輯新的root登錄名，修改其UID為0。系統(tǒng)管理員可以通過awk命令查看UID為0的賬號，確保UID為0的賬號只能是root?？湛诹钯~號2.2檢查特殊賬號在Linux操作系統(tǒng)中，為了安全起見，/etc/passwd文件中用戶的密碼處于被保護的狀態(tài)，即使用了“x”來對其進行隱藏，實際的密碼內容是加密后保存在/etc/shadow文件中的。如果在創(chuàng)建新用戶時沒有設置密碼，則會形成空口令賬號。在未設置用戶真實口令之前，可能會發(fā)生未經授權使用該賬號登錄系統(tǒng)的情況，造成系統(tǒng)安全漏洞。系統(tǒng)管理員可通過編寫腳本，使用diff命令將/etc/passwd文件的當前版本與前一天的版本進行比較，核實所有的修改行為是否合法，避免出現(xiàn)空口令賬號。管理用戶密碼在Linux操作系統(tǒng)中，使用passwd命令管理用戶密碼，其格式為“passwd[選項][用戶名]”。root用戶添加新用戶賬號后，必須為用戶賬號設置密碼（即使是空密碼）才能使用該賬號。普通用戶只能使用passwd命令修改自己的密碼，而root管理員則有權限修改其他所有用戶的密碼，且無須知道原來的密碼。awk命令2.2檢查特殊賬號awk是Linux環(huán)境下一種處理文本和數(shù)據(jù)的編程工具，它支持用戶自定義函數(shù)和動態(tài)正則表達式等先進功能。awk通常逐行讀入文件，然后根據(jù)相應的命令對文本和數(shù)據(jù)進行操作。默認情況下，awk以空格作為分隔符。awk基本語法如下：awk[option]'awk_script0'input_file1[input_file2...]即：awk[選項]'匹配規(guī)則或處理規(guī)則'[處理文本路徑]awk有3種調用方法，具體如下。（1）命令行方法：把awk的腳本命令直接放在命令行中。（2）Shell腳本方法：把awk的所有腳本命令放在一個腳本文件中，然后用-f選項來指定要運行的腳本命令。（3）將所有awk命令插入一個單獨的文件中調用：將awk_script放入腳本文件并以#!/bin/awk-f作為首行，賦予該腳本可執(zhí)行權限，然后在Shell下通過輸入該腳本的腳本名進行調用。任務實施【任務分析】以管理員身份登錄Linux服務器系統(tǒng)，查看系統(tǒng)是否存在特殊賬號，如root權限賬號、空口令賬號等，對這些賬號進行刪除或加固，以提高系統(tǒng)安全性，降低系統(tǒng)被攻擊的風險?！緦嵱柇h(huán)境】硬件：一臺Windows10宿主機，安裝CentOS虛擬機，橋接關系?！緦嵤┎襟E】（1）尋找未知的用戶賬號打開實驗環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，輸入命令“grep:x:0:/etc/passwd”并按“Enter”鍵，查看用戶賬號信息。發(fā)現(xiàn)除root賬號外，還存在一個未知的hacker賬號，這會使得系統(tǒng)存在風險，根據(jù)上節(jié)學習的內容對該賬號進行管理，需禁用或刪除該賬號。2.2檢查特殊賬號任務實施（2）檢查root權限賬號打開命令終端窗口，使用命令“awk-F:'($3==0)'/etc/passwd”查看UID為0的賬號，確保UID為0的賬號只有root賬號。2.2檢查特殊賬號任務實施（3）檢查空口令賬號打開命令終端窗口，輸入命令“awk-F:'($2==""){print$1}'/etc/shadow”，檢查$2位是否為空，為空則輸出$1位的用戶名，發(fā)現(xiàn)test用戶賬號的密碼為空。2.2檢查特殊賬號任務實施（4）加固空口令賬號對空口令并且可登錄的賬號，按照系統(tǒng)密碼強度要求，為其設置賬號密碼。對步驟（3）中的test賬號設置密碼。2.2檢查特殊賬號12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略2.3限制用戶對su命令的使用任務描述Linux操作系統(tǒng)出于安全性考慮，限制了許多系統(tǒng)命令和服務只能由root管理員使用，但是這讓普通用戶受到了更多的權限束縛，從而導致無法順利完成特定的工作任務。su命令可以滿足用戶切換身份的需求，使得當前用戶在不退出登錄的情況下，順暢地切換到其他用戶，例如，從root管理員切換到普通用戶，或者從普通用戶切換到root管理員。工程師小林在對服務器系統(tǒng)進行安全基線檢測時發(fā)現(xiàn)su命令存在安全隱患，給系統(tǒng)帶來了安全風險，小林及時限制了用戶對su命令的使用，保障了系統(tǒng)安全。su命令su命令簡介在Linux操作系統(tǒng)中，默認情況下，所有用戶都可以使用su命令切換用戶。su命令的格式如下：su-目標用戶使用su命令從root用戶切換到普通用戶時不需要進行密碼驗證，而從普通用戶切換到root用戶時需要進行密碼驗證。su命令的安全隱患在默認情況下，任何用戶都可以使用su命令進行用戶切換，這樣就有機會通過su命令無限次地去嘗試其他用戶（如root用戶）的登錄密碼，從而給系統(tǒng)帶來安全隱患。sudo提權機制Linux操作系統(tǒng)通過sudo命令把特定的執(zhí)行權限賦予指定用戶，既保證了普通用戶能夠完成特定的工作任務，又避免了泄露特權密碼。sudo命令用于給普通用戶提供額外的權限來完成原本root用戶才能完成的工作任務，它需要借助修改配置文件/etc/sudoers來完成對用戶的管理。

2.3限制用戶對su命令的使用任務實施【任務分析】以管理員身份登錄Linux服務器，使用sudo命令為普通用戶分配合理的權限，讓他們執(zhí)行一些只有root用戶或其他特權用戶才能完成的任務，降低使用su命令帶來的安全風險，保障系統(tǒng)安全?！緦嵱柇h(huán)境】硬件：一臺Windows10宿主機，安裝CentOS虛擬機，橋接關系。【實施步驟】（1）開啟pam_wheel認證。打開實驗環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，編輯完成后的文件如圖所示。將開頭的“#”號刪除后保存文件并退出，開啟pam_wheel認證編輯/etc/pam.d/su文件。2.3限制用戶對su命令的使用任務實施（2）新建用戶賬號user，因為其不屬于wheel組，所以不能使用su命令。2.3限制用戶對su命令的使用任務實施（3）將user賬號添加至wheel組，使得user賬號可使用su命令進行用戶切換。2.3限制用戶對su命令的使用任務實施（4）使用sudo命令編輯/etc/sudoers文件，添加配置，使得賬號user能夠具有添加新用戶的權限。2.3限制用戶對su命令的使用任務實施（5）使用su命令切換至user用戶，然后使用命令sudouseradduser1添加新用戶，說明用戶user獲得了添加新用戶的權限。2.3限制用戶對su命令的使用任務實施（6）執(zhí)行命令iduser1，查看用戶user1已添加成功。2.3限制用戶對su命令的使用12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略2.4限制FTP登錄任務描述FTP是用來在兩臺計算機之間傳輸文件的通信協(xié)議，一臺計算機作為FTP服務器，一臺計算機作為FTP客戶端。無論是PC（PersonalComputer，個人計算機）、服務器、大型機，還是iOS、Linux、Windows等操作系統(tǒng)，只要雙方都支持FTP，就可以方便地實現(xiàn)共享文件、上傳文件、下載文件和刪除文件等操作。但由于FTP的簡單性，且不提供加密功能，它在某些情況下通常比更先進的文件傳輸協(xié)議[如SFTP（SecureFileTransferProtocol，安全文件傳輸協(xié)議）]更易受到攻擊。因此，在使用FTP進行敏感數(shù)據(jù)傳輸或遠程管理時，應格外小心并采取適當?shù)陌踩胧?。工程師小林檢查了Linux服務器系統(tǒng)下vsftp軟件的安裝和配置，并進行了FTP安全配置和加固，保障了系統(tǒng)安全。匿名用戶登錄FTP登錄模式使用用戶名anonymous，無須輸入密碼即可登錄FTP服務器，是一種最不安全的登錄模式。

本地用戶登錄當進入FTP登錄窗口時，需要輸入正確的用戶名和密碼方可登錄FTP服務器。但如果黑客破解了賬戶信息，則可以暢通無阻地登錄FTP服務器，從而完全控制整臺服務器。虛擬用戶登錄將登錄用戶映射到指定的系統(tǒng)賬號（/sbin/nologin）來訪問FTP資源。這

種模式為FTP服務單獨建立用戶數(shù)據(jù)庫文件，虛擬出用來進行口令驗證的賬戶信息，而這些賬戶信息在服務器系統(tǒng)中是不存在的，僅供FTP服務程序進行認證時使用。這樣，即使黑客破解了賬戶信息也無法登錄服務器，從而有效降低了其破壞范圍和影響。這種模式是3種登錄模式中最安全的。

2.4限制FTP登錄1324客戶端發(fā)送連接請求?？蛻舳讼蚍掌靼l(fā)送連接請求，同時客戶端系統(tǒng)動態(tài)打開一個大于

1024的端口（如1031端口）等候服務器連接。

建立FTP會話連接。當FTP服務器在端口21監(jiān)聽到該請求后，會在客戶端的1031端口和服

務器的21端口之間建立起一個FTP會話連接。

數(shù)據(jù)傳輸。當需要傳輸數(shù)據(jù)時，F(xiàn)TP客戶端會動態(tài)打開一個大于1024的端口（如1032端口）

連接到服務器的20端口，并在這兩個端口之間進行數(shù)據(jù)傳輸。

自動釋放動態(tài)分配的端口。數(shù)據(jù)傳輸完畢后，F(xiàn)TP客戶端將斷開與FTP服務器的連接，客戶

端上動態(tài)分配的端口將自動釋放。

FTP的工作過程2.4限制FTP登錄由FTP服務器主動連接FTP客戶端的數(shù)據(jù)端口。FTP客戶端會先隨機開啟一個大于1024的端口N（如1025端口），并和FTP服務器的21端口建立連接，再開放N+1端口（如1026端口）進行監(jiān)聽。FTP客戶端在需要接收數(shù)據(jù)時，會向FTP服務器發(fā)送PORT命令，F(xiàn)TP服務器通過自己的TCP20端口，主動向FTP客戶端的1026端口傳輸數(shù)據(jù)，如右圖所示，其中，S表示源端口，D表示目的端口。2.4限制FTP登錄FTP主動傳輸模式FTP服務器被動地等待FTP客戶端連接自己的數(shù)據(jù)端口。FTP客戶端會先隨機開啟一個大于1024的端口N（如1025端口），并向FTP服務器的21端口發(fā)起連接，同時會開啟N+1端口（如1026端口），向FTP服務器發(fā)送PASV命令，通知FTP服務器進入被動傳輸模式。FTP服務器收到命令后，開放一個大于1024的端口（如1521端口）進行監(jiān)聽，使用PORT命令通知FTP客戶端，自己的數(shù)據(jù)端口是1521。FTP客戶端收到命令后，通過1026端口連接FTP服務器的端口1521，并在兩個端口之間進行數(shù)據(jù)傳輸。2.4限制FTP登錄FTP被動傳輸模式vsftpd服務vsftpd（VerySecureFTPDaemon，非常安全的FTP守護進程）是一款運行在Linux操作系統(tǒng)上的完全免費的、開源的FTP服務器軟件，它支持很多其他FTP服務器所不支持的特性，如非常高的安全性需求、帶寬限制、良好的可伸縮性、支持IPv6、高速率等。同時，vsftpd支持虛擬用戶和虛擬目錄，便于系統(tǒng)管理員進行用戶管理。vsftpd提供了系統(tǒng)用戶、匿名用戶和虛擬用戶3種不同的用戶，所有的虛擬用戶會映射為一個系統(tǒng)用戶，訪問時的文件目錄為該系統(tǒng)用戶的主目錄。

2.4限制FTP登錄任務實施【任務分析】以管理員身份登錄Linux服務器，進行FTP安全配置和加固。禁止從匿名方式登錄服務器，降低系統(tǒng)被入侵的風險?！緦嵱柇h(huán)境】硬件：一臺Windows10宿主機，安裝CentOS虛擬機，橋接關系。

軟件：vsftpd。【實施步驟】（1）登錄Linux服務器，執(zhí)行命令rpm-qa|grepvsftp查看是否安裝了vsftp服務。是否安裝了vsftp服務，顯示已安裝vsftp服務。2.4限制FTP登錄任務實施（2）切換至/etc/vsftpd/目錄，查看VSFTP配置文件列表。2.4限制FTP登錄任務實施（3）打開ftpusers文件，查看禁止訪問FTP服務器的用戶名單。2.4限制FTP登錄任務實施（4）登錄Windows系統(tǒng)，打開“命令提示符”窗口，進入FTP模式，使用open命令連接FTP服務器。2.4限制FTP登錄任務實施（5）輸入用戶名“anonymous”，使用匿名賬號進行登錄，不需要輸入密碼，按“Enter”鍵即可登錄FTP服務器。2.4限制FTP登錄任務實施（6）登錄FTP服務器，編輯/etc/vsftpd/vsftpd.conf配置文件。2.4限制FTP登錄任務實施（7）修改配置，禁止匿名用戶登錄。2.4限制FTP登錄任務實施（8）使用命令systemctlrestartvsftpd重啟vsftpd服務。2.4限制FTP登錄任務實施（9）再次登錄Windows系統(tǒng)，打開“命令提示符”窗口，進入FTP模式，使用匿名用戶登錄FTP服務器，提示登錄失敗。2.4限制FTP登錄任務實施（10）修改FTP默認端口號，登錄FTP服務器，編輯/etc/vsftpd/vsftpd.conf配置文件，添加語句listen_port=4449，該語句指定了修改后FTP服務器的端口號，修改完成后需使用systemctlrestartvsftpd命令重啟vsftpd服務。2.4限制FTP登錄任務實施（11）登錄Windows系統(tǒng)，打開“命令提示符”窗口，進入FTP模式，使用open命令連接FTP服務器，并輸入修改后的端口號“4449”，提示連接成功，要求輸入用戶名。2.4限制FTP登錄12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略任務描述SSH主要用于遠程登錄服務器和安全傳輸文件。然而，最近的研究表明，在SSH連接中存在漏洞，可能被黑客利用以攻擊服務器。安全威脅監(jiān)控平臺Shadowserver最近的一份研究報告表明，互聯(lián)網上有近1100萬臺SSH服務器容易受到水龜攻擊（TerrapinAttack）。水龜攻擊是德國波鴻魯爾大學安全研究人員開發(fā)的新攻擊技術，一旦攻擊成功，攻擊者可以破壞管理員通過SSH會話建立的安全連接，導致計算機、云和其他敏感環(huán)境受到損害。工程師小林通過查看SSH服務器端配置，發(fā)現(xiàn)SSH服務器端存在允許空密碼登錄等不安全配置，于是他及時對SSH服務進行加固，降低了系統(tǒng)被攻擊的風險。2.5檢查SSH服務SSH簡介SSH是一種建立在應用層基礎上的安全協(xié)議，用于建立加密的遠程登錄會話，具有高安全性、速度快

和支持遠程命令執(zhí)行等優(yōu)勢。傳統(tǒng)遠程登錄和文件傳輸方式（如Telnet、FTP等）使用明文傳輸數(shù)據(jù)，存在很大的安全隱患。隨著人們對網絡安全越來越重視，這些方式已慢慢不被接受。SSH協(xié)議通過對網絡數(shù)據(jù)進行加密和驗證，在不安全的網絡環(huán)境中提供了安全的網絡服務。作為Telnet等不安全遠程Shell協(xié)議的安全替代方案，目前SSH協(xié)議已經被全世界廣泛用于遠程登錄、文件傳輸、服務部署和管理等場景。

2.5檢查SSH服務

SSH協(xié)議目前存在SSH1.x（SSH2.0之前的版本）和SSH2.0。相對于SSH1.x協(xié)議而言，SSH2.0協(xié)議在結構上進行了擴展，可以支持更多的認證方法和密鑰交換算法，同時提高了服務能力。SSH服務器和客戶端通過協(xié)商確定最終使用的SSH版本號。

2、版本號協(xié)商SSH工作過程中需要使用多種類型的算法，包括用于產生會話密鑰的密鑰交換算法、用于數(shù)據(jù)信息加密的對稱加密算法、用于進行數(shù)字簽名和認證的公鑰（PublicKey）算法和用于數(shù)據(jù)完整性保護的HMAC（Hash-basedMessageAuthenticationCode，基于哈希的消息認證碼）算法。SSH服務器和客戶端對每種類型中的具體算法的支持情況不同，因此雙方需要協(xié)商確定每種類型中最終使用的算法。

3、算法協(xié)商SSH服務器和客戶端通過密鑰交換算法，動態(tài)生成共享的會話密鑰和會話ID，建立加密通道。會話密鑰主要用于后續(xù)數(shù)據(jù)傳輸?shù)募用?，會話ID用于在認證過程中標識SSH連接。該階段還會完成SSH客戶端對SSH服務器的身份認證，服務器先使用服務器私鑰（PrivateKey）對消息進行簽名，客戶端再使用服務器公鑰驗證簽名，從而完成客戶端對服務器的身份認證。

4、密鑰交換SSH工作流程SSH依賴端口進行通信。在未建立SSH連接時，SSH服務器會在指定端口監(jiān)聽連接請求，SSH客戶端向SSH服務器的指定端口發(fā)起連接請求后，雙方建立一個TCP連接，后續(xù)會通過該端口進行通信。默認情況下，SSH服務器使用端口22。1、連接建立2.5檢查SSH服務認證通過后，SSH客戶端向服務器發(fā)送會話請求，請求服務器提供某種類型的服務，即請求與服務器建立相應的會話。服務器根據(jù)客戶端請求進行回應。6、會話請求會話建立后，SSH服務器和客戶端在該會話上進行數(shù)據(jù)交互，雙方發(fā)送的數(shù)據(jù)均使用會話密鑰進行加解密。7、數(shù)據(jù)交互SSH工作流程SSH客戶端向SSH服務器發(fā)起用戶認證請求，SSH服務器對SSH客戶端進行認證。SSH用戶認證的兩種方式是密碼認證和密鑰認證。密碼認證的基本原理是SSH客戶端使用對稱密鑰對密碼進行加密，SSH服務器使用對稱密鑰解密后驗證密碼的合法性，這種認證方式比較簡單，但每次登錄都需要輸入用戶名和密碼。而密鑰認證可以實現(xiàn)安全性更高的免密登錄，其基本原理是SSH客戶端使用客戶端私鑰對消息進行簽名，服務器再使用客戶端公鑰驗證簽名。這是一種廣泛使用且推薦的方式。

5、用戶認證2.5檢查SSH服務SSH連接至遠程主機

SSH常用命令命令格式如下：

sshname@remoteserver或者

sshremoteserver-lnameSSH連接至遠程主機指定的端口

命令格式如下：

sshname@remoteserver-p2222或者

sshremoteserver-lname-p22222.5檢查SSH服務SSH安全設置修改默認端口禁止空密碼登錄禁止root用戶通過SSH登錄取消密碼驗證只允許通過指定網段訪問

修改默認端口：編輯SSH服務配置文件/etc/ssh/sshd_config，將Port參數(shù)值修改為允許訪問的端口。

禁止空密碼登錄：編輯SSH服務配置文件/etc/ssh/sshd_config，將PermitEmptyPasswords參數(shù)值修改為no。取消密碼驗證方式，只使用密鑰對驗證方式登錄：編輯SSH服務配置文件/etc/ssh/sshd_config，將PasswordAuthentication參數(shù)值修改為no。禁止root用戶通過SSH登錄：編輯SSH服務配置文件/etc/ssh/sshd_config，將PermitRootLogin參數(shù)值修改為no。

只允許通過指定網段訪問SSH服務：編輯SSH服務配置文件/etc/ssh/sshd_config，ListenAddress參數(shù)值修改為允許訪問SSH的網段。

2.5檢查SSH服務任務實施【任務分析】以管理員身份登錄Linux服務器，編輯/etc/ssh/sshd_config配置文件，對SSH服務器進行安全加固。【實訓環(huán)境】硬件：一臺預裝Windows10的宿主機，安裝CentOS虛擬機，網絡連接設置為僅主機模式。軟件：openssh?！緦嵤┎襟E】（1）登錄SSH服務器端，使用命令cat/etc/ssh/sshd_config查看配置文件，顯示SSH服務的默認端口為22。2.5檢查SSH服務任務實施（2）登錄SSH客戶端（IP地址為29），執(zhí)行命令ssh-keygen生成公鑰。2.5檢查SSH服務任務實施（3）登錄SSH客戶端，執(zhí)行命令ssh-copy-id28，將公鑰傳至服務器端（IP地址為28），此時需要輸入服務器端root賬戶的密碼。2.5檢查SSH服務任務實施（4）登錄SSH客戶端，執(zhí)行命令sshroot@28遠程登錄服務器端，不需要輸入密碼。2.5檢查SSH服務任務實施（5）編輯配置文件/etc/ssh/sshd_config，修改PermitRootLogin為no，禁止root用戶通過SSH登錄。2.5檢查SSH服務任務實施（6）執(zhí)行systemctlrestartsshd命令重啟SSH服務，重啟后執(zhí)行命令systemctlstatussshd查看SSH服務狀態(tài)。2.5檢查SSH服務任務實施（7）登錄SSH客戶端，以root用戶身份遠程登錄SSH服務器端，輸入正確的root用戶密碼，提示登錄失敗。2.5檢查SSH服務任務實施（8）登錄SSH服務器端，編輯配置文件/etc/ssh/sshd_config，將SSH服務的默認端口號修改為2220，同時修改PermitRootlogin為yes，允許root用戶通過SSH登錄。2.5檢查SSH服務任務實施（9）登錄SSH客戶端，執(zhí)行命令sshroot@28-p2220遠程登錄SSH服務器端。2.5檢查SSH服務12.1禁用或刪除無用賬號22.2檢查特殊賬號32.3限制用戶對su命令的使用目錄CONTENTS42.4限制FTP登錄52.5檢查SSH服務62.6配置防火墻策略任務描述防火墻是保障網絡安全的基本工具，通過在服務器與外部訪客之間建立過濾機制，防火墻在網絡層面上實現(xiàn)了安全防范。防火墻作為公網與內網之間的保護屏障，在保障數(shù)據(jù)安全方面起著至關重要的作用。當前在Linux操作系統(tǒng)中存在多個防火墻管理工具，新的Linux發(fā)行版本使用firewalld服務取代以前的iptables服務來定義防火墻策略。實際上，iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理，而firewalld服務則是把配置好的防火墻策略交由內核層面的nftables包過濾框架來處理，它們在防火墻策略的配置思路上是保持一致的。工程師小林通過配置Linux防火墻策略，以達到保護系統(tǒng)數(shù)據(jù)安全的目的。2.6配置防火墻策略firewalld簡介firewalld是Linux操作系統(tǒng)默認的防火墻配置管理工具，它擁有基于CLI（CommandLineInterface，命令行界面）和基于GUI（GraphicalUserInterface，圖形用戶界面）的兩種管理方式。相較于傳統(tǒng)的防火墻配置管理工具，firewalld支持動態(tài)更新技術并加入了區(qū)域（Zone）的概念。區(qū)域是firewalld預先準備的幾套防火墻策略集合（策略模板），用戶可以根據(jù)實際應用場景選擇合適的策略集合，從而實現(xiàn)防火墻策略的快速切換。進行任何規(guī)則的變更都不需要對整個防火墻規(guī)則列表進行重新加載，只需要將變更部分保存并更新即可，極大地提升了防火墻策略的應用效率。firewalld同時具備對IPv4和IPv6防火墻設置的支持。

2.6配置防火墻策略firewalld中常見的區(qū)域及相應的默認規(guī)則策略

2.6配置防火墻策略運行時（Runtime）模式firewalld配置模式又稱為當前生效模式，能夠立即生效，但在系統(tǒng)重啟后會失效，它不中斷現(xiàn)有連接，且無法修改服務配置。永久（Permanent）模式不立即生效，但在系統(tǒng)重啟后會生效，或者立即同步后生效，它會中斷現(xiàn)有連接，同時可以修改服務配置。與Linux系統(tǒng)中其他的防火墻配置管理工具一樣，使用firewalld配置的防火墻策略默認為運行時模式，隨著系統(tǒng)的重啟會失效。如果想讓防火墻策略一直存在，就需要使用永久模式，其方法是在用firewall-cmd命令正常設置防火墻策略時添加--permanent參數(shù)，這樣配置的防火墻策略就可以永久生效。如果想讓配置的防火墻策略立即生效，則需要手動執(zhí)行firewall-cmd--reload命令。2