您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > Linux系统安全配置全攻略
网络安全管理员目录第一章网络设备安全第二章局域网安全攻防技术第三章网络边界流量控制及入侵防御技术第四章接入安全与准入技术第五章linux系统安全第六章漏洞的利用和木马第五章Linux系统安全返回提纲5.1Linux主动防御(配置安全)5.2Linux漏洞利用5.3口令破解(猜测和网络窃听)5.4数据库主动防御(MySQL)5.5首页篡改(Apache)5.1Linux主动防御(配置安全)技术背景系统安全始终是信息网络安全的一个重要方面,攻击者往往通过控制操作系统来破坏系统和信息,或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会返回5.1Linux主动防御(配置安全)实验目的了解系统加固可以采取的手段:–了解Linux系统帐户创建,密码设置,登录管理;–加强对Linux系统的访问控制了解(iptables);–熟悉,修改Linux帐号的不安全配置;–禁止不必要的网络服务。5.1Linux主动防御(配置安全)实验平台客户机(客户端):Windows2000/XP/2003目标加固主机(服务端):CentOS4.65.1Linux主动防御(配置安全)实验工具Putty.exe工具5.1Linux主动防御(配置安全)实验要点Linux系统帐号创建,帐号密码设置;Linux系统帐户登录配置;Linux系统安全访问控制、策略调整(iptables绍);5.1Linux主动防御(配置安全)实验步骤指导5.1Linux主动防御(配置安全)Linux系统帐号创建下载Putty.exe,点击运行Putty,在出现的窗口界面的hostname处输入实验目标主机ip,并选择ssh,点击“open”。5.1Linux主动防御(配置安全)Linux系统帐号创建如果出现如下“PuTTYSecurityAlert”窗口,点击“是”or“Yes”5.1Linux主动防御(配置安全)Linux系统帐号创建在随后出现的登录界面,按提示依次输入:root、回车、1qaz@WSX。将出现如下界面,此时已经使用root帐号登录目标主机成功5.1Linux主动防御(配置安全)Linux系统帐号创建输入如下操作添加试验用系统帐号test(密码也定为test,由于密码强度不够,系统会有所提示,先忽略)命令:[root@LT-courseware-0009~]#useraddtest[root@LT-courseware-0009~]#passwdtest5.1Linux主动防御(配置安全)Linux系统帐号创建用添加的test帐号按照步骤2)开始的操作方式ssh登录目标主机,如果操作正确将会得到如下界面,显示test已经登录成功5.1Linux主动防御(配置安全)Linux系统帐号创建本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机。修改/etc/ssh/sshd_config[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录查找到#PermitRootLoginyes这一行,作如下修改–将注释符“#”号去掉–修改“yes”为“no”最终修改该行为:PermitRootLoginno,保存并关闭sshd_config5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录重起SSH服务命令:[root@LT-courseware-0009~]#servicesshdrestart5.1Linux主动防御(配置安全)禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机会发现系统显示5.1Linux主动防御(配置安全)禁止root帐号远程登录运行一个Putty工具,使用前面创建的test帐号登录到实验目标主机使用su命令,并按照提示输入root密码,转换到root用户身份命令:[test@LT-courseware-0009~]$su-Password:(注:此处输入root密码)5.1Linux主动防御(配置安全)禁止root帐号远程登录修改/etc/ssh/sshd_config命令:[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config将刚才修改的那行配置还原PermitRootLoginno5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录还原为5.1Linux主动防御(配置安全)禁止root帐号远程登录重起SSH服务命令:[root@LT-courseware-0009~]#servicesshdrestart使用Putty工具以root帐号方式登录到实验目标主机,此时应该可以登录成功5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户运行一个Putty工具,使用root帐号登录到实验目标主机修改/etc/pam.d/system-auth命令:[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户在system-auth文件的auth部分增加如下一行(红字的部分)authrequired/lib/security/$ISA/pam_env.soauthrequired/lib/security/pam_tally.soonerr=failno_magic_rootauthsufficient/lib/security/$ISA/pam_unix.solikeauthnullokauthrequired/lib/security/$ISA/pam_deny.so5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户在system-auth文件的account部分增加如下一行(红字的部分),然后保存并关闭system-auth文件accountrequired/lib/security/$ISA/pam_unix.soaccountrequired/lib/security/pam_tally.sodeny=3no_magic_rootresetaccountsufficient/lib/security/$ISA/pam_succeed_if.souid100quietaccountrequired/lib/security/$ISA/pam_permit.so设定含义为:尝试密码出现错误超过3次,则锁定帐号5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户运行一个Putty工具,使用test帐号登录实验目标主机,输入密码时使用错误密码输入超过3次以上然后再使用帐号test和正确的密码登录,会发现访问仍然被拒绝,此时test帐号已经被锁定,无法登录5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户使用Putty工具,以root身份登录目标主机,执行如下命令对test帐号解锁命令:[root@LT-courseware-0009security]#pam_tally--usertest--reset5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户使用Putty工具,再次以test帐号和正确的密码登录目标主机,会发现此时test可以登录目标系统主机5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)配置策略增加设置密码强度使用Putty工具以root用户登录目标加固主机修改/etc/pam.d/system-auth命令:[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth在passwd部分查找到如下一行passwordrequisite/lib/security/$ISA/pam_cracklib.soretry=35.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度将该行修改为passwordrequired/lib/security/$ISA/pam_cracklib.soretry=3dcredit=-1ucredit=-1lcredit=-1minlen=85.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度使用Putty工具以test用户登录目标加固主机,执行修改密码命令:[test@LT-courseware-0009~]$passwd5.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)利用iptables关闭服务端口点击本机的开始—〉运行,输入:cmd,打开一个cmd窗口5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口服务器连接命令:ftpxxx.xxx.xxx.xxx(目标加固主机ip)5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口cmd窗口会显示类似如下内容,说明目标主机存在ftp服务5.1Linux主动防御(配置安全)利用iptables关闭服务端口关闭cmd窗口,使用Putty工具以root帐号登录目标加固主机修改/etc/sysconfig/iptables命令:[root@LT-courseware-0009sysconfig]#vi/etc/sysconfig/iptables5.1Linux主动防御(配置安全)利用iptables关闭服务端口修改和ftp服务相关(端口21)的那一行-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口改为#-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口即用#号注释掉该行,保存并关闭iptables重起iptables服务命令:[root@LT-courseware-0009sysconfig]#serviceiptablesrestart再次按照步骤1)2)尝试远程连接目标加固主机的ftp服务,窗口会显示如下类似报错信息,ftp已无法访问5.1Linux主动防御(配置安全
本文标题:Linux系统安全配置全攻略
链接地址:https://www.777doc.com/doc-4269694 .html