《网络安全运行与维护M32加强Linux用户网络访问权限的安全控制》由会员分享,可在线阅读,更多相关《网络安全运行与维护M32加强Linux用户网络访问权限的安全控制(13页珍藏版)》请在金锄头文库上搜索。
1、网络安全运行与维护网络安全运行与维护模块三Linux桌面系统安全管理与维护总体概述总体概述InternetVlantrunk单臂路由接入子公司接入互联网NFSVlantrunkVlantrunkVLANVLANVLANVLANVLAN通过系统口令加强Linux系统安全防护加强Linux用户网络访问权限的安全控制加强Linux文件系统安全访问使用安全审计加强Linux主机的安全维护能力单元能力单元2加强Linux用户网络访问权限的安全控制任务描述任务描述v任务描述通过上面的设置后,对桌面系统的口令安全进行了加强,但用户之间访问还存在很大的风险,所以还需要进行以下设置才能保证用户之间网络访问的安全
2、:禁止根shell禁止根登录禁止根用户SSH登录使用PAM禁用根权限限制根存取权限v任务分析任务分析v任务分析为了加强Linux系统安全,需要对普通用户的权限进行限制,如不进行权限限制,会造成以下几个不安全因素:机器的错误配置具备根权限的用户可能会错误配置他们的机器,从而需要协助;或者更糟的是打开安全漏洞而不自知。运行不安全服务具备根权限的用户可能会在他们的机器上运行不安全的服务器,如FTP或Telnet,从而在用户名和口令被明文传输时给它们带来潜在危机。作为根用户运行电子邮件附件影响Linux的病毒虽然很罕见,但是并不是没有。不过,它们只有在以根用户身份运行的时候才会给系统造成威胁。相关知识
3、相关知识v相关知识vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。vsftpd的名字代表verysecureFTPdaemon,安全是它的开发者ChrisEvans考虑的首要问题之一。在这个FTP服务器设计开发的最开始的时候,高安全性就是一个目标。PAM(PluggableAuthenticationModules)是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。任务实
4、施任务实施拓扑结构拓扑结构v拓扑结构任务实施任务实施实施步骤实施步骤v实施步骤步骤1禁止根shell第一步:搭建FTP服务器第二步:窃取FTP密码第三步:本地登录FTP服务器第四步:禁用根shell为了服务器安全,需要禁用根shell,修改配置文件/etc/passwd文件,将user1:x:500:500:/home/user1:/bin/bash改成user1:x:500:500:/home/user1:/sbin/nologin任务实施任务实施实施步骤实施步骤(cont.)v实施步骤步骤2禁止根登录第一步:启用telnet服务第二步:窃取telnet密码第三步:本地登录服务器第四步:禁用
5、根登录通过编辑配置文件/etc/securetty,可以禁止根登录,如下所示:echo/etc/securetty将配置文件内容清空就可以了。注意:千万不要删除此文件,如删除此文件表示允许所有。任务实施任务实施实施步骤实施步骤(cont.)v实施步骤步骤3禁止根用户SSH登录第一步:根用户使用SSH登录远程服务器第二步:窃取SSH密码rootLAB3#tcpdump-ieth0-Xdst10.1.1.1andsrc10.1.1.2anddstport22第三步:禁用根SSH登录修改配置文件/etc/ssh/sshd_config,将#PermitRootLoginyes改成PermitRoot
6、Loginno步骤4使用PAM禁用根权限第一步:启用VSFTP服务任务实施任务实施实施步骤实施步骤(cont.)v实施步骤第二步:配置PAM模块FTP服务器允许user1登录,而user2和user3不允许登录。修改配置文件/etc/vsftpd.ftpusers,在其配置文件加入user2user3步骤5限制根存取权限第一步:禁止根登录通过编辑配置文件/etc/securetty,可以禁止根登录,如下所示:echo/etc/securetty第二步:使用su命令实现根登录第三步:将user1加入到wheel组中任务实施任务实施实施步骤实施步骤(cont.)v实施步骤第四步:修改/etc/pam.d/su配置文件编辑配置文件/etc/pam.d/su文件,将#authrequired/lib/security/$ISA/pam_wheel.souse_uid改为authrequired/lib/security/$ISA/pam_wheel.souse_uid总结总结v本任务主要加强Linux用户网络访问权限的安全控制能力v主要采用以下技术方法来实现禁止根shell禁止根登录禁止根用户SSH登录使用PAM禁用根权限限制根存取权限
