Linux系统安全配置全攻略

网络安全管理员目录第一章网络设备安全第二章局域网安全攻防技术第三章网络边界流量控制及入侵防御技术第四章接入安全与准入技术第五章linux系统安全第六章漏洞的利用和木马第五章Linux系统安全返回提纲5.1Linux主动防御（配置安全）5.2Linux漏洞利用5.3口令破解（猜测和网络窃听）5.4数据库主动防御（MySQL）5.5首页篡改（Apache）5.1Linux主动防御（配置安全）技术背景系统安全始终是信息网络安全的一个重要方面，攻击者往往通过控制操作系统来破坏系统和信息，或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会返回5.1Linux主动防御（配置安全）实验目的了解系统加固可以采取的手段：–了解Linux系统帐户创建，密码设置，登录管理；–加强对Linux系统的访问控制了解（iptables）；–熟悉，修改Linux帐号的不安全配置；–禁止不必要的网络服务。5.1Linux主动防御（配置安全）实验平台客户机(客户端)：Windows2000/XP/2003目标加固主机(服务端)：CentOS4.65.1Linux主动防御（配置安全）实验工具Putty.exe工具5.1Linux主动防御（配置安全）实验要点Linux系统帐号创建，帐号密码设置；Linux系统帐户登录配置；Linux系统安全访问控制、策略调整（iptables绍）；5.1Linux主动防御（配置安全）实验步骤指导5.1Linux主动防御（配置安全）Linux系统帐号创建下载Putty.exe，点击运行Putty，在出现的窗口界面的hostname处输入实验目标主机ip，并选择ssh，点击“open”。5.1Linux主动防御（配置安全）Linux系统帐号创建如果出现如下“PuTTYSecurityAlert”窗口，点击“是”or“Yes”5.1Linux主动防御（配置安全）Linux系统帐号创建在随后出现的登录界面，按提示依次输入：root、回车、1qaz@WSX。将出现如下界面，此时已经使用root帐号登录目标主机成功5.1Linux主动防御（配置安全）Linux系统帐号创建输入如下操作添加试验用系统帐号test（密码也定为test，由于密码强度不够，系统会有所提示，先忽略）命令：[root@LT-courseware-0009~]#useraddtest[root@LT-courseware-0009~]#passwdtest5.1Linux主动防御（配置安全）Linux系统帐号创建用添加的test帐号按照步骤2）开始的操作方式ssh登录目标主机，如果操作正确将会得到如下界面，显示test已经登录成功5.1Linux主动防御（配置安全）Linux系统帐号创建本部分实验结束，关闭所有实验打开的程序及窗口。5.1Linux主动防御（配置安全）禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机。修改/etc/ssh/sshd_config[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config5.1Linux主动防御（配置安全）禁止root帐号远程登录5.1Linux主动防御（配置安全）禁止root帐号远程登录查找到#PermitRootLoginyes这一行，作如下修改–将注释符“#”号去掉–修改“yes”为“no”最终修改该行为：PermitRootLoginno，保存并关闭sshd_config5.1Linux主动防御（配置安全）禁止root帐号远程登录5.1Linux主动防御（配置安全）禁止root帐号远程登录重起SSH服务命令：[root@LT-courseware-0009~]#servicesshdrestart5.1Linux主动防御（配置安全）禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机会发现系统显示5.1Linux主动防御（配置安全）禁止root帐号远程登录运行一个Putty工具，使用前面创建的test帐号登录到实验目标主机使用su命令，并按照提示输入root密码，转换到root用户身份命令：[test@LT-courseware-0009~]$su-Password:（注：此处输入root密码）5.1Linux主动防御（配置安全）禁止root帐号远程登录修改/etc/ssh/sshd_config命令：[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config将刚才修改的那行配置还原PermitRootLoginno5.1Linux主动防御（配置安全）禁止root帐号远程登录5.1Linux主动防御（配置安全）禁止root帐号远程登录还原为5.1Linux主动防御（配置安全）禁止root帐号远程登录重起SSH服务命令：[root@LT-courseware-0009~]#servicesshdrestart使用Putty工具以root帐号方式登录到实验目标主机，此时应该可以登录成功5.1Linux主动防御（配置安全）禁止root帐号远程登录5.1Linux主动防御（配置安全）禁止root帐号远程登录本部分实验结束，关闭所有实验打开的程序及窗口。5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户运行一个Putty工具，使用root帐号登录到实验目标主机修改/etc/pam.d/system-auth命令：[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户在system-auth文件的auth部分增加如下一行（红字的部分）authrequired/lib/security/$ISA/pam_env.soauthrequired/lib/security/pam_tally.soonerr=failno_magic_rootauthsufficient/lib/security/$ISA/pam_unix.solikeauthnullokauthrequired/lib/security/$ISA/pam_deny.so5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户在system-auth文件的account部分增加如下一行（红字的部分），然后保存并关闭system-auth文件accountrequired/lib/security/$ISA/pam_unix.soaccountrequired/lib/security/pam_tally.sodeny=3no_magic_rootresetaccountsufficient/lib/security/$ISA/pam_succeed_if.souid100quietaccountrequired/lib/security/$ISA/pam_permit.so设定含义为：尝试密码出现错误超过3次，则锁定帐号5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户运行一个Putty工具，使用test帐号登录实验目标主机，输入密码时使用错误密码输入超过3次以上然后再使用帐号test和正确的密码登录，会发现访问仍然被拒绝，此时test帐号已经被锁定，无法登录5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户使用Putty工具，以root身份登录目标主机，执行如下命令对test帐号解锁命令：[root@LT-courseware-0009security]#pam_tally--usertest--reset5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户使用Putty工具，再次以test帐号和正确的密码登录目标主机，会发现此时test可以登录目标系统主机5.1Linux主动防御（配置安全）配置策略锁定多次尝试登录失败的用户本部分实验结束，关闭所有实验打开的程序及窗口。5.1Linux主动防御（配置安全）配置策略增加设置密码强度使用Putty工具以root用户登录目标加固主机修改/etc/pam.d/system-auth命令：[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth在passwd部分查找到如下一行passwordrequisite/lib/security/$ISA/pam_cracklib.soretry=35.1Linux主动防御（配置安全）配置策略增加设置密码强度5.1Linux主动防御（配置安全）配置策略增加设置密码强度将该行修改为passwordrequired/lib/security/$ISA/pam_cracklib.soretry=3dcredit=-1ucredit=-1lcredit=-1minlen=85.1Linux主动防御（配置安全）配置策略增加设置密码强度5.1Linux主动防御（配置安全）配置策略增加设置密码强度使用Putty工具以test用户登录目标加固主机，执行修改密码命令：[test@LT-courseware-0009~]$passwd5.1Linux主动防御（配置安全）配置策略增加设置密码强度5.1Linux主动防御（配置安全）配置策略增加设置密码强度本部分实验结束，关闭所有实验打开的程序及窗口。5.1Linux主动防御（配置安全）利用iptables关闭服务端口点击本机的开始—〉运行，输入：cmd，打开一个cmd窗口5.1Linux主动防御（配置安全）利用iptables关闭服务端口5.1Linux主动防御（配置安全）利用iptables关闭服务端口服务器连接命令：ftpxxx.xxx.xxx.xxx(目标加固主机ip)5.1Linux主动防御（配置安全）利用iptables关闭服务端口5.1Linux主动防御（配置安全）利用iptables关闭服务端口cmd窗口会显示类似如下内容，说明目标主机存在ftp服务5.1Linux主动防御（配置安全）利用iptables关闭服务端口关闭cmd窗口，使用Putty工具以root帐号登录目标加固主机修改/etc/sysconfig/iptables命令：[root@LT-courseware-0009sysconfig]#vi/etc/sysconfig/iptables5.1Linux主动防御（配置安全）利用iptables关闭服务端口修改和ftp服务相关（端口21）的那一行-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御（配置安全）利用iptables关闭服务端口5.1Linux主动防御（配置安全）利用iptables关闭服务端口改为#-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御（配置安全）利用iptables关闭服务端口5.1Linux主动防御（配置安全）利用iptables关闭服务端口即用#号注释掉该行，保存并关闭iptables重起iptables服务命令：[root@LT-courseware-0009sysconfig]#serviceiptablesrestart再次按照步骤1）2）尝试远程连接目标加固主机的ftp服务，窗口会显示如下类似报错信息，ftp已无法访问5.1Linux主动防御（配置安全