RHCE認證253安全管理.ppt

第一單元 服務(wù) 任課講師 服務(wù) 網(wǎng)絡(luò)服務(wù) 根據(jù)其使用的方法來分 可以被分為三類由init控制的服務(wù)由SystemV啟動腳本啟動的服務(wù)由xinetd管理的服務(wù) 由init控制的服務(wù) 配置在 etc inittab中可以設(shè)置respawn參數(shù)在服務(wù)每次被關(guān)閉時自動重啟inittab文件被改變后 可以用initq來使改動生效 由SystemV啟動的服務(wù) 由 etc rc d init d 目錄下的SystemV腳本啟動 etc rc d init d script start stop restart 也可以用service命令來執(zhí)行腳本 在不同運行級別下的默認開關(guān)可以不同用chkconfig來管理在有些地方也被稱為standalone的服務(wù) 由xinetd管理的服務(wù) 由xinetd管理xinetddaemon服務(wù)管理文件放在 etc xinetd d 目錄下編輯服務(wù)文件來開關(guān)服務(wù)重啟xinetd chkconfig SystemV 決定在切換入某個運行級別下時 服務(wù)打開還是關(guān)閉xinetd 在xinetd服務(wù)正在運行的情況下 直接開啟或關(guān)閉基于xinetd的服務(wù) 第二單元 DNS 任課講師 DNS DNS DomainNameService 域名服務(wù)支持將計算機的域名解析成IP地址 正向搜索 支持將IP地址解析成計算機的域名 反向搜索 允許計算機根據(jù)邏輯組合成一個一個名字域 區(qū) 域及授權(quán) 一個域 domain 包含一個完整的分級域名下層樹一個區(qū) zone 則是域的一部分 被一個具體詳細的服務(wù)器所管理子域可以被授權(quán)成為附加的域一個區(qū)可以直接管理子域 英特網(wǎng)上的分級DNS 根域名服務(wù)器作為區(qū)認證域名服務(wù)器的最高級別域名服務(wù)器存在為遞歸查詢提供權(quán)威解釋區(qū)認證域名服務(wù)器區(qū)的劃分與認證主域名服務(wù)器與從域名服務(wù)器 主域和從域 主域服務(wù)器擁有一個域的主復(fù)制數(shù)據(jù)從域服務(wù)器為主服務(wù)器提供自動數(shù)據(jù)備份每一個從服務(wù)器都會自動從主服務(wù)器處同步更新數(shù)據(jù) 客戶端DNS 客戶端產(chǎn)生對IP與主機名解析的需求 通常DNS客戶端上有許多程序運行時需要解析客戶端檢索本地數(shù)據(jù)文件的相關(guān)記錄客戶端將無法自行解釋的需求 通過53端口送給指定的DNS服務(wù)器收回的數(shù)據(jù)也許并不權(quán)威 服務(wù)端DNS 服務(wù)端接受請求如果自己無法給出回答 則可能將請求轉(zhuǎn)發(fā)給上級服務(wù)器 或直接詢問根域名服務(wù)器其上級服務(wù)器有可能給出回答 或進一步轉(zhuǎn)交給其他域名服務(wù)器一個服務(wù)器上可以記錄多個域的數(shù)據(jù) BIND BIND BerkeleyInternetNameDaemonBIND是在Internet上應(yīng)用最為廣泛的DNS服務(wù)器提供穩(wěn)定與可信賴的下層結(jié)構(gòu)以提供域名與IP地址的轉(zhuǎn)換 BIND服務(wù)一覽 后臺進程 named腳本 etc rc d init d named使用端口 53 tcp udp 所需RPM包 bind bind utils相關(guān)RPM包 bindconf caching nameserver配置文件 etc named conf相關(guān)路徑 var named etc sysconfig named named進程被SystemV腳本激活后 會根據(jù)此文件的參數(shù)決定其運行參數(shù) 例如 OPTION d5 將debug等級設(shè)為5 etc named conf named conf是BIND使用的默認配置文件在每一次named啟動與掛起時都會被讀取一個簡單的文本文件 其中記錄的可以包括options 全局參數(shù) zone 區(qū)域定義 accesscontrollists 訪問控制列表 等 option 在 etc named conf的options段中被宣告常用的參數(shù)包括directory 指定zonefile的存放位置forwarders 指定其上級域名服務(wù)器allow query 指定允許向其提交請求的客戶allow transfer 指定允許復(fù)制zone數(shù)據(jù)的主機 主域 由一個zone段在 etc named conf中宣告typemaster file 存放該zone數(shù)據(jù)的文件名必須存在于options段中提及的目錄之下文件名可以隨意allow update 允許動態(tài)更新該zone數(shù)據(jù)的客戶機 從域 由一個zone段在 etc named conf中宣告typeslave master 指定其主域名服務(wù)器對應(yīng)的主域名服務(wù)器必須承認并存放有該區(qū)域的數(shù)據(jù)file 本地用于存放zone數(shù)據(jù)的文件從域名服務(wù)器總是試圖與其master聯(lián)系并獲取一份當(dāng)前數(shù)據(jù)的副本 反解析域 域的名字必須用 in addr arpa來結(jié)尾由一個zone段在 etc named conf中宣告反解析域一般對應(yīng)到一個具體的IP段反解析域同樣可以配置為從域許多服務(wù)會嘗試進行反解析 根域 根域 zone IN typehint file named ca zone文件 文件通常存放在 var named目錄下用于存放指定域內(nèi)的各種資源與數(shù)據(jù)第一段資源記錄被成為起始授權(quán)記錄 SOA 每一個在 etc named conf中定義的zone都應(yīng)該對應(yīng)一個具體的zone文件 資源記錄 SOA 定義起始授權(quán)NS 指定域名服務(wù)器MX 指定郵件服務(wù)器A 將一個域名解析成其后的IPCNAME 將一個域名設(shè)置為另一個域名的別名PTR 將一個IP地址指向一個域名 SOA記錄 SOA StartofAuthority 起始授權(quán)每一個域文件中都應(yīng)該有一個SOA段 INSOAlocalhost root localhost 1997022700 Serial28800 Refresh14400 Retry3600000 Expire86400 Minimum NS記錄 NS nameserver 域名服務(wù)器每一個主域名服務(wù)器和從域名服務(wù)器都應(yīng)該擁有一條NS記錄 以防止主服務(wù)器在出現(xiàn)故障后 從服務(wù)器不能及時提供服務(wù) INNSINNS 資源記錄 A記錄用于將主機名對應(yīng)成IP地址CNAME記錄用于定義某一個地址的別名PTR記錄用于將IP地址對應(yīng)成一個主機名 MX與HINFO記錄 MX 用于定義某一個域里負責(zé)的郵件服務(wù)器每一條MX記錄前都需要指定優(yōu)先級別INMX5mailHINFO記錄提供解析時對一臺主機做補充注釋server1INHINFOmasterserver RoundRobin 利用復(fù)數(shù)A記錄來均衡數(shù)臺服務(wù)器的訪問負載www0INA192 168 0 3www0INA192 168 0 4www0INA192 168 0 5 rndc 域名服務(wù)器控制程序安全防范 遠程控制運行的域名服務(wù)器使用TSIG安全例如 root stationxxroot rndcreloadrndc默認只監(jiān)聽本地loopback端口 BIND語法檢查工具 在BIND出錯時使用如下工具 named checkconf默認檢查的配置文件是 etc fnamed checkzone檢查一個Zone文件的配置 redhat config bind 圖形界面下的BIND配置工具簡單清晰地完成BIND配置可對應(yīng)多個版本的BIND配置文件存放在 etc alchemist namespace dns local adl 第三單元 Samba 任課講師 SAMBA原理概述 SAMBA SendMessageBlock整合了SMB協(xié)議及Netbios協(xié)議 使其運做在TCP IP上 能夠讓Unixbased的機器與windows互動 SAMBA服務(wù)有兩個進程 smbd SMB服務(wù)器nmbd netbios名字服務(wù)器 SAMBA服務(wù)一覽 后臺進程 smbd nmbd腳本 etc rc d init d smb使用端口 137 138 139所需RPM包 samba samba common samba client相關(guān)RPM包 samba swat配置文件 etc samba smb conf SAMBA的配置 samba的配置文件 etc samba smb conf由數(shù)個 將配置文件分成數(shù)段 例如 global 一些全局配置 homes 讓用戶可以訪問其主目錄 printers 定義共享的打印機資源圖形界面下的配置工具SWAT SambaWebAdminTool redhat config samba 全局設(shè)置 全局設(shè)置寫在 global 段內(nèi) 主要是指samba服務(wù)器的一些全局設(shè)定workgroupserverstringhostsallowsecurityencryptpasswordssmbpasswdfile 共享段 共享段用于在samba服務(wù)器上開放共享目錄一般每一個 表示一個指定的共享目錄 內(nèi)寫的是目錄的共享名 測試samba服務(wù) 用戶可以利用testparm指令來檢查smb conf文件的語法 只能檢查關(guān)鍵字段的拼寫錯誤 對于配置值錯誤需要結(jié)合日志文件來判斷 用戶可以用servicesmbstatus判斷samba服務(wù)的開啟狀況用戶可以用nmblookup來檢查本機上的samba服務(wù)是否正確開啟 管理smb用戶 samba服務(wù)支持用戶級別的共享限制使用smbadduser添加可以使用smb服務(wù)的用戶 語法 smbadduserlinux帳號 windows帳號使用smbpasswd改變用戶的密碼 用戶密碼存放在 etc samba smbpasswd文件中用戶映射存放在 etc samba smbuser文件中 smbclient 可以用來向服務(wù)器請求samba服務(wù)資源列表smbclient L主機名可以用來象一個ftp客戶端一樣訪問samba共享資源smbclient Ustudent XXX server1 tmp smbmount smbmount可以將遠端的一個window共享目錄 或Unix系統(tǒng)通過samba服務(wù)共享出來的目錄 掛載到自己的Linux文件系統(tǒng)上 語法 smbmount server1 tmp mnt tmp o username student password XXX用于替代mount tsmb 第四單元 電子郵件服務(wù) 任課講師 郵件發(fā)送模型 郵件用戶代理 MUA 將信息傳送給郵件傳輸代理 MTA 郵件傳輸代理決定信息送至目的地的路由 然后根據(jù)情況決定是否還需要將信息交給中介郵件傳輸代理域郵件傳輸代理將郵件送至郵件投遞代理 MDA 用戶收到郵件 SMTP協(xié)議 SMTP SimpleMailTransferProtocol 簡單郵件傳送協(xié)議定義郵件傳送基于TCP服務(wù)的應(yīng)用層RFC0821明文傳送 SMTP協(xié)議的使用 SMTP協(xié)議使用25端口SMTP協(xié)議命令HELO 通報來訪者地址MAILFROM 發(fā)件人地址RCPTTO 收件人地址DATA 輸入正文內(nèi)容 用單獨的 為行結(jié)束QUIT 連線結(jié)束 安全與反垃圾郵件策略 安全策略拒絕從無法解析的域送來的郵件建立各種基于主機 用戶 域的訪問控制默認配置僅允許本地收發(fā)不再使用setuid的工具反垃圾郵件策略默認情況下不做轉(zhuǎn)發(fā)建立訪問數(shù)據(jù)庫檢查郵件信頭 sendmail sendmail是使用十分廣泛的郵件提交工具 MSP 在郵件模型中承擔(dān)著MTA及MDA的作用支持多種類型的郵件地址尋址支持虛擬域及虛擬用戶允許用戶及主機偽裝提供在投遞失敗后自動重發(fā)等多種錯誤應(yīng)對策略 sendmail服務(wù)一覽 后臺進程 sendmail腳本 etc init d sendmail使用端口 25 smtp 所需RPM包 sendmail sendmail cf sendmail doc配置文件 etc sendmail cf etc aliases etc mail usr share sendmail cf 相關(guān)服務(wù) procmail sendmail的主要配置文件 etc sendmail cf是默認的sendmail主要配置文件包含域別名段 信頭格式段 轉(zhuǎn)發(fā)規(guī)則等數(shù)據(jù)很少被直接修改 etc mail submit cf被用于每次sendmail被一個用戶工具所調(diào)用的時候通常不需要修改 用m4生成sendmail cf m4是UNIX下使用的傳統(tǒng)宏處理器sendmail cf可以由一個宏文件經(jīng)m4處理后得到RedHat默認使用 etc mail sendmail mc為 etc sendmail cf的宏文件m4 etc mail sendmail mc etc sendmail cf我們推薦使用m4處理sendmail mc來得到sendmail cf 編輯sendmail mc 每一個sendmail mc宏應(yīng)該定義了操作系統(tǒng)類型 文件位置 請求特征及郵件發(fā)送工具 用戶列表在每一行的開頭添加dnl表示注釋默認情況下 sendmail服務(wù)器只偵聽本地的連接注釋DAEMON OPTION PORT smtp Addr 127 0 0 1 Name MTA 其他有用的配置 FEATURE accept unresolvable domains 接受無法反向解析的域來的郵件FEATURE dnsbl 支持根據(jù)dns黑洞列表來拒絕垃圾郵件FEATURE relay based on MX 自動接受DNS中MX記錄來源的郵件轉(zhuǎn)發(fā)FEATURE blacklist recipients 允許使用黑名單查禁收件人 etc mail access 用于定義接受或拒絕的郵件來源 格式 IP 域名設(shè)定值設(shè)定值 REJECT 拒絕OK 無條件接受RELAY 允許轉(zhuǎn)發(fā)DISCARD 丟棄 etc mail virtusertable 允許在郵件服務(wù)中使用虛擬域及虛擬用戶并自動映射 joe joe wenhua orgroot wenhua orgeddy eddy wenhua org etc aliases 定義本地用戶的別名別名后的映射對象可以是 一個本地用戶多個本地用戶 用逗號分隔 本地文件 需要指出路徑 指令 需要管道 另一個email地址設(shè)定完 etc aliases后 需要運行newaliases更新aliases db 郵件收取 MDA將收到的信件根據(jù)用戶存放在 var spool mail下 var spool mail目錄下每一個文件對應(yīng)與文件名同名的用戶用戶使用mail等工具閱讀完信后 未被刪除的郵件會自動轉(zhuǎn)存到用戶主目錄下的mbox文件中 POP3協(xié)議 POP3 PostOfficeProtocol3 郵局協(xié)議第三版POP3協(xié)議適用于不能時時在線的郵件用戶 支持客戶在服務(wù)器上租用信箱 然后利用POP3協(xié)議向服務(wù)器請求下載基于TCP IP協(xié)議與客戶端 服務(wù)端模型POP3的認證與郵件傳送都采用明文 使用pop3協(xié)議 POP3協(xié)議使用110端口POP3協(xié)議命令USER 通報用戶名PASS 輸入密碼LIST 列出所有郵件大小RETR 閱讀郵件DELE 刪除郵件QUIT 連線結(jié)束 配置pop3服務(wù)器 pop3服務(wù)一般是基于xinetd的服務(wù)可以通過兩種方式開啟和關(guān)閉服務(wù)編輯 etc xinetd d ipop3并重啟xinetd使用chkconfig來開啟或關(guān)閉服務(wù) IMAP IMAP InternetMessageAccessProtocol 英特網(wǎng)信息存取協(xié)議另一種從郵件服務(wù)器上獲取郵件的協(xié)議與POP3相比 支持在下載郵件前先行下載郵件頭以預(yù)覽郵件的主題來源基于TCP IP使用143端口 郵件接收工具 mozilla mailmozilla下的郵件接收工具采用netscapemail的風(fēng)格evolutionGNOME下的默認郵件接收工具采用windows下的outlook風(fēng)格kmailkde下的郵件接收工具fetchmail字符界面下的郵件接收工具 配置fetchmail fetchmail支持多種郵件接收協(xié)議fetchmail的配置文件是用戶主目錄下的 fetchmailrc文件 fetchmailrc 中每一行代表一個郵件信箱范例 protocolpop3username kevinzou password nopass procmail procmail是一個非常強大的郵件轉(zhuǎn)發(fā)工具可以用來 對收到來信進行排序 并送入不同目錄預(yù)處理郵件在收到一封郵件后激活一個事件或程序自動轉(zhuǎn)發(fā)郵件給其他用戶默認情況下sendmail會將procmail設(shè)定為本機轉(zhuǎn)發(fā)郵件工具有可能在短時間內(nèi)產(chǎn)生大量轉(zhuǎn)發(fā)郵件 因此配置時應(yīng)小心謹慎 簡單配置procmail procmail的配置文件是用戶主目錄下的 procmailrc 如需將來自kevinz關(guān)于linux的郵件轉(zhuǎn)發(fā)給todd 并復(fù)制入linux目錄 0 From kevinz Subject linux 0c todd wenhua org 0linux 郵件讀寫工具 圖形界面下的郵件接受工具一般也可以用來讀寫郵件字符界面下的郵件讀寫工具mail非常簡單地郵件讀寫工具pine支持添加附件支持將已讀文件存入指定目錄 第五單元 WEB服務(wù)器 任課講師 http服務(wù)原理 超文本傳送協(xié)議基于客戶端 服務(wù)端模型協(xié)議流程 連接 客戶端與服務(wù)端建立連接請求 客戶端向服務(wù)端發(fā)送請求應(yīng)答 服務(wù)端響應(yīng) 將結(jié)果傳給客戶端關(guān)閉 執(zhí)行結(jié)束后關(guān)閉 web服務(wù)器apache 應(yīng)用廣泛的web服務(wù)器支持進程控制在需要前自動復(fù)制進程進程數(shù)量自動使用需求支持動態(tài)加載模塊不需重編譯就可擴展其用途支持虛擬主機允許使用一臺web服務(wù)器提供多個web站點的共享 apache服務(wù)一覽 后臺進程 httpd腳本 etc rc d init d httpd使用端口 80 http 443 https 所需RPM包 apache apache devel apache manual相關(guān)RPM包 apacheconf配置路徑 etc httpd var www apache的配置文件 配置文件儲存為 etc httpd conf httpd conf設(shè)置標準網(wǎng)絡(luò)服務(wù)器參數(shù) 虛擬主機 模塊定義文件名與mime類型訪問控制默認的html存放位置 var www html 全局配置 ServerType 選擇系統(tǒng)激活服務(wù)器的方式 可以是inetd或standaloneServerRoot 設(shè)定Apache安裝的絕對路徑TimeOut 設(shè)定服務(wù)器接收至完成的最長等待時間KeepAlive 設(shè)定服務(wù)器是否開啟連續(xù)請求功能MaxKeepAliveRequests 設(shè)定服務(wù)器所能接受的最大連續(xù)請求量 全局配置 二 KeepAliveTimeout 使用者 連續(xù) 請求的等待時間上限MinSpareServers 設(shè)定最小閑置子進程數(shù)MaxSpareServers 設(shè)定最大閑置子進程數(shù)StartServers 設(shè)定激活時所需建立的子進程數(shù)MaxClients 設(shè)定同時能夠提供使用者的最大服務(wù)請求數(shù) 主機配置 Port 設(shè)定http服務(wù)的默認端口 User Group 設(shè)定服務(wù)器程序的執(zhí)行者與屬組ServerAdmin 設(shè)定站點管理者的電子郵件ServerName 設(shè)定服務(wù)器的名稱DocumentRoot 設(shè)定服務(wù)器的共享路徑DirectoryIndex 設(shè)定默認調(diào)用文件順序ErrorLog 設(shè)定錯誤記錄文件名稱 虛擬主機 在同一臺服務(wù)器上配置多個共享服務(wù)在虛擬主機中未指定的配置即采用主機配置ServerNDocumentRoot var www virtual 訪問控制 Apache提供目錄級別與文件級別的基于主機的多種訪問控制Apache提供目錄級別基于用戶密碼的訪問控制 htaccess Apache支持在需要限制訪問的目錄下 建立 htaccess文件來實行訪問限制 用戶可以根據(jù)httpd conf中記錄的AllowOverride內(nèi)容 在 htaccess文件添加訪問控制語句以取代在httpd conf中的記錄 改變 htaccess文件設(shè)置不需要重啟httpd CGI CGI程序只能放在有設(shè)定ScriptAlias的目錄下才可以使用 ScriptAlias cgi bin cgi bin Apache可以通過加載模塊來倍化CGI程序的速度 Apache加密網(wǎng)站 Apache用443端口提供https服務(wù)需要加載mod ssl模塊相關(guān)配置文件在 etc httpd conf d ssl conf加密配置認證 conf ssl crt server crt私鑰 conf ssl key server key認證 鑰匙生成 usr share ssl certs Makefile個人簽名認證 maketestcert認證簽名需要 makecertreq SquidWebProxyCache Squid支持為FTP HTTP等其他數(shù)據(jù)流做代理Squid會將SSL請求直接轉(zhuǎn)給目標服務(wù)器或另一個代理Squid提供諸如訪問控制列表 緩存管理及HTTP服務(wù)器加速 第六單元 NFS FTP和DHCP 任課講師 NFS NFS NetworkFileSystem 網(wǎng)絡(luò)文件系統(tǒng)Linux與Linux之間的文件共享提供遠端讀存文件的服務(wù) NFS原理概述 建立在RPC協(xié)議上的服務(wù) 使用時需要打開portmap基于客戶端 服務(wù)器端模型服務(wù)端為多個客戶端提供服務(wù)客戶端也可以從多個服務(wù)端處獲得文件目錄 NFS服務(wù)一覽 后臺進程 nfsd lockd rpciod rpc mounted rpc rquotad rpc statd腳本 etc init d nfs etc init d nfslock使用端口 由portmap 111 分配所需RPM包 nfs utils相關(guān)RPM包 portmap 必需 配置文件 etc exports NFS客戶端策略 檢查服務(wù)端的nfs共享資源showmount eserver將服務(wù)端開放的nfs共享目錄掛載到本機上的一個目錄mount tnfsserver share mnt nfs NFS服務(wù)端配置 編輯 etc exports文件以配置開放路徑路徑對象 方式 確保portmap服務(wù)已開啟打開或重啟nfs服務(wù)servicenfsstart restart FTP vsftpd是RedHatLinux默認使用的ftp服務(wù)端軟件vsftpd不再依賴于xinetd服務(wù)允許匿名或本地用戶訪問匿名訪問不須額外的RPM包 etc vsftpd vsftpd conf是默認的配置文件 ftp服務(wù)一覽 后臺進程 vsftpd類型 SystemV服務(wù)使用端口 20 ftp data 21 ftp 所需RPM包 vsftpd配置文件 etc vsftpd vsftpd conf etc vsftpd ftpusers etc pam d vsftpd日志 var log vsftpd log FTP用戶控制 etc vsftpd ftpusers etc vsftpd user list FTP測試工具 ftpwho 查看當(dāng)前使用ftp的用戶ftpcount 查看當(dāng)前連線數(shù)目 DHCP DHCP 動態(tài)主機配置協(xié)議使用服務(wù)端的dhcpd來提供服務(wù)dhcpd可以同時為DHCP及BOOTP客戶端提供服務(wù) dhcp服務(wù)一覽 后臺進程 dhcpd腳本 etc rc d init d dhcpd使用端口 67 bootps 68 bootpc 所需RPM包 dhcpd相關(guān)RPM包 配置文件 etc ftpaccess etc ftphosts etc ftpusers日志 var log xferlog 配置dhcp服務(wù) etc dhcpd conf范例 subnet192 168 0 0netmask255 255 255 0 range192 168 0 2192 168 0 253 default lease time21600 max lease time43200 optiondomain name optionrouters192 168 0 254 optiondomain name servers192 168 0 254 常用dhcp配置參數(shù) subnetX X X XnetmaskX X X X指定dhcp服務(wù)工作網(wǎng)段range指定分配地址段default lease time默認租期 請求續(xù)租時間 max lease time最大租期 常用dhcp配置參數(shù) 二 optionrouters分配路由器optiondomain name分配域名optiondomain name servers分配DNSserver IP綁定 host為綁定主機起名 并不是分配給對方的名字 hardwareethernet指定硬件地址fixed address指定IP地址或主機名支持為綁定主機單獨分配其他網(wǎng)絡(luò)數(shù)據(jù) 第七單元 安全及策略 任課講師 安全術(shù)語 什么是安全 加密數(shù)據(jù)完整可用系統(tǒng)安全由系統(tǒng)中最小的安全組件決定 木桶原理 基礎(chǔ)網(wǎng)絡(luò)安全 大多數(shù)的計算機都連接到網(wǎng)絡(luò)上 局域網(wǎng) 廣域網(wǎng)或者Internet由于連接在網(wǎng)絡(luò)上 增加了對操作系統(tǒng)和后臺服務(wù)的危脅 常用術(shù)語的定義 黑客破解者 駭客 拒絕服務(wù)緩沖溢出病毒特洛伊木馬蠕蟲 安全策略 物理上的安全性用戶限制服務(wù)限制網(wǎng)絡(luò)限制加密 安全策略 續(xù) 安全策略是為了加強對系統(tǒng)安全特性和管理而定義的規(guī)則審核讓我們檢查使用的安全工具實際中使用的安全策略 審核 分析目前的情況了解安全需求確定如何實現(xiàn)它們實施安全機制測試安裝 入侵檢測 工具嗅探器 sniffers 滲透檢測器記錄日志日志工具 發(fā)現(xiàn)入侵后的措施 反應(yīng) 保護 鏡像 恢復(fù) 搜索 報告第一步 反應(yīng)第二步 保護 發(fā)現(xiàn)入侵后的措施續(xù)1 反應(yīng) 保護 鏡像 恢復(fù) 搜索 報告第三步 鏡像第四步 恢復(fù) 發(fā)現(xiàn)入侵后的措施續(xù)2 反應(yīng) 保護 鏡像 恢復(fù) 搜索 報告第五步 搜索第六步 報告 備份策略 一個好的備份策略可以使你從災(zāi)難中恢復(fù)出來通常備份策略由以下組成 一次定期的完全備份每日增量備份備份媒體遠距離存儲 第八單元 NIS 任課講師 什么是NIS服務(wù) NIS NetworkInformationService基于客戶端 服務(wù)端模型公用資料集中存放在服務(wù)端管理提供復(fù)數(shù)的客戶端訪問使用基于RPC協(xié)議 NIS服務(wù)一覽 服務(wù)類型 SystemV后臺進程 ypserv ypbind yppasswdd使用端口 由portmap 111 分配所需RPM包 ypserv ypbind yp tools相關(guān)RPM包 portmap服務(wù)端配置文件 etc ypserv conf var yp NIS服務(wù)端與客戶端 NIS客戶端的后臺進程是ypbind 服務(wù)端的后臺進程是ypserv服務(wù)端支持NIS協(xié)議第一版與第二版客戶端還多支持NIS v3 NIS的局限性安全性差可擴展性不足unix only NIS客戶端基礎(chǔ) NIS客戶端工具ypbind可以通過兩種方式獲知其域內(nèi)的服務(wù)器是誰在NIS域內(nèi)廣播通過 etc yp conf讀取本域內(nèi)NIS服務(wù)器的位置使用工具配置客戶端使用authconfig將本機添加入一個NIS域指定一個NIS服務(wù)器 etc nsswitch conf nsswitch conf記錄了系統(tǒng)查詢用戶密碼 組 主機名等資源的遵循順序確定nsswitch conf文件中需要向服務(wù)器查詢數(shù)據(jù)的資源順序中包含NIS項查詢資源可以是 files 本地文件dns 域名服務(wù)器nis nisplus NIS服務(wù)器ldap ldap服務(wù)器db 數(shù)據(jù)庫 NIS服務(wù)器布局 扁平結(jié)構(gòu)一個主服務(wù)器負責(zé)一個域一個主服務(wù)器可以帶領(lǐng)多個從服務(wù)器提供容錯負載均衡 配置NIS服務(wù)端 在 etc sysconfig network中設(shè)定一個NISdomain NISDOMAIN mydomain修改 var yp Makefile決定需共享的數(shù)據(jù)在 var yp securenets中指定許可共享的網(wǎng)段執(zhí)行 usr lib yp ypinit m執(zhí)行serviceypbindstart執(zhí)行serviceypservstart 配置NIS從服務(wù)器 將所有從服務(wù)器名放在 var yp ypservers文件中在每一個從服務(wù)器上安裝ypserv使用以下指令 usr lib yp ypinit s主服務(wù)器名 NIS工具 ypcat 列出來自NISserver的map信息ypinit 建立并安裝NISdatabaseypwhich 列出NISserver的名稱ypset 強制指定某臺機器當(dāng)NISservermakedbm 創(chuàng)造NISmap的dbm檔 第九單元 系統(tǒng)安全 任課講師 監(jiān)視文件系統(tǒng) 監(jiān)視文件系統(tǒng)可以防止 硬盤空間被占滿可能造成安全問題的錯誤權(quán)限監(jiān)視文件系統(tǒng)包括 數(shù)據(jù)正確性檢驗搜尋不需要或可能造成系統(tǒng)破壞的文件 常規(guī)搜尋 搜尋所有設(shè)置了強制位的文件find typef perm 6000搜尋可以被任何用戶寫入的文件find typef perm2搜尋不屬于任何用戶與組的文件find nouser o nogroup Tripwire 系統(tǒng)文件應(yīng)該時時處于周密的監(jiān)視下配置文件被更改可能造成服務(wù)的啟動與運行故障可執(zhí)行文件被更改可能造成更大的問題tripwire可以根據(jù)配置監(jiān)測文件 目錄的大小 更改時間 inode狀態(tài) 所屬用戶 組及一系列屬性 配置與使用tripwire 安裝tripwireRPM包編輯twcfg txt與twpol txt 根據(jù)安裝情況來定義配置與監(jiān)視策略運行 etc tripwire twinstall sh用tripwire init在 var lib tripwire 下建立原始數(shù)據(jù)庫 HOSTNAME twd用tripwire check來根據(jù)數(shù)據(jù)庫檢查系統(tǒng)用 twprint mr twrfile文件名 來閱讀監(jiān)視報告 為BootLoader加密 LILO密碼明文存放在 etc lilo conf中可以應(yīng)用于全局及局部用于防止用戶進入操作系統(tǒng)GRUB密碼經(jīng)過md5加密可以應(yīng)用于全局及局部用于防止用戶更改啟動參數(shù) 插裝型認證模塊 PAM lib security動態(tài)可加載庫集中安全管理配置在模塊被調(diào)用時即生效 etc pam d為PAM 客戶 配置文件選擇需要的庫滿足所有條件通過認證或失敗 PAM配置 etc pam d system auth控制標志決定PAM如何使用模塊調(diào)用后的返回值required sufficient 或optional etc security 下包含了部分配置文件 核心PAM模塊 pam env 環(huán)境變量初始化pam unix標準unix認證允許更改密碼pam cracklib 強制使用好密碼 常用的pam模塊 pam nologin如果 etc nologin存在 則除了root用戶 任何用戶不能登錄pam securetty在 etc securetty文件中存放的 是root用戶可以登錄的終端不限制用戶登錄完成后用su切換成root 常用的pam模塊 二 pam access用一個簡單的配置文件完成基于用戶 組 及來源的訪問限制使用 etc security access conf為其配置文件pam listfile允許用戶針對某一服務(wù)單獨建立文件來建立基于用戶 組 本地終端 遠端主機的限制 常用的pam模塊 三 pam limits允許在許可用戶使用服務(wù)后 對用戶的使用資源 進行各種設(shè)置pam time使用一個簡單的配置文件 來建立基于時間的服務(wù)訪問限制使用 etc security time conf為配置文件 sudo 讓一般用戶有可能使用root才可以使用的系統(tǒng)管理指令需要配置 etc sudoers文件 來定義哪些用戶可以使用哪些指令 以及使用時是否需要密碼用visudo編輯 etc sudoers文件用 sudo系統(tǒng)指令 執(zhí)行系統(tǒng)指令 第十單元 防火墻和IP偽裝 任課講師 iptables iptables是RedHatLinux里默認使用的防火墻iptables提供多個設(shè)定參數(shù)可以用來定義過濾規(guī)則 包括IP MAC地址 協(xié)議 端口 子網(wǎng)掩碼iptables支持在路由算法發(fā)生前后進行網(wǎng)絡(luò)地址轉(zhuǎn)換 iptables結(jié)構(gòu) iptables將防火墻的功能分成多個tablesfilter 數(shù)據(jù)包過濾NAT NetworkAddressTranslation 網(wǎng)絡(luò)地址轉(zhuǎn)換tables又包含多個chains5條默認基礎(chǔ)操作chains允許用戶自行定義chains iptables語法 iptables ttable pattern jtarget action包括 Achain 在chain中增添一條規(guī)則 Dchain 在chain中刪除一條規(guī)則 Lchain 列出chain中的規(guī)則 Fchain 清空chain中的規(guī)則 Pchain 為chain指定新的默認策略 可以是 ACCEPT 未經(jīng)禁止全部許可DROP 未經(jīng)許口全部禁止 iptables語法 二 pattern包括 s 來源地址 d 目標地址 p 指定協(xié)議 可以是tcp udp icmp dport 目標端口 需指定 p sport 來源端口 需指定 ptarget包括 DROP 禁止ACCEPT 許可 filtertable 用于過濾數(shù)據(jù)包的接送chainINPUT 設(shè)定遠端訪問主機時的規(guī)則來源是遠端訪問者 目標是本地主機chainOUTPUT 設(shè)定主機訪問遠端主機的規(guī)則來源是本地主機 目標是遠端被訪問主機chainFORWARD 設(shè)定主機為其他主機轉(zhuǎn)發(fā)數(shù)據(jù)包時的規(guī)則來源是請求轉(zhuǎn)發(fā)的主機 目標是遠端被訪問的主機 NATtable 用于處理網(wǎng)絡(luò)地址轉(zhuǎn)換chainPREROUTING 路由算法發(fā)生之前轉(zhuǎn)換數(shù)據(jù)包內(nèi)的來源地址chainPOSTROUTING 路由算法發(fā)生之后轉(zhuǎn)換數(shù)據(jù)報內(nèi)的目標地址 用NATtable完成IP偽裝 對于負責(zé)內(nèi)部子網(wǎng)的路由器 需要為保留地址進行IP偽裝使用IP偽裝功能需要打開本機上的IP轉(zhuǎn)發(fā)功能范例 iptables tnat APOSTROUTING s192 168 0 0 24 oeth1 jMASQUERADE 第十一單元 網(wǎng)絡(luò)安全 任課講師 基礎(chǔ)網(wǎng)絡(luò)安全 越來越多的計算機被連接到網(wǎng)絡(luò)上與網(wǎng)絡(luò)連通對操作系統(tǒng)和后臺進程意味著冒險 被寄生與攻擊的可能 基于主機的安全 限制不受歡迎的來源封鎖不作利用的端口不安裝與啟動不使用的服務(wù)一般 每一種服務(wù)本身一般都會提供方式做相關(guān)限制配制防火墻保護主機 tcp wrapper 基于主機與服務(wù)使用簡單的配置文件來設(shè)置訪問限制 etc hosts allow etc hosts deny基于xinetd的服務(wù)也能在其配置中調(diào)用libwrap配置一旦被改變 立刻生效 tcp wrapper的配置 訪問控制判斷順序 訪問是否被明確許可否則 訪問是否被明確禁止如果都沒有 默認許可配置文件許可用 etc hosts allow禁止用 etc hosts deny