Linux操作系统应用与安全第9章Linux系统的安全管理.ppt

Linux操作系统应用与安全 主编 李贺华 中国水利水电出 版社 应用与安全 Linux系统的安全管理 11 应用与安全 Linux系统的安全管理 o学习要求：了解计算机系统不安全的主要因 素；掌握Linux操作系统主要的安全措施；了 解Linux系统下的杀毒软件；掌握至少一个软 件的安装与使用；掌握Iptables在不同环境 和需求下的配置。 o学习重点：1计算机系统不安全的主要因素 ；2.Linux操作系统的主要安全措施； 3.Linux操作系统下的病毒防治；4.Iptables 在不同环境和需求下的配置。 o学习难点： 4.Iptables在不同环境和需求下 的配置 应用与安全 9.1 Linux的主要安全问题 9.1.1 计算机不安全的因素 o软件系统 o硬件系统 o数据输入输出部分 o周围环境 o管理因素 o病毒破坏 o黑客攻击 应用与安全 o设置BIOS密码 o设置用户登录口令 o加强root用户的安全 o删除多余的默认账号 o加强配置文件的安全 o加强启动脚本安全 o禁止响应ping o禁止使用Ctrl+Alt+delete重启主机 o合理划分Linux系统分区 o合理利用日志文件 9.1.2 Linux系统的安全措施 应用与安全 oAvira AntiVir Personal oFree avast! Linux Home Edition oClamTk Virus Scanner 9.2 Linux系统下的病毒防治 9.2.1 Linux下的杀毒软件概述 应用与安全 o杀毒软件的下载与注册 o杀毒软件的安装与更新 o使用avast查杀病毒 9.2.2 Linux下的杀毒软件使用 应用与安全 9.3 Linux系统下的防火墙使用 9.3.1 Netfilter/Iptables概述 Red hat Linux 提供的防火墙软件包内置于Linux内核中，是一种 基于包过滤防火墙的技术。其中心思想是根据网络层IP包头中的源地址 、目的地址及包的类型等信息来控制包的流向。更彻底地过滤则是检查 包中的源端口、目的端口以及连接状态等信息。 Iptables是建立在netfilter架构基础上的一个包过滤管理工具，可 以用它来加入或删除包过滤的规则。实际上真正来执行这些过滤规则的 是Netfiter。因此，要在Linux中实现防火墙功能，需要有Netfilter与 Iptables的支持。 Netfilter提供一系列的表（table），每个表由若干链（chain）组 成，而每条链中可以由一条或数条规则（rule）组成。它可以和其它模 块（如Iptables模块和nat模块）结合起来实现包过滤的功能。用户可以 使用Iptables命令实现网络访问控制，从而完成防火墙和地址转换的配 置。 应用与安全 9.3.2 图形化的防火墙配置工具 管理员在这里所做的安全按设定都将被保存在/etc/sysconfig/redhat-config- securitylevel和/etc/sysconfig/iptables文件中，用户不需要手工编辑这两个 文件。另外，当安全级别选择无防火墙时，/etc/sysconfig/iptables文件将 被系统自动删除。 应用与安全 应用与安全 o使用service命令 9.3.3 Iptables的启/停 o使用chkconfig命令 应用与安全 o规则 o链 o表 9.3.4 Iptables的语法规则 表是用来存储链的一个具体文件，在iptables中包含了3个 表（table），它们分别是filter、nat和mangle。 表filter用来记录包过滤的具体操作，其中包括INPUT（处 理进入的数据）、FORWARD（转发数据）和OUTPUT（处 理本地数据）3个内置链，另外还可以包含用户自定义的链 。 表nat用来记录地址转换规则，其中包括PREROUTING（ 修改即将到来的数据）、OUTPUT（修改在路由之前的本地 数据）以及POSTROUTING（修改即将输出的数据）3个链 。 表mangle用来记录包的修改方式，其中包括INPUT（处 理进入的数据）、OUTPUT（处理本地数据）、FORWARD （转发数据）、PREROUTING（修改即将到来的数据）以 及POSTROUTING（修改即将输出的数据）5个链。 应用与安全 iptables本身即是软件的名字，又是运行该软件的命令，使用格式是： “iptables -t 表 命令选项 链 匹配选项 动作选项”，下面是各个部 分的说明。 1）-t 表：该选项表示将该命令的纪录保存在filter、nat和mangle3个表 中的哪一个表中。 2）命令选项：表示使用的具体命令参数，如表9.2所示。 表9.2 命令选项 选项作用 -A或append在所选链 尾部加入一条或多条规则 。 -D或-delete在所选链 尾部删除一条或多条规则 。 -R或-replace在所选链 中替换一条匹配规则 。 -I或-insert以给出的规则 号在所选链 中插入一条或多条规则 。如果规 则号为1，即在链的头部。 -L或-list列出指定链中的所有规则 ，如果没有指定链，将列出所有 链中的规则 。 -F或-flush清除指定链和表中的所有规则 ，假如不指定链，那么所有 链都将被清空。 -N或-new-chain以指定名创建一条新的链，不能与已有链同名。 -X或-delete-chain删除指定的链，必须保证链 中的规则 都不再使用时才能删 除，若没有指定链，则删 除所有链。 -P或-policy为永久链指定默认规则 （内置链策略），用户定义链 没有 缺省规则 ，缺省规则 也是规则链 中的最后一条规则 ，用“- L”显示时它在第一行。 -C或-zero将指定链中所有的规则 包字节计 数器清零。 -h显示帮助信息。 应用与安全 3）链：表示要进行操作的链的名字。 4）匹配选项：该参数为命令选项的补充参数，可以用来定义 网络协议和IP地址等。该参数的具体内容如表9.3所示。 选项作用 -p !protocol指定数据包匹配的协议 ，可以使tcp、udp、icmp和all，前缀“!”表示除该协议 外的所有协议 。 -s !address/mask指定数据包匹配的源地址或者地址范围。 -sport !port:port指定数据包匹配的源端口号或者端口号范围，可以用端口号也可以用“/etc/services”文件中名字。 -d !address/mask指定数据包匹配的目的地址或者地址范围。 -dport !port:port指定数据包匹配的目的端口号或者端口号范围，可以用端口号也可以用“/etc/services”文件中名字 。 -icmp-type !typename指定匹配规则 的ICMP信息类型（可以使用“iptables p icmp -h”查看有效的ICMP类型名）。 -i !interface name+匹配单独或某种类型的接口，此选项 忽略时默认为 所有接口。指定一个目前不存在的接口也是 合法的，规则 直到接口工作时才起作用。“+”表示匹配所有此类型接口。该选项 只针对 INPUT、FORWARD和POSTROUTING链是合法的。 -o !interface name+匹配规则 的对外网络接口，该选项 只针对 OUPUT、FORWARD和POSTROUTING链是合法的。 !-syn仅匹配设置SYN位，清除ACK和FIN位的TCP包。这些包表示请求初始化的TCP连接，阻止从接 口来的这样 的包将会阻止外来的TCP连接请求，但输出的TCP连接请求不受影响。这个选 项仅 当协议类 型设置为TCP时才能使用。“!”表示只允许已有的、向外发送的连接所返回 的包，一般用于限制网络流量。 应用与安全 5）动作选项：该参数用来决定数据最终被如何执行。如表9.4所示。 选项作用 ACCEPT允许数据包通过或接收该数据包。 SNAT源地址转换 ，即改变数据包的源地址。 DNAT目标地址转换 ，即改变数据包的目标地址。 MASQUERADE用于实现 IP伪装，只用于nat表的PREROUTING链，实际 上 是SNAT的一种特殊形式。只能用于拨号上网等动态 分配IP地址的连接，如果IP地址是静态的，就要用 SNAT。 REDIRECT将数据包重新定义到另一个接口。只适用于nat表的 PREROUTING和OUTPUT链。 DROP直接丢弃数据包。 REJECT拦截该数据包，并回传一个数据包告诉对 方。 LOG日志功能，将符合规则 的数据包相关信息记录 在日志中， 方便管理员分析和排错。 TOS改写数据中的TOS 应用与安全 o查看iptables命令的帮助 9.3.5 Iptables命令的使用 查看iptables帮助，使用“iptables -h”命令，选项“-h”表示参看帮助。 应用与安全 o查看、新建、删除链 9.3.5 Iptables命令的使用 新建、删除和查看链中的规则使用的命令格式为：“iptables -t 表名 -N|X|L|F 链名”。其中：“-t 表名”指定表的名字，表名 可以使用filter、nat和managle，默认查看filter表；“-L”列出链 中的规则；“-N”新建一个链；“-X”删除一个链，但是不能删除 内置链，并且只能删除空链；“链名”指定链的名字，如果不指 定则默认查看指定表中的所有。 应用与安全 应用与安全 o定义默认策略 9.3.5 Iptables命令的使用 当数据包不符合链中的任何一条规则时，iptables将根据该链预先定 义的默认策略处理。默认策略的定义采用如下的命令格式：“iptables -t 表名 -P 链名 -j 动作”。其中：“-t 表名”表示定义的是哪个表 的规则，表名可以是filter、nat和managle，未指定的情况下默认是 filter表；“-P”表示定义的是默认策略；“链名”表示规则保存到哪个链 中，如果不指定则默认保存到表中所有的链；动作表示处理数据包的 方法，可以是ACCEPT或DROP等。 应用与安全 o增加、插入、删除和替换链中的规则 9.3.5 Iptab