《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項目四 任務(wù)三 加強(qiáng)Linux文件系統(tǒng)訪問安全

項目四Linux桌面系統(tǒng)安全運(yùn)行與維護(hù)項目主要內(nèi)容：任務(wù)一加強(qiáng)Linux主機(jī)安全訪問權(quán)限任務(wù)二加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制任務(wù)三加強(qiáng)Linux文件系統(tǒng)訪問安全任務(wù)四使用安全審計加強(qiáng)Linux主機(jī)的安全維護(hù)任務(wù)提出

在局域網(wǎng)中，Linux用戶經(jīng)常使用NFS或Samba進(jìn)行共享文件的傳輸，這給數(shù)據(jù)傳輸帶來很大的風(fēng)險。因此，Linux用戶需要對NFS和Samba兩項服務(wù)進(jìn)行安全配置，以保證局域網(wǎng)內(nèi)部文件的安全傳輸和共享。1.安全配置NFS服務(wù)

在RedHatEnterpriseLinux6.4系統(tǒng)服務(wù)器端安裝和啟用NFS服務(wù)，通過配置文件，限制客戶端訪問。2.安全配置Samba服務(wù)

在RedHatEnterpriseLinux6.4系統(tǒng)服務(wù)器端為用戶設(shè)置Samba密碼，配置共享文件，安全配置Samba服務(wù)，設(shè)置允許訪問的主機(jī)，使得主機(jī)對規(guī)定的文件夾具有不同的訪問權(quán)限。任務(wù)分析1.安全配置NFS服務(wù)NFS(NetworkFileSystem，網(wǎng)絡(luò)文件系統(tǒng)）是FreeBSD支持的文件系統(tǒng)中的一種。它允許網(wǎng)絡(luò)中的計算機(jī)之間通過TCP/IP網(wǎng)絡(luò)共享目錄和文件資源。通過使用NFS，用戶和程序可以像訪問本地文件一樣訪問遠(yuǎn)端系統(tǒng)上的文件。

在Linux系統(tǒng)網(wǎng)絡(luò)應(yīng)用中，使用NFS可以節(jié)省系統(tǒng)資源，如節(jié)省本地存儲空間、只需要在NFS服務(wù)器上創(chuàng)建home目錄、減少整個網(wǎng)絡(luò)中可移動介質(zhì)設(shè)備的數(shù)量等。由于NFS在網(wǎng)絡(luò)上使用明文傳輸所有信息，信息存在被截取的危險，所以需要對NFS進(jìn)行安全配置以保護(hù)文件系統(tǒng)安全。

對NFS安全配置的具體要求和目的：創(chuàng)建filel、file2和file3三個文件夾，filel文件夾只允許IP地址為0的Linux客戶端具有只讀訪問權(quán)限，file2文件夾允許網(wǎng)絡(luò)/24中的所有主機(jī)具有只讀訪問權(quán)限，file3允許IP地址為0的Linux客戶端具有讀寫權(quán)限，并且所有訪問都以匿名用戶nfsnobody身份登錄。2.安全配置Samba服務(wù)Samba是在Linux和UNIX系統(tǒng)上實現(xiàn)SMB(ServerMessageBlock)協(xié)議的一個免費(fèi)軟件，由服務(wù)器及客戶端程序構(gòu)成。Samba是一個工具套件，通過SMB協(xié)議實現(xiàn)。SMB協(xié)議通常被Windows系列用來實現(xiàn)磁盤和打印機(jī)共享。通常Samba是把SMB綁定到TCP/IP上實現(xiàn)的，Samba只在IP子網(wǎng)內(nèi)廣播，因此在Windows上與Samba通信既要安裝NetBEUI協(xié)議，也要安裝TCP/IP協(xié)議。對Samba軟件進(jìn)行安全配置的具體要求如下：1.所有員工在公司都能移動辦公，都能把自己的文件保存到Samba服務(wù)器上。2.同一個部門的人擁有一個共享目錄，其他部門的人只能訪問服務(wù)器上自己的home錄。3.所有用戶都不允許使用服務(wù)器上的shell，只能通過Samba訪問服務(wù)器。4.提供一個軟件共享目錄，存放一些常用軟件，供公司員工使用。5.提供臨時文件目錄，任何用戶都可以對其進(jìn)行讀寫。根據(jù)以上任務(wù)的需求，需要對user用戶實現(xiàn)其安全訪問。任務(wù)實施1.安全配置NFS服務(wù)操作步驟如下：步驟1實驗準(zhǔn)備階段，根據(jù)項目一中任務(wù)一和任務(wù)二知識點，在VMwareWorkstation中部署兩臺RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)Server和PC1，以及一臺WindowsServer2008R2虛擬機(jī)PC2，各虛擬機(jī)的IP地址規(guī)劃如表所示，并將三臺虛擬機(jī)實現(xiàn)網(wǎng)絡(luò)連通。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址ServerNFS服務(wù)器RedHatLinux6.4/24PC1Linux客戶端RedHatLinux6.40/24PC2Windows客戶端WindowsServer2008R2/24步驟2

在Server上搭建FTP服務(wù)。參見項目四任務(wù)二，在Server上搭建并啟動FTP服務(wù)，保證FTP服務(wù)可以正常運(yùn)行。步驟3

安全配置NFS服務(wù)。（1）在Server上創(chuàng)建文件夾。①創(chuàng)建3個文件夾，如下所示。[root@linuxA桌面]#cd/home[root@linuxAhome]#mkdirfile1[root@linuxAhome]#mkdirfile2[root@linuxAhome]#mkdirfile3②給新建的3個文件夾分配權(quán)限。[root@linuxAhome]#chmod777file1[root@linuxAhome]#chmod777file2[root@linuxAhome]#chmod777file3③查看文件夾權(quán)限。（2）在Server上啟用NFS服務(wù)。①Linux系統(tǒng)默認(rèn)安裝了NFS組件，可以使用命令rpm來驗證是否安裝，如下所示。[root@linuxAhome]#ll總用量32……drwxrwxrwx2rootroot40965月710:22file1drwxrwxrwx2rootroot40965月710:22file2drwxrwxrwx2rootroot40965月710:22file3……[root@linuxAhome]#rpm-qa|grepnfsnfs-utils-lib-1.1.5-6.el6.i686nfs4-acl-tools-0.3.3-6.el6.i686nfs-utils-1.2.3-36.el6.i686②Linux系統(tǒng)默認(rèn)沒有啟動NFS服務(wù)，需要使用service命令啟動NFS服務(wù)，如下所示。③查看NFS服務(wù)運(yùn)行狀態(tài)。由于NFS服務(wù)依賴于portmap服務(wù)，所以還需要查看portmap服務(wù)運(yùn)行狀態(tài)，portmap服務(wù)在linux6版本中已經(jīng)更名為rpcbind，所以在查看時需要查看rpcbind服務(wù)運(yùn)行狀態(tài)，如下所示。[root@linuxAhome]#systemctlstartnfs[root@linuxAhome]#ps-ef|grepnfsd[root@linuxAhome]#ps-ef|greprpcbind（3）在Server上配置/etc/exports文件。①在文本界面下，修改/etc/exports配置文件，在文件中加入如下內(nèi)容。[root@linuxAhome]#vim/etc/exports/home/file10(ro,all_squash,anonuid=65534,anongid=65534)/home/file2/24(ro,anonuid=65534,anongid=65534)/home/file30/24(rw,anonuid=65534,anongid=65534)②配置完成后，需要重新啟動NFS服務(wù)，如下所示。

[root@linuxAhome]#systemctlrestartnfs（4）在Server上關(guān)閉防火墻。①關(guān)閉防火墻。②清空防火墻列表。（5）在Server上限制客戶端訪問。①在/etc/hosts.allow中加入“portmap:/:allow”語句，允許網(wǎng)絡(luò)中的主機(jī)訪問NFS服務(wù)，如下所示。②在/etc/hosts.deny中加入“portmap:ALL:deny”語句，拒絕所有除網(wǎng)絡(luò)以外的主機(jī)訪問NFS服務(wù)，如下所示。[root@linuxAhome]#systemctlstopfirewalld[root@linuxAhome]#iptables-F[root@linuxAhome]#vim/etc/hosts.allow……portmap:/:allow[root@linuxAhome]#vim/etc/hosts.deny……portmap:ALL:deny（6）驗證測試。①登錄PC1，將NFS服務(wù)器端的文件夾掛載到PC1端，如下所示。[root@linuxB桌面]#mkdir/root/a/root/b/root/c[root@linuxB桌面]#mount-tnfs:/home/file1/root/a[root@linuxB桌面]#mount-tnfs:/home/file2/root/b[root@linuxB桌面]#mount-tnfs:/home/file3/root/c[root@linuxBb]#df文件系統(tǒng) 1K-塊

已用

可用

已用%掛載點/dev/mapper/vg_linuxb-lv_root1603780833811761184194023%/tmpfs9690842249688601%/dev/shm/dev/sda1495844361924340528%/boot/dev/sr0308078230807820100%/media/RHEL_6.4i386Disc1:/home/file11603788830325761219046420%/root/a:/home/file21603788830325761219046420%/root/b:/home/file31603788830325761219046420%/root/c②在PC1上，測試讀寫權(quán)限，如下所示。驗證結(jié)果表明，0客戶端對file1和file2均具有只讀權(quán)限，而對file3具有讀寫權(quán)限，與第3步中對配置文件權(quán)限的設(shè)置一致。[root@linuxB桌面]#cd/root/a[root@linuxBa]#touchtest1touch:無法創(chuàng)建"test1":只讀文件系統(tǒng)[root@linuxBa]#cd/root/b[root@linuxBb]#touchtest2touch:無法創(chuàng)建"test2":只讀文件系統(tǒng)[root@linuxBb]#cd/root/c[root@linuxBc]#touchtest3[root@linuxBc]#ll總用量0-rw-r--r--1nfsnobodynfsnobody05月716:11test32.安全配置Samba服務(wù)步驟4安全配置Samba服務(wù)。（1）在Server上創(chuàng)建用戶和組。①創(chuàng)建group1和group2組。②創(chuàng)建用戶usera、userb、userc、userd、usere，將用戶usera、userb、userc加入group1組，將用戶userd和usere加入到group2組。[root@linuxA~]#groupaddgroup1[root@linuxA~]#groupaddgroup2[root@linuxA~]#useraddusera-ggroup1-s/bin/false[root@linuxA~]#useradduserb-ggroup1-s/bin/false[root@linuxA~]#useradduserc-ggroup1-s/bin/false[root@linuxA~]#useradduserd-ggroup2-s/bin/false[root@linuxA~]#useraddusere-ggroup2-s/bin/false（2）設(shè)置用戶的Samba密碼。①查看用戶存儲后臺。查看結(jié)果表明samba使用數(shù)據(jù)庫文件創(chuàng)建用戶數(shù)據(jù)庫，該數(shù)據(jù)庫文件是位于/etc/samba目錄中的passdb.tdb文件。（2）安裝Samba[root@linuxA~]#vim/etc/samba/smb.conf……passdbbackend=tdbsam……[root@localhosthome]#yumlist|grepsamba[root@localhosthome]#yum-yinstallsamba[root@localhosthome]#systemctlstartsmb//啟動samba[root@localhosthome]#ps-ef|grepsmb//查看samba運(yùn)行狀態(tài)②設(shè)置所有用戶的Samba密碼。③查看Samba用戶[root@linuxA~]#smbpasswd-ausera[root@linuxA~]#smbpasswd-auserb[root@linuxA~]#smbpasswd-auserc[root@linuxA~]#smbpasswd-auserd[root@linuxA~]#smbpasswd-ausere[root@linuxA~]#pdbedit-Lusera:504:userc:506:usere:508:userb:505:userd:507:（3）在Server上建立共享目錄。①創(chuàng)建目錄group1和group2。②更改目錄group1和group2所屬組和權(quán)限。[root@linuxA~]#mkdir/home/group1/home/group2[root@linuxA~]#touch/home/group1/group1.txt/home/group2/group2.txt[root@linuxA~]#chgrpgroup1/home/group1[root@linuxA~]#chgrpgroup2/home/group2[root@linuxA~]#chmod3770/home/group1/[root@linuxA~]#chmod3770/home/group2/[root@linuxA~]#mkdir/home/software/home/tmpupload[root@linuxA~]#touch/home/software/software.txt/home/tmpupload/tmpupload.txt[root@linuxA~]#chmod777/home/tmpupload/[root@linuxA~]#chmoda+t/home/tmpupload/[root@linuxA~]#ll/home總用量68……drwxrws--T2rootgroup140965月810:34group1drwxrws--T2rootgroup240965月810:34group2drwxr-xr-x2rootroot40965月811:02softwaredrwxrwxrwt2rootroot40965月811:02tmpupload……③創(chuàng)建目錄software和/tmpupload，并設(shè)置目錄權(quán)限。

以上結(jié)果表明：a.用戶對group1和group2目錄文件的權(quán)限分別為：所屬用戶root對本文件可讀（r）、可寫（w）、可執(zhí)行（x），屬于同一組的用戶對本文件可讀（r）、可寫（w）、以root帳戶身份執(zhí)行（s），其他用戶的權(quán)限為不可讀(-)、不可寫(-)、只有所屬用戶和root才可以刪除文件(T)。b.用戶對software目錄文件的權(quán)限為：所屬用戶root對本文件可讀（r）、可寫（w）、可執(zhí)行（x），屬于同一組的用戶對本文件可讀（r）、不可寫（-）、可執(zhí)行（x），其他用戶的權(quán)限為可讀（r）、不可寫（-）、可執(zhí)行（x）。c.用戶對tmpupload目錄文件的權(quán)限為：所屬用戶root對本文件可讀（r）、可寫（w）、可執(zhí)行（x），屬于同一組的用戶對本文件可讀（r）、可寫（w）、可執(zhí)行（x），其他用戶的權(quán)限為可讀（r）、可寫（w）、只有所屬用戶和root才可以刪除文件(t)。（4）配置共享文件。打開/etc/samba/smb.conf文件，在文件最后面加入共享文件夾目錄，如下所示。[root@linuxA~]#vim/etc/samba/smb.conf……[group1]comment=group1'sfilespath=/home/group1public=novalidusers=@group1writelist=@group1createmask=0770[group2]comment=group2'sfilespath=/home/group2public=novalidusers=@group2writelist=@group2createmask=0770[software]comment=sharesoftwarepath=/home/softwarepublic=yesreadonly=yes[temp]comment=tempfilespath=/home/tmpuploadpublic=yeswriteable=yes（5）在Server上安全設(shè)置samba服務(wù)。在Server上修改/etc/samba/smb.conf文件，設(shè)置samba服務(wù)。①設(shè)置允許訪問的主機(jī)。②將安全級別設(shè)置為默認(rèn)選項。[root@linuxA桌面]#vim/etc/samba/smb.confhostsallow=/24security=user

（6）驗證測試。①在PC1上驗證測試。

使用用戶usera登錄，group1目錄允許寫入，而group2目錄不允許訪問，software目錄只讀，對temp目錄可讀寫，并在目錄temp中，創(chuàng)建usera.bmp文件。注意：在測試之前，需在客戶端先安裝samba-client.x86_64軟件，然后才可以使用smbclient命令。[root@linuxB桌面]#touchusera.bmp[root@linuxB桌面]#smbclient///group1-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]smb:\>ls.D0WedMay810:34:082019..D0WedMay811:02:032019group1.txt0WedMay810:34:082019 62647blocksofsize262144.47533blocksavailablesmb:\>putusera.bmpputtingfileusera.bmpas\usera.bmp(0.0kb/s)(average0.0kb/s)smb:\>ls.D0WedMay815:44:492019..D0WedMay811:02:032019usera.bmpA0WedMay815:44:492019group1.txt0WedMay810:34:082019 62647blocksofsize262144.47532blocksavailablesmb:\>exit[root@linuxB桌面]#smbclient///group2-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]treeconnectfailed:NT_STATUS_ACCESS_DENIED[root@linuxB桌面]#smbclient///software-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]smb:\>ls.D0WedMay811:02:532019..D0WedMay811:02:032019software.txt0WedMay811:02:532019 62647blocksofsize262144.47532blocksavailablesmb:\>putusera.bmpNT_STATUS_ACCESS_DENIEDopeningremotefile\usera.bmpsmb:\>exit[root@linuxB桌面]#smbclient///temp-UuseraEnt