《linux操作系统安全》由会员分享,可在线阅读,更多相关《linux操作系统安全(18页珍藏版)》请在金锄头文库上搜索。
1、贵州大学实验报告(小三号,加黑)学院:计算机科学与技术 专业: 信息安全 班级:121姓名 饶永明 学号 1208060066 实验组实验时间 5.27 指导教师 蒋朝惠 成绩实验项目名称Linux 操作系统安全实验目的通过实验掌握 linux 操作系统环境下的用户管理、进程管理以及文件管理的相关操作命令,掌握 linux 中相关安全配置方法,建立起 linux 的基本安全框架。实验要求掌握 Linux 的操作系统安全的基本配置实验原理用户管理:Linux 支持以命令行或窗口方式管理用户和用户组。它提供了安全的用户和口令文件保护以及强大的口令设置规则,并对用户和用户组的权限进行细粒度的划分。文
2、件管理:在 Linux 中,文件和目录的权限根据其所属的用户和用户组来划分:文件所属的用户,即文件的创建者;文件所属用户组的用户,即文件创建者所在的用户组中的其他用户;其他用户,即文件所属用户组之外的其他用户。插入式身份认证模块 PAM:PAM 是插入式身份认证模块,它提供身份认证功能防止未授权用户的访问,其身份认证功能高度模块化,可通过配置文件进行灵活配置。在高版本的 Linux 中自动启用了 PAM,用户也可以自行配置 PAM 文件。但是,任何很小的错误改动都可能导致所有用户被阻塞,所以在进行相关文件改动之前,应当先备份系统内核。记录系统 syslogd:Linux 使用了一系列的日志文件
3、,为管理员提供了很多关于系统安全状态的信息。Syslogd 是一种系统日志守护进程,它接受系统和应用程序、守护进2程以及内核提供的消息,并根据在/etc/syslog.conf 文件的配置,对这些消息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫 syslog 接口来提供这些记录到日志中的消息。系统管理员可以通过设置/etc/syslog.conf 文件来设置希望记录的消息类型或希望监视的设备。实验仪器安装 red Hat Linux 9.0 操作系统的计算机实验内容和步骤一、账户和安全口令1、查看和添加账户添加账号:查看账户列表,并进入用户查看权限2、添加和更改口令切换用户
4、并添加口令:3、设置账户管理4、账户禁用与恢复3锁定账户验证,表明锁定成功检查用户的当前状态解锁用户5、建立用户组:用如下命令创建新的用户组:用如下命令修改用户的名称:用如下命令将用户添加进用户组用下面的命令将用户设置为该用户组的管理员6、设置口令规则用 vi 命令编辑 /etc/login.defs 文件47、为账户和组相关系统加上不可更改属性,防止非授权用户获得权限输入一下命令为口令文件加上不可更改属性:验证是否成功:验证结果可用同样的方法锁定/etc/shadow、/etc/group、/etc/gshadow。去除不可修改属性可用如下命令:验证是否成功:二、文件系统管理及安全1、新建文
5、件夹和文件再用此命令在 folder 文件下建一个子文件夹:进入 folder 文件夹下建立一个名为 newfile 的文件2、编辑文件用 vi 命令编辑 newfile 文件,在插入模式下插入;按【ESE】键返回命令行格式,输入“:wq”退出并保存53、查看文件内容和相关信息使用 cat 命令查看文件相关内容用 ll 命令查看相关的文件信息,输入如下:4、设置文件的所属用户、用户组合权限用 chmod 命令将 newfile 文件的访问权限设置为所属用户有读写和执行权限,用户组有读写权限,其他用户没有任何权限再次查看用户权限:分别用 root 用户和 myusername 用户尝试读写操作并
6、记录试验结果用 root 用户用 myusername 用户:三、查看和更改 PAM 模块设置1、查看用于控制口令选择和口令时效的 PAM 模块设置查看/etc/pam.d 文件夹中的文件列表打开文件/etc/pam.d/passwd,查看与用户口令有关的 PAM 设置6查看文件/etc/pam.d/system-auth2、限制 su 命令的使用用户查看所需要的用户组,不存在责创建新建用户,并将其加入到 wheel 用户组中再次查看信息,终端显示7输入下面的命令行,用 vi 编辑 su 文件(5)、输入下面命令,更改文件权限,限制只有 wheel 用户可以使用 su 命令(6)用 su 命令
7、相互切换用户成员,发现权限不够四、检查 syslog 日志设置以及日志文件(1)打开/etc/syslog.conf 文件,查看相关设置rao1localhost root$ cat /etc/syslog.conf# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console# Log anything (except mail) of level info or higher.# Dont log private authentication m
8、essages!*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* /var/log/maillog8# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.emerg *# Save news
9、 errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler# Save boot messages also to boot.loglocal7.* /var/log/boot.lognews.=crit /var/log/news/news.critnews.=err /var/log/news/news.errnews.notice /var/log/news/news.notice(2)打开/var/log/message 文件,查看系统相关的记录信息,找出用户身份认证的记录(3)新
10、建用户 user,并以用户名重复两次是失败的系统登录(4)再次查看/var/log/message 文件,查看关于登录失败的记录信息,可以看到两次登录失败的记录思考题:(1)在 Linux 中,如何设置一个文件夹的访问权限答:可以用 chmod 命令,chmod xxx dirxxx 为 3 位数字,分别表示文件所有者,文件所有者所在的组,其他用户的权限 4 代表读权限,2 代表写权限,1 代表执行权限,需要那些权限相加即可,0 为不任何权限 dir 为要更改权的文件如果是文件夹带上递归参数 -R,可改变文件内全部文件的权限。(2)如何限制其他用户使用 su 命令答:用 chowd 和 chm
11、od 两个命令,现更改文件权限,再限制将 su 命令限制到某个用户组,这样就只能这个用户可以用 su 命令了。(3)如何启用和禁止用户账户9答:用“passwd l 【用户名】”将用户锁住。用“passwd l 【用户名】”将用户解锁。2.2.2 Linux 中的 Web、Ftp 服务器的安全配置一、Apache 服务器的安全配置(1)apache 的安装通过下面命令检查 apache 是否安装:说明已经安装。如果未安装,则通过 mount 挂载光盘,进入光盘通过 rmp 命令安装,最后用 unmount 卸载光盘。(2)apache 的启动用下面命令查看 apache 是否启动:发现服务停止
12、,则用下面命令启动服务,并再次验证:用下面命令查看 httpd 所有进程:(3)apache 的配置10启动 apache:用 vi 命令对 apache 进行配置:(4)修改主配置文件1、修改主配置文件:2、重启 apache3、在客户机上访问 http:/192.168.0.20/server-info11(5)认证与授权1、修改主配置文件2、创建口令文件 security,并添加用户 rym,密码 rym,域 security3、改口令文件的所有者和用户组均为 apache:4、重启 httpd:5、在客户机登录,验证:12登录成功:13(6)日志的管理和统计分析通过 cat 命令查看错
13、误日志和访问日志:二、vsftpd 服务器的安全配置(1)通过以下命令确认 vsftpd 是否安装:启动 vsftpd:14(2)独立 FTP 服务器的安全配置:用 vi 编辑 FTP 的配置文件/etc/vsftpd/vsftpd.conf1、禁止匿名用户名登陆:2、对本地用户的登陆和访问进行控制:对本地用户的访问进行控制:3、控制用户登陆后难呢过切换到自身根目录以外的目录:4、设置日志选项:155、设置安全选项:6、设置性能选项:7、独立模式下和其他认证方式方法的结合:客户端访问 ftp:16(3)xinetd 方式下 FTP 服务器的安全配置1、修改 vsftpd.conf 配置文件。2
14、、编辑 xinetd 配置文件,复制 vsftpd:编辑 vsftpd 文件:3、修改 vsftpd 的启动流程删除独立 vsftpd 的启动项重新启动 xinetd 守护进程,由 xinetd 启动 vsftpd:17实验总结思考题:1、 在 apache 配置中,如何设置值允许一部分 IP 地址访问? 答: 在中做如下配置:SetHandle server-infoOrder deny,allowAllow from 【ip 地址】/【子网掩码】Deny from all配置完后重启 httpd 服务2、 在 apache 配置中,如何设置网站文件夹的可读写权限?答:(1)、修改主配置文件(2)、创建口令文件 security,并添加用户 rym,密码 rym,域 security(3)、改口令文件的所有者和用户组均为 apache:(4)、如果要设置可读写权限的操作,可在 apache 用户组中添加新用户,并在security 中对此用户进行权限设置。(5)、重启 httpd3、 在 apache 配置中,如何保证日志文件的安全性?答:1、对日
