《Linux服务器搭建_CHAP8ppt课件》由会员分享,可在线阅读,更多相关《Linux服务器搭建_CHAP8ppt课件(39页珍藏版)》请在金锄头文库上搜索。
1、第7章内容回顾v应用层代理和网络层防火墙具有不同的实现原理 和应用场合 v在Linux系统中内核提供包过滤防火墙功能,使 用squid服务器可实现代理服务器功能 viptables命令是对Linux内核包过滤防火墙的主 要管理工具 v通过防火墙策略的配置,Linux主机可实现包过 滤和NAT功能 vsquid服务器的主要功能是代理和缓存本资料由-大学生创业|创业|创业网http:/ 在线代理|网页代理|代理网页|http:/ 减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|http:/Chapter1/39Version 2.0网络安全管理第8章本资料由-大学生创业|创业|创业
2、网http:/ 在线代理|网页代理|代理网页|http:/ 减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|http:/本章目标v掌握SSH服务器管理和客户端的使用v掌握TCP Wrappers的配置管理 本资料由-大学生创业|创业|创业网http:/ 在线代理|网页代理|代理网页|http:/ 减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|http:/Chapter3/39本章结构网络安全管理SSH远程登录 服务SSH的起源与原理OpenSSH的基本配置管理OpenSSH的基本应用在Windows下使用SSH客 户端软件TCPD的概念hosts.deny和h
3、osts.allow 设置文件 TCP WrappersTCP Wrappers配置实例Chapter4/39TCP Wrappers的基本概念 vTCP Wrappers的功能 TCP Wrappers是大多数Linux发行版本中都默认提 供的功能 TCP Wrappers的主要执行文件是“tcpd” tcpd程序可以将其他的网络服务程序“包裹”起来,从 而进行集中的访问控制设置 vRHEL4系统中缺省安装了TCP Wrappers # rpm -q tcp_wrappers tcp_wrappers-7.6-37.2 Chapter5/39TCP Wrappers的设置文件 vTCP Wr
4、appers使用两个设置文件 “hosts.allow”和“hosts.deny”两个文件的用于保存 TCP Wrappers基于主机地址的访问控制策略 # ls /etc/hosts.*/etc/hosts.allow /etc/hosts.deny “hosts.allow”文件用于保存允许访问的策略 “hosts.deny”文件用于保存拒绝访问的策略 “hosts.allow”和“hosts.deny”文件中保存的设置是 即时生效的Chapter6/39TCP Wrappers设置文件的格式2-1v设置文件的格式 “hosts.allow”和“hosts.deny”文件中具有相同格式 的
5、配置记录 :动作 文件中每行为一个设置记录 v“服务程序列表”字段的表示 ALL代表所有的服务程序 单个服务的名称,例如in.telnetd代表telnet服务器程 序, vsftpd代表vsftpd服务器程序 多个服务程序名称可以组成列表,中间用逗号分隔, 例如“in.telnetd,vsftpd” Chapter7/39TCP Wrappers设置文件的格式2-2v“客户机地址列表”字段的表示 ALL代表所有的客户机地址 LOCAL代表本机地址 KNOW代表可解析的域名 UNKNOW代表不可解析的域名 以句点“.”开始的域名代表该域下的所有主机,例如 “”代表“”域中的所有主机 对某个子网
6、中的所有主机使用“子网/掩码”的形式表示 对于网络中的某个主机可直接使用IP地址表示 v“动作”字段使用“allow”表示允许,使用“deny” 表示拒绝 Chapter8/39TCP Wrappers配置实例4-1v配置要求 使用TCP Wrappers对vsftpd服务和telnet服务进行 基于主机的访问控制 vsftpd服务器和telnet服务器所在主机的地址为 “192.168.1.2” 对于vsftpd服务只允许IP地址为“192.168.1.100”至 “192.168.1.199”的主机进行访问 由于telnet服务相对不是很安全,因此只允许IP地址 为“192.168.1.1
7、22”的客户机访问Chapter9/39TCP Wrappers配置实例4-2 vtelnet服务器的安装 RHEL4系统中默认不安装telnet服务器 telnet-server软件包在第4张安装光盘,需要手工进行 安装 rpm -ivh /media/cdrom/RedHat/RPMS/telnet -server-0.17-30.i386.rpm vtelnet服务由xinetd调度启动 telnet在xinetd服务中的启动配置文件 /etc/xinetd.d/telnet telnet服务默认不启动,需手工设置 # chkconfig telnet on # service xine
8、td restart Chapter10/39TCP Wrappers配置实例4-3v使用telnet命令登录telnet服务器 telnet命令是telnet服务的客户端程序 # telnet 192.168.1.2 用户telnet登录的过程中会提示输入用户名和用户口 令 vtelnet服务的安全性 telnet服务使用明文传输所有的内容(包括用户登录 口令),因此存在安全隐患 应尽量使用SSH服务替代telnet服务Chapter11/39TCP Wrappers配置实例4-4vTCP Wrappers策略配置 hosts.deny文件 in.telnetd, vsftpd: ALL h
9、osts.allow文件 in.telnetd: 192.168.1.122 vsftpd: 192.168.1.1? v采取先“全部禁止”再“逐个开放”的策略设置方法 ,可以较好的实现“只允许”的访问策略 Chapter12/39阶段总结TCP Wrappers是各Linux发行版本中必备的功 能 通过tcpd服务程序可以对其他的网络服务程序实 现访问控制 通过在hosts.allow和hosts.deny两个文件中设 置访问控制策略,可以实现对TCP Wrappers的 控制 在hosts.allow和hosts.deny文件中的设置是即 时生效的Chapter13/39阶段练习J查看ho
10、sts.allow和hosts.deny文件的缺省设置 内容J在hosts.deny文件中增加禁止指定的客户机进 行telnet登录的访问控制记录Chapter14/39SSH的起源与原理 vSSH(Secure SHell),实现了与Telnet服务类 似的远程登录功能 vSSH协议在网络中使用密文传输数据 vSSH服务器中还支持使用scp和sftp等客户端程 序进行远程主机的文件复制Chapter15/39SSH的认证方式vSSH协议提供两种用户认证方式 基于口令的安全认证 与telnet类似,提供正确的用户口令后可以登录远程服 务器 基于密钥的安全认证 使用公钥和私钥对的方式对用户进行认
11、证Chapter16/39SSH密钥认证的原理vSSH服务中使用密钥进行用户认证每个用户都需要 生成自己的公钥 和私钥对文件用户的公钥文件 需要保存在SSH 服务器主机中用户私钥文件保 存在SSH客户端 主机中Chapter17/39OpenSSH服务器vOpenSSH是著名的开源软件项目 vOpenSSH是SSH协议的免费实现版本 vOpenSSH可应用于大多数UNIX系统v绝大多数Linux发行版本都采用OpenSSH作为 SSH服务器Chapter18/39OpenSSH的软件包组成vRHEL4系统中OpenSSH服务器和客户端软件是 默认安装的 openssh软件包是实现ssh功能的公
12、共软件包 openssh-server软件包实现了SSH服务器的功能 openssh-clients软件包中包含了SSH服务的客户端 程序 openssh-askpass和openssh-askpass-gnome只 有在Linux的图形界面下使用SSH服务时才需要 Chapter19/39OpenSSH服务的启动与停止 vOpenSSH的服务程序名称是sshd vsshd服务程序的启动脚本 /etc/init.d/sshd vsshd服务程序缺省状态为自动启动 vsshd服务的启动与停止 启动服务程序 service sshd start 停止服务程序 service sshd stopCh
13、apter20/39OpenSSH服务的配置文件 v配置目录 OpenSSH服务器和客户机的所有配置文件都保存在 同一目录中 /etc/ssh/ v服务器配置文件 SSH服务器的配置文件是sshd_config /etc/ssh/sshd_config v客户机配置文件 SSH客户程序的配置文件是ssh_config /etc/ssh/ssh_config Chapter21/39OpenSSH的典型用户登录 v使用ssh命令登录SSH服务器 # ssh root192.168.1.2 v首次登录SSH服务器 为了建立加密的SSH连接需要用户在客户端确认服务 器发来的RSA密钥 (输入yes)
14、 v用户认证 每次登录SSH服务器都需要输入正确的用户口令 SSH登录使用的是SSH服务器主机中的用户帐号Chapter22/39SSH的用户目录 v“.ssh”目录 在SSH客户主机的用户宿主目录中,使用名为“.ssh” 的目录保存用户的SSH客户端信息 /.ssh/ “.ssh”目录在用户首次进行SSH登录后自动建立 v“known_hosts”文件 “known_hosts”文件位于“.ssh”目录中 “known_hosts”文件用于保存当前用户所有登录过的 SSH服务器的RSA密钥Chapter23/39基于密钥的SSH用户认证4-1 v设置密钥认证的一般步骤 在SSH客户端生成用户
15、的公钥和私钥对文件 将SSH客户的公钥添加到SSH服务器中用户的认证文 件中 验证密钥的认证 Chapter24/39基于密钥的SSH用户认证4-2v在SSH客户端生成用户的公钥和私钥对 使用ssh-keygen命令生成密钥对 $ ssh-keygen -t rsa v公钥和私钥文件 ssh-keygen命令将在“.ssh”目录中生成公钥和私钥 文件 id_rsa是私钥文件,内容需要严格保密 id_rsa.pub是公钥文件,可发布到SSH服务器中Chapter25/39基于密钥的SSH用户认证4-3v复制公钥文件 将客户端中的用户公钥文件复制到SSH服务器中 公钥文件的复制可使用软盘、U盘或网络 v将公钥内容追加到authorized_keys 文件 authorized_keys 文件保存在SSH服务器中用户目录 的“.ssh”子目录中 authorized_keys用于保存所有允许以当前用户身份 登录的SSH客户端用户的公钥内容 使用“”重定向符将用户公钥追加到 authorized_keys文件中 cat id_rsa.pub /.ssh/au
