收藏
下载资源

Linux安全LinuxSecuritychap05v1.0章节

上传人:E**** 文档编号:91241248 上传时间:2019-06-26 格式:PPT 页数:39 大小:1.53MB
返回 下载 相关 举报
Linux安全LinuxSecuritychap05v1.0章节_第1页
第1页 / 共39页
Linux安全LinuxSecuritychap05v1.0章节_第2页
第2页 / 共39页
Linux安全LinuxSecuritychap05v1.0章节_第3页
第3页 / 共39页
Linux安全LinuxSecuritychap05v1.0章节_第4页
第4页 / 共39页
Linux安全LinuxSecuritychap05v1.0章节_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《Linux安全LinuxSecuritychap05v1.0章节》由会员分享,可在线阅读,更多相关《Linux安全LinuxSecuritychap05v1.0章节(39页珍藏版)》请在金锄头文库上搜索。

1、BENET3.0第二学期课程,第五章 漏洞检测和远程访问控制, 理论部分,2,课程回顾,普通代理、透明代理的特点和区别在哪里? 反向代理的主要作用是什么,如何配置实现? 在配置透明代理时,设置的防火墙规则起什么作用? 实现squid访问列表控制的2个主要配置项是什么?,3,技能展示,会构建及使用Nessus漏洞检测系统 熟悉NMAP、EtterCap、WireShark等常用工具 会构建安全的SSH远程登录服务 会使用SSH客户端工具实现远程访问 会应用TCP Wrappers访问控制机制,4,本章结构,构建Nessus漏洞检测系统,漏洞检测和远程访问控制,其他常用扫描及分析工具,构建SSH远

2、程登录系统,使用TCP Wrappers机制,安装Nessus漏洞检测系统,使用NessusClient用户端,配置nessusd服务端,OpenSSH服务端安全控制,构建密钥对验证的SSH登录体系,SSH客户端安全应用,NMAP、EtterCAP、WireShark,5,构建Nessus漏洞检测系统,Nessus是什么 强大的网络弱点(漏洞)扫描与分析工具 美国 Tenable Network Security,Inc 公司出品 官方站点:http:/www.nessus.org/ Nessus系统的组成 服务器端:nessusd 用户端(客户端):NessusClient,6,安装Ness

3、us漏洞检测系统,安装Nessus服务端 下载文件: Nessus-3.2.1-es5.i386.rpm 默认安装路径: /opt/nessus/ 安装Nessus用户端 下载文件: NessusClient-3.2.1-es5.i386.rpm 默认安装路径: /opt/nessus/,rootlocalhost # vi /.bash_profile export PATH=/opt/nessus/sbin:/opt/nessus/bin:$PATH export MANPATH=/opt/nessus/man:manpath rootlocalhost # source /.bash_p

4、rofile,调整PATH变量,7,配置Nessus服务器端,启动nessusd服务器程序 方法1: /etc/init.d/nessusd start 方法2:service nessusd start 添加扫描用户 nessus-adduser 脚本 设置扫描权限,accept 192.168.10.0/24 accept 10.0.0.0/24 default deny,扫描权限限制,8,使用NessusClient用户端,启动用户端程序 在图形界面中执行 NessusClient & 连接并登录到nessusd服务器 添加扫描目标 例如:IP地址为 192.168.10.20 的服务器

5、主机 执行扫描,9,使用NessusClient用户端,查看扫描结果报告,10,其他常用扫描及分析工具,NMAP扫描工具 主要用于网络/主机扫描探测的命令行软件 官方站点:http:/ EtterCAP网络嗅探工具 主要针对用户名/密码等敏感信息的嗅探抓包工具 官方站点:http:/ WireShark协议分析器 抓取网络数据包并进行逐层分解的协议分析软件 官方站点:http:/www.wireshark.org/,11,NMAP扫描工具的使用,安装nmap程序 从RHEL5系统光盘中安装 nmap-4.11-1.1.i386.rpm 扫描方法 nmap 扫描类型 选项 扫描目标 常用的扫描类

6、型 -sS TCP SYN扫描 -sT TCP连接扫描 -P0 忽略ping测试反馈结果 -sU UDP扫描 -O 尝试探测操作系统类型 常用的命令选项 -p 指定扫描的目标端口 -n 不进行反向DNS解析,12,EtterCAP嗅探工具的使用,安装EtterCAP软件 从RHEL5光盘安装依赖软件包: libpcap、libpcap-devel 需下载并依次安装下列软件包 libnet-1.1.2.1-2.2.el5.rf.i386.rpm ettercap-NG-0.7.3.tar.gz,13,EtterCAP嗅探工具的使用,嗅探方法 在图形模式中执行 ettercap -G & 打开程序

7、 指定用于嗅探数据的网卡 添加嗅探目标 例如嗅探本机(192.168.10.2)与192.168.10.20间的通信 执行嗅探 查看嗅探结果,14,WireShark协议分析工具的使用,安装WireShark软件 从RHEL5光盘安装依赖软件包: libpcap、libpcap-devel 需下载安装的软件包 wireshark-1.0.2.tar.gz,15,WireShark协议分析工具的使用,协议分析方法 在图形模式中执行 wireshark & 打开程序 指定用于抓包的网卡 执行数据包抓取(可随时暂停) 过滤抓取的数据包 查看数据包信息,16,小结,请思考: Nessus漏洞检测系统的

8、用户端程序是什么? 在添加用于漏洞扫描的用户时如何限制扫描权限? NMAP、EtterCAP和WireShark工具各自的用途和特点是什么?,17,构建SSH远程登录系统,SSH(Secure Shell,安全的命令解释器) 为客户机提供安全的Shell环境,用于远程管理 默认端口:TCP 22 OpenSSH 官方站点:http:/ 主要软件包:openssh-server、openssh-clients 服务名:sshd 服务端主程序:/usr/sbin/sshd 客户端主程序:/usr/bin/ssh 服务端配置文件:/etc/ssh/sshd_config 客户端配置文件:/etc/s

9、sh/ssh_config,18,OpenSSH服务端安全控制,用户远程登录安全控制,Port 22 ListenAddress 192.168.2.1 PermitRootLogin no PermitEmptyPasswords no LoginGraceTime 2m MaxAuthTries 6,DenyUsers zhangsan lisi,AllowUsers jerry admin61.23.24.25,19,OpenSSH服务端安全控制,SSH登录使用的用户名 服务器中的本地系统用户的帐号名 SSH登录的用户验证方式 密码验证:使用服务器中系统帐号对应的密码 密钥对验证:使用客

10、户机中生成的公钥、私钥,PasswordAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys,20,SSH客户端应用,使用ssh命令远程登录 方式1: ssh 用户名服务器地址 方式2: ssh -l 用户名 服务器地址 方式3: ssh 服务器地址 使用scp命令远程复制文件/目录 方式1: scp 用户名服务器地址:源文件 目标路径 方式2: scp 本地文件 用户名服务器地址:目标路径 若复制的是目录,则需添加“-r”选项 使用sftp命令从服务器下载文件,21,SSH客户端

11、应用,使用图形客户端软件 PuttyCN 主要用途:基于SSH协议远程登录以便管理服务器 下载地址:http:/wrc.gro.clinux.org/putty/ 使用图形客户端软件 WinSCP 主要用途:基于sftp、scp或ftp的方式下载/上传数据 下载地址:http:/ 私钥文件:id_rsa 公钥文件:id_rsa.pub,SSH客户机,SSH服务器,第二步:上传公钥文件 id_rsa.pub,第三步:将公钥信息导入公钥数据库 数据库文件:/.ssh/authorized_keys,第四步:再次登录时将通过密钥对验证,以用户zhangsan在客户机本地登录,并创建密钥对,导入到服务

12、器中用户lisi的公钥数据库,以服务器中用户lisi的身份进行SSH远程登录,24,构建密钥对验证的SSH登录体系,基本实现步骤 1.在客户机创建密钥对 ssh-keygen命令 2.将公钥文件上传至服务器 3.设置服务器 将公钥信息导入到服务器中用户的公钥数据库 禁用密码验证、启用密钥对验证,并重启sshd服务 4.在客户机远程登录进行验证,zhangsanlocalhost $ ssh lisi192.168.4.1 Enter passphrase for key /home/zhangsan/.ssh/id_rsa: Last login: Fri Aug 15 14:02:44 20

13、08 from 192.168.4.234 lisilocalhost $,25,使用TCP Wrappers机制,TCP Wrappers的作用原理,TCP Wrappers,代为监听端口21 代为监听端口23 代为监听端口110 代为监听端口143 ,客户机的网络访问请求,对访问请求进行过滤控制,vsftpd telnet ipop3 imap ,调用相应的网络程序,26,使用TCP Wrappers机制,软件包 tcp_wrappers-7.6-40.2.1.i386.rpm 保护机制的实现方式 方式1:通过tcpd主程序对其他服务程序进行包装 方式2:由其他网络服务程序调用libwra

14、p.so.*链接库 主要配置文件 /etc/hosts.allow /etc/hosts.deny,27,使用TCP Wrappers机制,设置访问控制策略 配置格式:服务程序列表:客户机地址列表,服务程序列表 单个服务程序名 以逗号“,”分隔多个服务程序名 ALL表示所有服务程序,客户机地址列表 单个IP地址 网段地址,“192.168.4.”或“192.168.4.0/255.255.255.0” 使用通配符 ? 和 * 以逗号“,”分隔多个地址 ALL表示所有地址,28,使用TCP Wrappers机制,TCP Wrappers的访问控制原则 首先检查 hosts.allow 文件,若找

15、到相匹配的策略,则允许访问 否则继续检查 hosts.deny 文件,若找到相匹配的策略,则拒绝访问 如果两个文件中都没有相匹配的策略,则允许访问,29,使用TCP Wrappers机制,应用示例: 仅允许地址为 61.63.65.67 或 176.16.16.1019 以及 192.168.2.0/24 网段的客户机访问sshd服务,rootlocalhost # vi /etc/hosts.allow sshd:61.63.65.67,192.168.2.*,176.16.16.1? rootlocalhost # vi /etc/hosts.deny sshd:ALL,30,本章总结,构建Nessus漏洞检测系统,漏洞检测和远程访问控制,其他常用扫描及分析工具,构建SSH远程登录系统,使用TCP Wrappers机制,安装Nessus漏洞检测系统,使用NessusClient用户端,配置nessusd服务端,OpenSSH服务端安全控制,构建密钥对验证的SSH登录体系,SSH客户端安全应用,NMAP、EtterCAP、WireShark,BENET3.0第二学期课程,第五章 漏洞检测和远程访问控制, 上机部分,32,实验案例1:搭建Nessus漏洞检测系统,需求描述 安装NessusD服务器端软件 安装Nessus客户端软件 对扫描用

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号