RHCE认证253安全管理.ppt

第一单元 服务 任课讲师 服务 网络服务 根据其使用的方法来分 可以被分为三类由init控制的服务由SystemV启动脚本启动的服务由xinetd管理的服务 由init控制的服务 配置在 etc inittab中可以设置respawn参数在服务每次被关闭时自动重启inittab文件被改变后 可以用initq来使改动生效 由SystemV启动的服务 由 etc rc d init d 目录下的SystemV脚本启动 etc rc d init d script start stop restart 也可以用service命令来执行脚本 在不同运行级别下的默认开关可以不同用chkconfig来管理在有些地方也被称为standalone的服务 由xinetd管理的服务 由xinetd管理xinetddaemon服务管理文件放在 etc xinetd d 目录下编辑服务文件来开关服务重启xinetd chkconfig SystemV 决定在切换入某个运行级别下时 服务打开还是关闭xinetd 在xinetd服务正在运行的情况下 直接开启或关闭基于xinetd的服务 第二单元 DNS 任课讲师 DNS DNS DomainNameService 域名服务支持将计算机的域名解析成IP地址 正向搜索 支持将IP地址解析成计算机的域名 反向搜索 允许计算机根据逻辑组合成一个一个名字域 区 域及授权 一个域 domain 包含一个完整的分级域名下层树一个区 zone 则是域的一部分 被一个具体详细的服务器所管理子域可以被授权成为附加的域一个区可以直接管理子域 英特网上的分级DNS 根域名服务器作为区认证域名服务器的最高级别域名服务器存在为递归查询提供权威解释区认证域名服务器区的划分与认证主域名服务器与从域名服务器 主域和从域 主域服务器拥有一个域的主复制数据从域服务器为主服务器提供自动数据备份每一个从服务器都会自动从主服务器处同步更新数据 客户端DNS 客户端产生对IP与主机名解析的需求 通常DNS客户端上有许多程序运行时需要解析客户端检索本地数据文件的相关记录客户端将无法自行解释的需求 通过53端口送给指定的DNS服务器收回的数据也许并不权威 服务端DNS 服务端接受请求如果自己无法给出回答 则可能将请求转发给上级服务器 或直接询问根域名服务器其上级服务器有可能给出回答 或进一步转交给其他域名服务器一个服务器上可以记录多个域的数据 BIND BIND BerkeleyInternetNameDaemonBIND是在Internet上应用最为广泛的DNS服务器提供稳定与可信赖的下层结构以提供域名与IP地址的转换 BIND服务一览 后台进程 named脚本 etc rc d init d named使用端口 53 tcp udp 所需RPM包 bind bind utils相关RPM包 bindconf caching nameserver配置文件 etc named conf相关路径 var named etc sysconfig named named进程被SystemV脚本激活后 会根据此文件的参数决定其运行参数 例如 OPTION d5 将debug等级设为5 etc named conf named conf是BIND使用的默认配置文件在每一次named启动与挂起时都会被读取一个简单的文本文件 其中记录的可以包括options 全局参数 zone 区域定义 accesscontrollists 访问控制列表 等 option 在 etc named conf的options段中被宣告常用的参数包括directory 指定zonefile的存放位置forwarders 指定其上级域名服务器allow query 指定允许向其提交请求的客户allow transfer 指定允许复制zone数据的主机 主域 由一个zone段在 etc named conf中宣告typemaster file 存放该zone数据的文件名必须存在于options段中提及的目录之下文件名可以随意allow update 允许动态更新该zone数据的客户机 从域 由一个zone段在 etc named conf中宣告typeslave master 指定其主域名服务器对应的主域名服务器必须承认并存放有该区域的数据file 本地用于存放zone数据的文件从域名服务器总是试图与其master联系并获取一份当前数据的副本 反解析域 域的名字必须用 in addr arpa来结尾由一个zone段在 etc named conf中宣告反解析域一般对应到一个具体的IP段反解析域同样可以配置为从域许多服务会尝试进行反解析 根域 根域 zone IN typehint file named ca zone文件 文件通常存放在 var named目录下用于存放指定域内的各种资源与数据第一段资源记录被成为起始授权记录 SOA 每一个在 etc named conf中定义的zone都应该对应一个具体的zone文件 资源记录 SOA 定义起始授权NS 指定域名服务器MX 指定邮件服务器A 将一个域名解析成其后的IPCNAME 将一个域名设置为另一个域名的别名PTR 将一个IP地址指向一个域名 SOA记录 SOA StartofAuthority 起始授权每一个域文件中都应该有一个SOA段 INSOAlocalhost root localhost 1997022700 Serial28800 Refresh14400 Retry3600000 Expire86400 Minimum NS记录 NS nameserver 域名服务器每一个主域名服务器和从域名服务器都应该拥有一条NS记录 以防止主服务器在出现故障后 从服务器不能及时提供服务 INNSINNS 资源记录 A记录用于将主机名对应成IP地址CNAME记录用于定义某一个地址的别名PTR记录用于将IP地址对应成一个主机名 MX与HINFO记录 MX 用于定义某一个域里负责的邮件服务器每一条MX记录前都需要指定优先级别INMX5mailHINFO记录提供解析时对一台主机做补充注释server1INHINFOmasterserver RoundRobin 利用复数A记录来均衡数台服务器的访问负载www0INA192 168 0 3www0INA192 168 0 4www0INA192 168 0 5 rndc 域名服务器控制程序安全防范 远程控制运行的域名服务器使用TSIG安全例如 root stationxxroot rndcreloadrndc默认只监听本地loopback端口 BIND语法检查工具 在BIND出错时使用如下工具 named checkconf默认检查的配置文件是 etc fnamed checkzone检查一个Zone文件的配置 redhat config bind 图形界面下的BIND配置工具简单清晰地完成BIND配置可对应多个版本的BIND配置文件存放在 etc alchemist namespace dns local adl 第三单元 Samba 任课讲师 SAMBA原理概述 SAMBA SendMessageBlock整合了SMB协议及Netbios协议 使其运做在TCP IP上 能够让Unixbased的机器与windows互动 SAMBA服务有两个进程 smbd SMB服务器nmbd netbios名字服务器 SAMBA服务一览 后台进程 smbd nmbd脚本 etc rc d init d smb使用端口 137 138 139所需RPM包 samba samba common samba client相关RPM包 samba swat配置文件 etc samba smb conf SAMBA的配置 samba的配置文件 etc samba smb conf由数个 将配置文件分成数段 例如 global 一些全局配置 homes 让用户可以访问其主目录 printers 定义共享的打印机资源图形界面下的配置工具SWAT SambaWebAdminTool redhat config samba 全局设置 全局设置写在 global 段内 主要是指samba服务器的一些全局设定workgroupserverstringhostsallowsecurityencryptpasswordssmbpasswdfile 共享段 共享段用于在samba服务器上开放共享目录一般每一个 表示一个指定的共享目录 内写的是目录的共享名 测试samba服务 用户可以利用testparm指令来检查smb conf文件的语法 只能检查关键字段的拼写错误 对于配置值错误需要结合日志文件来判断 用户可以用servicesmbstatus判断samba服务的开启状况用户可以用nmblookup来检查本机上的samba服务是否正确开启 管理smb用户 samba服务支持用户级别的共享限制使用smbadduser添加可以使用smb服务的用户 语法 smbadduserlinux帐号 windows帐号使用smbpasswd改变用户的密码 用户密码存放在 etc samba smbpasswd文件中用户映射存放在 etc samba smbuser文件中 smbclient 可以用来向服务器请求samba服务资源列表smbclient L主机名可以用来象一个ftp客户端一样访问samba共享资源smbclient Ustudent XXX server1 tmp smbmount smbmount可以将远端的一个window共享目录 或Unix系统通过samba服务共享出来的目录 挂载到自己的Linux文件系统上 语法 smbmount server1 tmp mnt tmp o username student password XXX用于替代mount tsmb 第四单元 电子邮件服务 任课讲师 邮件发送模型 邮件用户代理 MUA 将信息传送给邮件传输代理 MTA 邮件传输代理决定信息送至目的地的路由 然后根据情况决定是否还需要将信息交给中介邮件传输代理域邮件传输代理将邮件送至邮件投递代理 MDA 用户收到邮件 SMTP协议 SMTP SimpleMailTransferProtocol 简单邮件传送协议定义邮件传送基于TCP服务的应用层RFC0821明文传送 SMTP协议的使用 SMTP协议使用25端口SMTP协议命令HELO 通报来访者地址MAILFROM 发件人地址RCPTTO 收件人地址DATA 输入正文内容 用单独的 为行结束QUIT 连线结束 安全与反垃圾邮件策略 安全策略拒绝从无法解析的域送来的邮件建立各种基于主机 用户 域的访问控制默认配置仅允许本地收发不再使用setuid的工具反垃圾邮件策略默认情况下不做转发建立访问数据库检查邮件信头 sendmail sendmail是使用十分广泛的邮件提交工具 MSP 在邮件模型中承担着MTA及MDA的作用支持多种类型的邮件地址寻址支持虚拟域及虚拟用户允许用户及主机伪装提供在投递失败后自动重发等多种错误应对策略 sendmail服务一览 后台进程 sendmail脚本 etc init d sendmail使用端口 25 smtp 所需RPM包 sendmail sendmail cf sendmail doc配置文件 etc sendmail cf etc aliases etc mail usr share sendmail cf 相关服务 procmail sendmail的主要配置文件 etc sendmail cf是默认的sendmail主要配置文件包含域别名段 信头格式段 转发规则等数据很少被直接修改 etc mail submit cf被用于每次sendmail被一个用户工具所调用的时候通常不需要修改 用m4生成sendmail cf m4是UNIX下使用的传统宏处理器sendmail cf可以由一个宏文件经m4处理后得到RedHat默认使用 etc mail sendmail mc为 etc sendmail cf的宏文件m4 etc mail sendmail mc etc sendmail cf我们推荐使用m4处理sendmail mc来得到sendmail cf 编辑sendmail mc 每一个sendmail mc宏应该定义了操作系统类型 文件位置 请求特征及邮件发送工具 用户列表在每一行的开头添加dnl表示注释默认情况下 sendmail服务器只侦听本地的连接注释DAEMON OPTION PORT smtp Addr 127 0 0 1 Name MTA 其他有用的配置 FEATURE accept unresolvable domains 接受无法反向解析的域来的邮件FEATURE dnsbl 支持根据dns黑洞列表来拒绝垃圾邮件FEATURE relay based on MX 自动接受DNS中MX记录来源的邮件转发FEATURE blacklist recipients 允许使用黑名单查禁收件人 etc mail access 用于定义接受或拒绝的邮件来源 格式 IP 域名设定值设定值 REJECT 拒绝OK 无条件接受RELAY 允许转发DISCARD 丢弃 etc mail virtusertable 允许在邮件服务中使用虚拟域及虚拟用户并自动映射 joe joe wenhua orgroot wenhua orgeddy eddy wenhua org etc aliases 定义本地用户的别名别名后的映射对象可以是 一个本地用户多个本地用户 用逗号分隔 本地文件 需要指出路径 指令 需要管道 另一个email地址设定完 etc aliases后 需要运行newaliases更新aliases db 邮件收取 MDA将收到的信件根据用户存放在 var spool mail下 var spool mail目录下每一个文件对应与文件名同名的用户用户使用mail等工具阅读完信后 未被删除的邮件会自动转存到用户主目录下的mbox文件中 POP3协议 POP3 PostOfficeProtocol3 邮局协议第三版POP3协议适用于不能时时在线的邮件用户 支持客户在服务器上租用信箱 然后利用POP3协议向服务器请求下载基于TCP IP协议与客户端 服务端模型POP3的认证与邮件传送都采用明文 使用pop3协议 POP3协议使用110端口POP3协议命令USER 通报用户名PASS 输入密码LIST 列出所有邮件大小RETR 阅读邮件DELE 删除邮件QUIT 连线结束 配置pop3服务器 pop3服务一般是基于xinetd的服务可以通过两种方式开启和关闭服务编辑 etc xinetd d ipop3并重启xinetd使用chkconfig来开启或关闭服务 IMAP IMAP InternetMessageAccessProtocol 英特网信息存取协议另一种从邮件服务器上获取邮件的协议与POP3相比 支持在下载邮件前先行下载邮件头以预览邮件的主题来源基于TCP IP使用143端口 邮件接收工具 mozilla mailmozilla下的邮件接收工具采用netscapemail的风格evolutionGNOME下的默认邮件接收工具采用windows下的outlook风格kmailkde下的邮件接收工具fetchmail字符界面下的邮件接收工具 配置fetchmail fetchmail支持多种邮件接收协议fetchmail的配置文件是用户主目录下的 fetchmailrc文件 fetchmailrc 中每一行代表一个邮件信箱范例 protocolpop3username kevinzou password nopass procmail procmail是一个非常强大的邮件转发工具可以用来 对收到来信进行排序 并送入不同目录预处理邮件在收到一封邮件后激活一个事件或程序自动转发邮件给其他用户默认情况下sendmail会将procmail设定为本机转发邮件工具有可能在短时间内产生大量转发邮件 因此配置时应小心谨慎 简单配置procmail procmail的配置文件是用户主目录下的 procmailrc 如需将来自kevinz关于linux的邮件转发给todd 并复制入linux目录 0 From kevinz Subject linux 0c todd wenhua org 0linux 邮件读写工具 图形界面下的邮件接受工具一般也可以用来读写邮件字符界面下的邮件读写工具mail非常简单地邮件读写工具pine支持添加附件支持将已读文件存入指定目录 第五单元 WEB服务器 任课讲师 http服务原理 超文本传送协议基于客户端 服务端模型协议流程 连接 客户端与服务端建立连接请求 客户端向服务端发送请求应答 服务端响应 将结果传给客户端关闭 执行结束后关闭 web服务器apache 应用广泛的web服务器支持进程控制在需要前自动复制进程进程数量自动使用需求支持动态加载模块不需重编译就可扩展其用途支持虚拟主机允许使用一台web服务器提供多个web站点的共享 apache服务一览 后台进程 httpd脚本 etc rc d init d httpd使用端口 80 http 443 https 所需RPM包 apache apache devel apache manual相关RPM包 apacheconf配置路径 etc httpd var www apache的配置文件 配置文件储存为 etc httpd conf httpd conf设置标准网络服务器参数 虚拟主机 模块定义文件名与mime类型访问控制默认的html存放位置 var www html 全局配置 ServerType 选择系统激活服务器的方式 可以是inetd或standaloneServerRoot 设定Apache安装的绝对路径TimeOut 设定服务器接收至完成的最长等待时间KeepAlive 设定服务器是否开启连续请求功能MaxKeepAliveRequests 设定服务器所能接受的最大连续请求量 全局配置 二 KeepAliveTimeout 使用者 连续 请求的等待时间上限MinSpareServers 设定最小闲置子进程数MaxSpareServers 设定最大闲置子进程数StartServers 设定激活时所需建立的子进程数MaxClients 设定同时能够提供使用者的最大服务请求数 主机配置 Port 设定http服务的默认端口 User Group 设定服务器程序的执行者与属组ServerAdmin 设定站点管理者的电子邮件ServerName 设定服务器的名称DocumentRoot 设定服务器的共享路径DirectoryIndex 设定默认调用文件顺序ErrorLog 设定错误记录文件名称 虚拟主机 在同一台服务器上配置多个共享服务在虚拟主机中未指定的配置即采用主机配置ServerNDocumentRoot var www virtual 访问控制 Apache提供目录级别与文件级别的基于主机的多种访问控制Apache提供目录级别基于用户密码的访问控制 htaccess Apache支持在需要限制访问的目录下 建立 htaccess文件来实行访问限制 用户可以根据httpd conf中记录的AllowOverride内容 在 htaccess文件添加访问控制语句以取代在httpd conf中的记录 改变 htaccess文件设置不需要重启httpd CGI CGI程序只能放在有设定ScriptAlias的目录下才可以使用 ScriptAlias cgi bin cgi bin Apache可以通过加载模块来倍化CGI程序的速度 Apache加密网站 Apache用443端口提供https服务需要加载mod ssl模块相关配置文件在 etc httpd conf d ssl conf加密配置认证 conf ssl crt server crt私钥 conf ssl key server key认证 钥匙生成 usr share ssl certs Makefile个人签名认证 maketestcert认证签名需要 makecertreq SquidWebProxyCache Squid支持为FTP HTTP等其他数据流做代理Squid会将SSL请求直接转给目标服务器或另一个代理Squid提供诸如访问控制列表 缓存管理及HTTP服务器加速 第六单元 NFS FTP和DHCP 任课讲师 NFS NFS NetworkFileSystem 网络文件系统Linux与Linux之间的文件共享提供远端读存文件的服务 NFS原理概述 建立在RPC协议上的服务 使用时需要打开portmap基于客户端 服务器端模型服务端为多个客户端提供服务客户端也可以从多个服务端处获得文件目录 NFS服务一览 后台进程 nfsd lockd rpciod rpc mounted rpc rquotad rpc statd脚本 etc init d nfs etc init d nfslock使用端口 由portmap 111 分配所需RPM包 nfs utils相关RPM包 portmap 必需 配置文件 etc exports NFS客户端策略 检查服务端的nfs共享资源showmount eserver将服务端开放的nfs共享目录挂载到本机上的一个目录mount tnfsserver share mnt nfs NFS服务端配置 编辑 etc exports文件以配置开放路径路径对象 方式 确保portmap服务已开启打开或重启nfs服务servicenfsstart restart FTP vsftpd是RedHatLinux默认使用的ftp服务端软件vsftpd不再依赖于xinetd服务允许匿名或本地用户访问匿名访问不须额外的RPM包 etc vsftpd vsftpd conf是默认的配置文件 ftp服务一览 后台进程 vsftpd类型 SystemV服务使用端口 20 ftp data 21 ftp 所需RPM包 vsftpd配置文件 etc vsftpd vsftpd conf etc vsftpd ftpusers etc pam d vsftpd日志 var log vsftpd log FTP用户控制 etc vsftpd ftpusers etc vsftpd user list FTP测试工具 ftpwho 查看当前使用ftp的用户ftpcount 查看当前连线数目 DHCP DHCP 动态主机配置协议使用服务端的dhcpd来提供服务dhcpd可以同时为DHCP及BOOTP客户端提供服务 dhcp服务一览 后台进程 dhcpd脚本 etc rc d init d dhcpd使用端口 67 bootps 68 bootpc 所需RPM包 dhcpd相关RPM包 配置文件 etc ftpaccess etc ftphosts etc ftpusers日志 var log xferlog 配置dhcp服务 etc dhcpd conf范例 subnet192 168 0 0netmask255 255 255 0 range192 168 0 2192 168 0 253 default lease time21600 max lease time43200 optiondomain name optionrouters192 168 0 254 optiondomain name servers192 168 0 254 常用dhcp配置参数 subnetX X X XnetmaskX X X X指定dhcp服务工作网段range指定分配地址段default lease time默认租期 请求续租时间 max lease time最大租期 常用dhcp配置参数 二 optionrouters分配路由器optiondomain name分配域名optiondomain name servers分配DNSserver IP绑定 host为绑定主机起名 并不是分配给对方的名字 hardwareethernet指定硬件地址fixed address指定IP地址或主机名支持为绑定主机单独分配其他网络数据 第七单元 安全及策略 任课讲师 安全术语 什么是安全 加密数据完整可用系统安全由系统中最小的安全组件决定 木桶原理 基础网络安全 大多数的计算机都连接到网络上 局域网 广域网或者Internet由于连接在网络上 增加了对操作系统和后台服务的危胁 常用术语的定义 黑客破解者 骇客 拒绝服务缓冲溢出病毒特洛伊木马蠕虫 安全策略 物理上的安全性用户限制服务限制网络限制加密 安全策略 续 安全策略是为了加强对系统安全特性和管理而定义的规则审核让我们检查使用的安全工具实际中使用的安全策略 审核 分析目前的情况了解安全需求确定如何实现它们实施安全机制测试安装 入侵检测 工具嗅探器 sniffers 渗透检测器记录日志日志工具 发现入侵后的措施 反应 保护 镜像 恢复 搜索 报告第一步 反应第二步 保护 发现入侵后的措施续1 反应 保护 镜像 恢复 搜索 报告第三步 镜像第四步 恢复 发现入侵后的措施续2 反应 保护 镜像 恢复 搜索 报告第五步 搜索第六步 报告 备份策略 一个好的备份策略可以使你从灾难中恢复出来通常备份策略由以下组成 一次定期的完全备份每日增量备份备份媒体远距离存储 第八单元 NIS 任课讲师 什么是NIS服务 NIS NetworkInformationService基于客户端 服务端模型公用资料集中存放在服务端管理提供复数的客户端访问使用基于RPC协议 NIS服务一览 服务类型 SystemV后台进程 ypserv ypbind yppasswdd使用端口 由portmap 111 分配所需RPM包 ypserv ypbind yp tools相关RPM包 portmap服务端配置文件 etc ypserv conf var yp NIS服务端与客户端 NIS客户端的后台进程是ypbind 服务端的后台进程是ypserv服务端支持NIS协议第一版与第二版客户端还多支持NIS v3 NIS的局限性安全性差可扩展性不足unix only NIS客户端基础 NIS客户端工具ypbind可以通过两种方式获知其域内的服务器是谁在NIS域内广播通过 etc yp conf读取本域内NIS服务器的位置使用工具配置客户端使用authconfig将本机添加入一个NIS域指定一个NIS服务器 etc nsswitch conf nsswitch conf记录了系统查询用户密码 组 主机名等资源的遵循顺序确定nsswitch conf文件中需要向服务器查询数据的资源顺序中包含NIS项查询资源可以是 files 本地文件dns 域名服务器nis nisplus NIS服务器ldap ldap服务器db 数据库 NIS服务器布局 扁平结构一个主服务器负责一个域一个主服务器可以带领多个从服务器提供容错负载均衡 配置NIS服务端 在 etc sysconfig network中设定一个NISdomain NISDOMAIN mydomain修改 var yp Makefile决定需共享的数据在 var yp securenets中指定许可共享的网段执行 usr lib yp ypinit m执行serviceypbindstart执行serviceypservstart 配置NIS从服务器 将所有从服务器名放在 var yp ypservers文件中在每一个从服务器上安装ypserv使用以下指令 usr lib yp ypinit s主服务器名 NIS工具 ypcat 列出来自NISserver的map信息ypinit 建立并安装NISdatabaseypwhich 列出NISserver的名称ypset 强制指定某台机器当NISservermakedbm 创造NISmap的dbm档 第九单元 系统安全 任课讲师 监视文件系统 监视文件系统可以防止 硬盘空间被占满可能造成安全问题的错误权限监视文件系统包括 数据正确性检验搜寻不需要或可能造成系统破坏的文件 常规搜寻 搜寻所有设置了强制位的文件find typef perm 6000搜寻可以被任何用户写入的文件find typef perm2搜寻不属于任何用户与组的文件find nouser o nogroup Tripwire 系统文件应该时时处于周密的监视下配置文件被更改可能造成服务的启动与运行故障可执行文件被更改可能造成更大的问题tripwire可以根据配置监测文件 目录的大小 更改时间 inode状态 所属用户 组及一系列属性 配置与使用tripwire 安装tripwireRPM包编辑twcfg txt与twpol txt 根据安装情况来定义配置与监视策略运行 etc tripwire twinstall sh用tripwire init在 var lib tripwire 下建立原始数据库 HOSTNAME twd用tripwire check来根据数据库检查系统用 twprint mr twrfile文件名 来阅读监视报告 为BootLoader加密 LILO密码明文存放在 etc lilo conf中可以应用于全局及局部用于防止用户进入操作系统GRUB密码经过md5加密可以应用于全局及局部用于防止用户更改启动参数 插装型认证模块 PAM lib security动态可加载库集中安全管理配置在模块被调用时即生效 etc pam d为PAM 客户 配置文件选择需要的库满足所有条件通过认证或失败 PAM配置 etc pam d system auth控制标志决定PAM如何使用模块调用后的返回值required sufficient 或optional etc security 下包含了部分配置文件 核心PAM模块 pam env 环境变量初始化pam unix标准unix认证允许更改密码pam cracklib 强制使用好密码 常用的pam模块 pam nologin如果 etc nologin存在 则除了root用户 任何用户不能登录pam securetty在 etc securetty文件中存放的 是root用户可以登录的终端不限制用户登录完成后用su切换成root 常用的pam模块 二 pam access用一个简单的配置文件完成基于用户 组 及来源的访问限制使用 etc security access conf为其配置文件pam listfile允许用户针对某一服务单独建立文件来建立基于用户 组 本地终端 远端主机的限制 常用的pam模块 三 pam limits允许在许可用户使用服务后 对用户的使用资源 进行各种设置pam time使用一个简单的配置文件 来建立基于时间的服务访问限制使用 etc security time conf为配置文件 sudo 让一般用户有可能使用root才可以使用的系统管理指令需要配置 etc sudoers文件 来定义哪些用户可以使用哪些指令 以及使用时是否需要密码用visudo编辑 etc sudoers文件用 sudo系统指令 执行系统指令 第十单元 防火墙和IP伪装 任课讲师 iptables iptables是RedHatLinux里默认使用的防火墙iptables提供多个设定参数可以用来定义过滤规则 包括IP MAC地址 协议 端口 子网掩码iptables支持在路由算法发生前后进行网络地址转换 iptables结构 iptables将防火墙的功能分成多个tablesfilter 数据包过滤NAT NetworkAddressTranslation 网络地址转换tables又包含多个chains5条默认基础操作chains允许用户自行定义chains iptables语法 iptables ttable pattern jtarget action包括 Achain 在chain中增添一条规则 Dchain 在chain中删除一条规则 Lchain 列出chain中的规则 Fchain 清空chain中的规则 Pchain 为chain指定新的默认策略 可以是 ACCEPT 未经禁止全部许可DROP 未经许口全部禁止 iptables语法 二 pattern包括 s 来源地址 d 目标地址 p 指定协议 可以是tcp udp icmp dport 目标端口 需指定 p sport 来源端口 需指定 ptarget包括 DROP 禁止ACCEPT 许可 filtertable 用于过滤数据包的接送chainINPUT 设定远端访问主机时的规则来源是远端访问者 目标是本地主机chainOUTPUT 设定主机访问远端主机的规则来源是本地主机 目标是远端被访问主机chainFORWARD 设定主机为其他主机转发数据包时的规则来源是请求转发的主机 目标是远端被访问的主机 NATtable 用于处理网络地址转换chainPREROUTING 路由算法发生之前转换数据包内的来源地址chainPOSTROUTING 路由算法发生之后转换数据报内的目标地址 用NATtable完成IP伪装 对于负责内部子网的路由器 需要为保留地址进行IP伪装使用IP伪装功能需要打开本机上的IP转发功能范例 iptables tnat APOSTROUTING s192 168 0 0 24 oeth1 jMASQUERADE 第十一单元 网络安全 任课讲师 基础网络安全 越来越多的计算机被连接到网络上与网络连通对操作系统和后台进程意味着冒险 被寄生与攻击的可能 基于主机的安全 限制不受欢迎的来源封锁不作利用的端口不安装与启动不使用的服务一般 每一种服务本身一般都会提供方式做相关限制配制防火墙保护主机 tcp wrapper 基于主机与服务使用简单的配置文件来设置访问限制 etc hosts allow etc hosts deny基于xinetd的服务也能在其配置中调用libwrap配置一旦被改变 立刻生效 tcp wrapper的配置 访问控制判断顺序 访问是否被明确许可否则 访问是否被明确禁止如果都没有 默认许可配置文件许可用 etc hosts allow禁止用 etc hosts deny