配置Linux系统进行主动防御.doc

主机安全配置linux系统进行主动防御配置Linux系统进行主动防御(SEC-L01-001.1)系统安全始终是信息网络安全的一个重要方面，攻击者往往通过控制操作系统来破坏系统和信息，或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会。实验目的了解系统加固可以采取的手段： 了解Linux系统帐户创建，密码设置，登录管理。 加强对Linux系统的访问控制了解（iptables）。 熟悉，修改Linux帐号的不安全配置。 禁止不必要的网络服务。 实验拓扑实验准备 下载实验中使用的远程连接工具Putty 1.下载实验工具包SEC-L01-001.rar,并使用RAR压缩工具解压。2.找到解压文件中的远程连接putty工具。 注： Putty是一个小而精悍的Linux服务器远程控制工具，Linux 自带有 ssh 服务，开启ssh服务后就可以使用putty远程控制，在使用putty登入时要记得选中 SSH， 否则是无法远程登入的。 实验步骤使用Putty工具远程连接实验主机步骤说明：了解熟悉使用putty工具，并用putty工具连接目标加固主机，添加实验使用的临时系统帐户。 1.点击运行Putty，在出现的窗口界面的hostname处输入实验目标主机ip，并选择ssh，点击open。如：图1注： 本次实验中远程登录方式采用的都是SSH方式，下面将不再特别说明。 图1 2.如果出现如下“PuTTY Security Alert”窗口，点击“是”，如：图2图2 3.在随后出现的登录界面，按提示依次输入：root 回车 1qazWSX，将出现如下界面，此时已经使用root帐号登录目标主机成功。如：图3注： 1qazWSX为实验目标主机root帐号默认密码, 实验期间请勿修改root帐户的密码。 图3 4.输入如下操作添加试验用系统帐号test。注： 密码也定为test，由于密码强度不够，系统会有所提示，先忽略。 rootLT-courseware-0009 #useradd testrootLT-courseware-0009 #passwd testChanging password for user test.New UNIX password:（【注释】此处输入口令)BAD PASSWORD:it is too shortRetype new UNIX password: (【注释】此处再次输入)passwd:all authentication tokens updated successfully.5.用添加的test帐号按照步骤2)开始的操作方式ssh登录目标主机，如果操作正确将会得到如下界面，显示test已经登录成功；如：图4图4 6.本部分实验结束，关闭所有实验打开的程序及窗口。禁止root帐号远程登录步骤说明：在LINUX系统中，计算机安全系统建立在身份验证机制上。如果root口令被盗，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户 root 远程登录，对保证计算机系统的安全，具有实际意义。 1.运行Putty工具以root用户登录到实验目标主机。 2.使用vi修改/etc/ssh/sshd_config文件，如：图5rLT-courseware-0009 #vi /etc/ssh/sshd_config 图5 3.查找到#PermitRootLogin yes这一行，作如下修改*将注释符#号去掉*修改 yes为no最终修改该行为：PermitRootLogin no，保存并关闭sshd_config，如：图6图6 4.重起SSH服务。rootLT-courseware-0009 #service sshd restart 5.使用Putty工具以root帐号方式登录到实验目标主机会发现系统显示Access denied，如：图7图7 【说明】root帐号已经无法登录。6.关闭当前Putty工具窗口，重新运行Putty工具，使用前面创建的test用户登录到实验目标主机。 7.使用su命令，并按照提示输入root密码，转换到root用户身份。 testLT-courseware-0009 $su -Password:(【注释】此处输入root密码)rootLT-courseware-0009 # 8.使用vi修改/etc/ssh/sshd_config文件。 9.将刚才修改的那行配置还原 PermitRootLogin no如：图8 图8 还原为 #PermitRootLogin yes如：图9图9 10.重起SSH服务。rootLT-courseware-0009 #service sshd restart 11.关闭当前Putty工具窗口，重新运行Putty工具以root用户登录到实验目标主机，此时显示登录成功。如：图10 图10 12.通过配置策略，可以成功限制系统root帐户的登录，实验操作成功，请关闭所有实验打开的程序及窗口，本部分实验结束。配置策略锁定多次尝试登录失败的用户步骤说明：锁定多次尝试登录失败的用户，能够有效防止针对于系统用户密码的暴力破解，配置策略锁定多次尝试登录失败的用户,其带来的最大好处便是让猜密码包括部分暴力破解密码的方式失去意义。 1.运行一个Putty工具,使用root帐号登录到实验目标主机。 2.使用vi修改/etc/pam.d/system-auth文件。testLT-courseware-0009 $vi /etc/pam.d/system-auth 3.在system-auth文件的auth部分增加如下一行(红字的部分)，如：图11auth required /lib/security/$ISA/pam_env.soauth required /lib/security/pam_tally.so onerr=fail no_magic_rootauth sufficient /lib/security/$ISA/pam_unix.so likeauth nullokauth required /lib/security/$ISA/pam_deny.so图11 4.在system-auth文件的account部分增加如下一行(红字的部分)，然后保存并关闭system-auth文件account required /lib/security/$ISA/pam_unix.soaccount required /lib/security/pam_tally.so deny=3 no_magic_root resetaccount sufficient /lib/security/$ISA/pam_succeed_if.so uid 设置网络连接本地连接，点击支持标签，获取本机的IP(如下图红圈的位置显示的即为本机IP)，如：图26 图26 记录下本机IP后，将该窗口关闭。2.点击本机的开始-运行，输入：cmd，打开一个cmd 窗口。 注： 同实验5步骤1。 3.在cmd窗口，输入: netstat -na |find LINSTEN 在显示的本机端口侦听列表中随机选择一个TCP的侦听端口，作为后继实验的连接测试使用，如：445注： 本实验文档以445端口为例，实验者可以根据实际情况自己选择。 如：图27图27 4.运行Putty工具以root用户登录目标加固主机，执行如下指令。rootLT-courseware-0009 # telnet xxx.xxx.xxx.xxx 445 注： xxx.xxx.xxx.xxx为目标本机IP地址。 如果输入正确则返回结果显示如下，则说明该IP的该端口开放，即此时可以访问本机，如：图28图28 此时，按CTRL+，再输入:quit，可以退出此状态，如：图29图29 5.使用vi修改/etc/sysconfig/iptables文件。 rootLT-courseware-0009 # rootLT-courseware-0009 sysconfig#vi /etc/sysconfig/iptables 6.添加一行如下内容，如：图30 rootLT-courseware-0009 # -A OUTPUT -d xxx.xxx.xxx.xxx -m state -state NEW -j DROP 注： xxx.xxx.xxx.xxx为本机IP。 图30 保存并关闭iptables文件。7.重起iptables服务。rootLT-courseware-0009 sysconfig#service iptables restart 8.再次按照步骤4)方式连接本机445端口，等候数分钟后，会显示如下结果，如：图31 图31 【说明】此时目标加固主机已经无法和本