Linux第十五讲-Linux系统安全-LAMP兄弟连LINUX培训

LAMP兄弟连Li培训配套课件LAMP兄弟连Linux培训配套课件Linux系统安全网址：电话：4007001307电话：4007001307咨询QQ：1020824692软件包校验软件包校验‡rpmV软件名称‡rpm-V软件名称‡rpm-Vf文件名称‡md5sum生成文件校验值数据备份‡建立备份日志表格‡建立备份日志表格‡确认系统级备份和数据级备份‡备份数据压缩与加密‡备份数据文件的校验‡备份数据文件的校验数据加密数据加密GnuPGGnuPG‡生成公钥和私钥gpg--gen-key‡查询密钥gpg--list-keys‡导出公钥gpg-armor--export‡导出公钥gpg-armor--exportkey.name/emailpubkey.name如t如：gpg-armor--exportsamlee@lampbrother.netsamlee.pubkey数据加密数据加密‡导入公钥itbk‡导入公钥：gpg--importpubkey‡加密：gpg--outputcrypt.file--encrypt--加gpgpypyprecipientkey.name/emailfile如gpgoutputREADMEgpgencrypt如：gpg--outputREADME.gpg--encrypt--recipientsamlee@lampbrother.netREADME数据加密数据加密‡解密ttdtfildt‡解密：gpg--outputdecrypt.file--decryptcrypt.file如：gpg--outputREADME--decryptREADMEgpgREADME.gpg对称密钥加密非对称密钥加密Xinetd服务限定服务限定‡限定访问主机lf‡限定访问主机only_fromno_access‡限定访问时间accesstimes限定访问_‡设定端口port例例：only_from=128.138.193.0128.138.204.0only_from=128.138.252.1access_times=2:00-9:0012:00-24:00port=10023tcpwrappersp_pp‡限定文件/etc/hostsallow/etc/hostsdeny‡限定文件/etc/hosts.allow/etc/hosts.deny‡格式service:hosts:action例例：/etc/hosts.denysshd:192.168.1.2/etc/hosts.allowsshd:ALL:spawn/bin/echo`date`%h/var/log/sshd.logNetfilter/IptablespLinux包过滤防火墙Linux包过滤防火墙一、Netfilter：内核功能模块，由信息包过滤表组成，表包含内核用来控制信息包过滤处理的规则集。二、Iptables：用户管理工具，用来添加、修改和删除信息包过滤表中的规则。Netfilter/Iptables工作层次p内部主机内部主机外部主机外部主机路由器路由器//主机主机包检查器并不检查数据包的所有内容，它通包检查器并不检查数据包的所有内容，它通常只检查下列几项：9IP源地址9IP源地址9IP目的地址9TCP或UDP的源端口号9TCP或UDP的源端口号9TCP或UDP的目的端口号9协议类型9协议类型9ICMP消息类型9TCP的序列号确认号9TCP的序列号、确认号9IP校验和Netfilter/Iptables架构Netfilter是表的容器，表是链的容器，而链又是规则的容器Iptables基础‡规则（rules):‡规则（rules):„规则其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件般的定义为如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的住处包过滤表中间的住处包过滤表中。Iptables基础‡链(chains)„链是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。Iptables基础‡表(tables）„表提供特定的功能iptables内置了3个表即„表提供特定的功能，iptables内置了3个表，即filter表、nat表和mangel表9Filt表主要用于过滤数据包该表根据系统管理9Filter表：主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包，对于防火墙而言，主要利用在filter表中指定一系列规则防火墙而言，主要利用在filter表中指定系列规则来实现对数据包进行过滤的操作Filter中的链(chain)中的链()9处理入站信息包的规则被添加到INPUT链中9处理出站信息包的规则被添加到OUTPUT链中9处理正在转发信息包的规则被添加到FORWARD链中FORWARD链中Iptables基础„Nat表9Nat表主要用于网络地址转换NAT，该表可实现一对一，一对多，多对多nat工作，iptables就是使用该表实现共享上网功能的。Nat表包含了PREROUTING链（修改即将到来的数据包）、OUTPUT链（修改在路由之前本地生成的数据包）和POSTROUTING在路由之前本地生成的数据包）和POSTROUTING链(修改即将出去的链)Iptables基础‡Mangle表：‡Mangle表：„Mangle表主要用于对指定的包进行修改，因为某些特殊的应用可能需要去改写数据包的些某些特殊的应用可能需要去改写数据包的一些传输特性，不过在实际应用中该表的使用率不高高。规则和链规则和链书写规则的语法格式书写规则的语法格式：iptables[-ttable]command[match][target/jump]规则和链规则和链Command:告诉程序该做什么如插入或删Command:告诉程序该做什么，如：插入或删除一个规则。细致地描述了包的某个特点以使Match：细致地描述了包的某个特点，以使这个包区别于其他包。在这里可以指定包的来地址络接端协类型的来源IP地址、网络接口、端口、协议类型等。Target/jump:通过对数据包与所有规则的匹配结果，内核将做出相应的处理动作。结果，内核将做出相应的处理动作。iptables命令p命令#iptables–tfilter–AINPUT\–ptcp--dport23–jREJECT红色部分定义使用的表（table）紫色部分定义匹配的规则(command,match)绿色部分定义了采取的措施(Target/jump)绿色部分定义了采取的措施(Target/jump)ibl常用命令iptables常用命令‡#iptablesL列出表/链中的所有规则‡#iptables-L列出表/链中的所有规则‡#iptables-F清除预设表filter中所有规则链中的规则¾设置链的默认策略‡#iptables-PINPUTACCEPT‡#iptablesPINPUTACCEPT‡#iptables-POUTPUTACCEPT‡#iptables-PFORWARDACCEPT首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有拒绝的都p‡#iptables-PINPUTDROP火墙即没有拒绝的都允许”。首先禁止所有的包，然‡#iptables-POUTPUTDROP‡#iptables-PFORWARDDROP后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的。即没有明确允许的都被拒绝”启动/停防火墙启动/停防火墙‡#iptables-save/etc/sysconfig/iptables‡#iptables-save/etc/sysconfig/iptables‡保存iptables现有的配置‡#iptables-restore/etc/sysconfig/iptables‡#iptables-restore/etc/sysconfig/iptables‡读入iptables规则¾启动/停止防火墙¾启动/停止防火墙‡#/etc/init.d/iptablesstart‡#/etc/initd/iptablesstop‡#/etc/init.d/iptablesstop‡#/etc/init.d/iptablesrestart‡#/etc/initd/iptablesstatus‡#/etc/init.d/iptablesstatusfilter表中可以采取的措施(动作)‡ACCEPT：当信息包与具有ACCEPT目标的规则完全匹配时，会被接受（允许它前往目的地）。该目标被指定为-jACCEPT。DROP当信息包与具有DROP目标的规则完全匹配时会阻塞‡DROP：当信息包与具有DROP目标的规则完全匹配时，会阻塞该信息包，并且不对它做进一步处理。该目标被指定为-jDROP。‡REJECT：该目标的工作方式与DROP目标相同，但它比DROP该目标的作方式与目标相同但好。和DROP不同，REJECT将错误消息发回给信息包的发送方。该目标被指定为-jREJECT。示例：示例：‡$iptables-AFORWARD-pTCP--dport22-jREJECT‡LOG进行日志，记录访问情况，日志文件存放在/var/log/message中简单地添加规则简单地添加规则-p--protocol-p,--protocol例：iptables–AINPUT–ptcp匹配指定的协议。指定协议的形式有以下几种：1、指定协议的名称，不分大小写。2、可以是协议列表，以英文逗号为分隔符，如：udptcpudp,tcp。3、可以在协议前加英文的叹号表示取反，注意有空格，如：-p!tcp表示非tcp协议。‡例：iptables-AINPUT-pTCP,UDPiptables-AINPUT-p!ICMP‡使用“!”的时候，需要在两端加空格‡使用!的时候，需要在两端加空格简单地添加规则简单地添加规则-s,--src,--source该匹配用于根据信息包的源IP地址来与它们匹配。该匹配还允许对某范围内的地址进行匹配可以使用!符号允许对某一范围内的IP地址进行匹配，可以使用!符号，表示不与该项匹配。缺省源匹配与所有IP地址匹配。地址的形式如下：1、单个地址，如：iptables-AOUTPUT-s192.168.1.12、网络，如：iptables-AOUTPUT-s192.168.0.0/24指定该规则与所有来自19216800到1921680255的IP地指定该规则与所有来自192.168.0.0到192.168.0.255的IP地址范围的信息包匹配3、在地址前加英文叹号表示取反在前加英叹号表示取如：iptables-AOUTPUT-s!203.16.1.89指定该规则将与除来自源地址203.16.1.89外的任何信息包匹配匹配。简单地添加规则简单地添加规则ddstdestination-d,--dst,--destination该目的地匹配用于根据信息包的目的地IP地址来与它们该允许某范址来与它们匹配。该匹配还允许对某一范围内IP地址进行匹配，可以使用!符号，表与该项表示不与该项匹配例：iptables-AINPUT-d192.168.1.1例：iptablesAINPUTd192.168.1.1iptables-AINPUT-d192.168.0.0/24iptables-AOUTPUT-d!203.16.1.89iptablesAOUTPUTd!203.16.1.89简单地添加规则简单地添加规则iiitf-i,--in-interface例：iptables–AINPUT–ieth0以包进入本地所使用的网络接口来匹配包。-o,--out-interfaceo,outinterface例：iptables–AOUTPUT–oeth0以包离开本地所使用的网络接口来匹配包以包离开本地所使用的网络接口来匹配包。简单地添加规则简单地添加规则根据端口进行匹配，这时必须