Linux安全（Linux网络操作系统）

1、济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统2本章内容 在Linux下使用安全工具 Linux系统安全监测工具 查看和管理日志 Linux的安全与优化 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统3在Linux下使用安全工具 Linux远程访问控制 安全Shell（SSH） 最流行的公钥加密软件 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统4Linux远程访问控制 inetd+tcpd 方式。在老一点的Linux的各种发布版本中使用。xinetd 方式。在比

2、较新的Linux发布版本中使用。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统5inetd+tcpd 方式inetd接收到一个连接请求之后，并不立即启动相应的守护进程，而是启动tcpd，把连接请求交给tcpd处理；tcpd收到请求信息后，对其进行日志记录，并判断是否允许客户端建立此连接，如果允许，则启动相应的守护进程，否则终止连接。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统6inetd+tcpd 方式访问控制的配置文件 ：inetd.conf 文件/etc/inetd.conf是inetd的配置文件，

3、其作用是设置每种网络服务是否允许被启动 。hosts.allow和hosts.deny hosts.allow文件记录了允许哪些用户访问哪些服务，hosts.deny文件记录了禁止哪些用户使用哪些服务。当客户端提交一个连接请求后，访问控制程序首先检查hosts.allow文件，看是此用户和服务是否列在此文件中，如果有则允许访问相应的服务；如果没有，再检查hosts.deny文件，看看此用户是否在被禁止访问此服务的范围之内，如果在，则禁止起访问，如果不在，则默认允许其访问此项服务。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统7xinetd 方式xi

4、netd是增强版的超级网络服务器（Extended Internet services daemon），其特性：提供基于TCP、UDP和RPC协议的服务的访问控制。提供基于时间段的访问控制全面的日志记录。限制同一个服务在同一时刻的连接数。限制总的服务数量。能够抵御拒绝服务攻击（Denial of Services）。能够把一项服务绑定在特定的网络接口上（这样就是用户能够只对自己的内部网络开放某些服务）。可以把对一项服务的连接请求重定向到其他主机上去。xinetd的配置文件为xinetd.conf 。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统8xi

5、netd.conf 例如对ftp服务可用如下设置： service ftp socket_type = stream wait = no user = root server = /usr/sbin/in.ftpd server_args= -l instances = 4 per_source = 1 access_times = 7:00-12:30 13:30-21:00 only_from = /24济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统9xinetd.conf对telnet服务可以使用如下设置： service

6、 telnet socket_type = stream wait= no user= root server= /usr/sbin/in.telnetd cps=10 300 only_from = /24 redirect = 5 23 log_on_success += DURATION HOST USERID济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统10安全Shell（SSH） SSH简介 OpenSSH的获取和安装 sshd的配置和启动 使用ssh进行远程登录 使用密钥代理 用SSH进行包转发

7、 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统11SSH简介 SSH是Secure Shell的缩写，它是IETF（Internet Engineering Task Force）的Network Working Group所制定的一族协议，其目的是要在非安全网络上提供安全的远程登录和其他安全网络服务。 大多数Linux的发行版本中携带的SSH组件的都是OpenSSH。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统12OpenSSH的获取和安装 对源代码包进行解压缩。# tar -zxvf openss

8、h-3.7p1.tar.gz 进入生成的openssh-3.7p1目录。# cd openssh-3.7p1 配置编译脚本。# ./configure -prefix=/usr/local 编译源代码。# make 安装OpenSSH# make install济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统13sshd的配置和启动 安装好OpenSSH后，需要对守护进程sshd进行配置，其配置文件是sshd_config 。启动sshd守护进程 ：# service sshd start 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Lin

9、ux网络操作系统网络操作系统14使用ssh进行远程登录 在客户端使用ssh连接远程SSH服务器由两种认证模式，一种是基于用户名和密码，另一种是基于公用密钥。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统15基于用户名和密码采用基于用户名和密码的认证模式连接远程SSH服务器，用户只需要在远程服务器上有合法的账户和密码，并且远程服务器在sshd的配置文件中允许用户访问服务器，就可以与服务器建立连接 。# ssh -l mike lyraThe authenticity of host cant be establi

10、shed.DSA key fingerprint is bd:eb:e1:a1:84:e2:1b:71:a7:ea:48:7d:e3:4d:d1:6f.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added ,0 (DSA) to the list of known s password: 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网

11、络操作系统16基于公用密钥用户首先要创建自己的公用和私用密钥（private key）对。 把公用密钥对外发布 。当用户再用ssh连接远程服务器的时候，服务器会首先检查用户的.ssh子目录下是否有authorized_keys文件，如果有则用其中的公用密钥加密一段信息，发送给客户，如果客户有此公用密钥的私用密钥，就可以对此信息进行解密，然后再发送给服务器，服务器收到后知道此客户是可以信任的，便对其开放服务连接。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统17使用密钥代理 如果不想在每次与服务器进行连接的时候都输入口令，可以用ssh的认证代理程序s

12、sh-agent来代替用户管理和使用私用密钥。# ssh-agent startx # ssh-add Enter passphrase for /root/.ssh/id_dsa: # ssh-agent bash 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统18用SSH进行包转发 利用两台主机的SSH服务，对其他网络服务的数据进行转发。实例：# ssh -C -f mikeserver -L 1110:server:110 sleep 3600 # telnet localhost 1110Trying .Connected

13、to localhost.Escape character is .+OK POP3 v7.64 server ready 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统19最流行的公钥加密软件 PGP和GnuPG简介 GnuPG的获取和安装 生成和管理密钥 输入和输出密钥 使用GnuPG对文件进行加密和解密 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统20PGP和GnuPG简介 PGP（Pretty Good Privacy）是一种基于RSA公钥加密体系的文件和电子

14、邮件加密软件。PGP采用RSA（Rivest Shamir Adleman）和IDEA的混合加密算法。 此外，PGP还采用了一种叫MD5的单向散列算法对文件进行数字签名。GnuPG能够实现PGP的全部功能，同时又是一个基于GNU许可证的免费、开放源码的软件 。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统21GnuPG的获取和安装 下载网址：ftp:/ 安装：# rpm -Uvh gnupg-1.0.7-7.i386.rpm 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统22生成和管理密钥 在终端下输入g

15、pg -gen-key命令，开始创建密钥对。选择加密算法。选择生成的密钥的长度。 越长的密钥加密性能越好，但加密所需时间想对也会更长。 为密钥设置过期时间，超过这个时间密钥将失效。 输入此密钥的ID，用于区别其他用户的密钥。 为私用密钥设置保护密码，并重复输入进行确认。输入保护密码后，开始生成密钥对。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统23生成和管理密钥完成创建密钥对的工作后，会在用户的.gnupg目录下产生两个钥匙环文件，pubring.gpg和secring.gpg。pubring.gpg是公用密钥的钥匙环，用户的公用密要存储在这个文件

16、当中，以后还可以在整个钥匙环上加上其他用户的公用密钥；secring.gpg是私用密钥的钥匙环，用户的私用密钥存储在这个文件上，以后也可以创建更多的密钥对，把新的私用密钥也放在这个钥匙环上。使用gpg命令还可以对密钥进行各种管理操作 。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统24输入和输出密钥 # gpg -output mypubkey -export # gpg -import otherspubkey 签名 ：# gpg -sign-key 济南铁道职业

17、技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统25使用GnuPG对文件进行加密和解密 选项说明-e textfile 对文件textfile进行加密 -s textfile 用自己的私钥对文件textfile进行数字签名 -es textfile 对文件textfile同时进行签名和加密 -c textfile 用对称加密的方法对文件进行加密 -a 加上此选项可以生成用于Email发送的Ascii形式的加密文件 gpg命令命令说明：说明：济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统26Linux系统安全监测工具 17

18、.2.1安全扫描工具 17.2.2网络监听工具 17.2.3系统一致性检查（Tripwire） 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统27安全扫描工具 安全扫描简介 常用安全扫描工具：Nmap Nessus SAINT 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统28安全扫描简介安全扫描可以分成两类：系统安全扫描：基于主机之上的，它对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。网络安全扫描：基于网络的，它通过对网络上计算机开放端口的探测，得知计算机上所运行的服务类型、软件版

19、本、配置信息等内容。然后把结果与已知的漏洞数据库进行比较，找到存在的漏洞，甚至还可以尝试对漏洞进行攻击和利用，以便更准确地发现问题。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统29Nmap Nmap（Network Mapper）是一个开放源码的网络探测和安全审计工具。其设计目的是能够快速地对大规模的网络进行扫描，找到在线的主机、探测远程主机开放的端口、提供的网络服务、网络服务使用的软件的版本、远程操作系统的类型，以及系统的防火墙类型等多方面的信息。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统30N

20、mapping扫描：-sP TCP ping扫描：-PT SYN扫描：-sS 这种扫描的好处是具有隐蔽性，因为没有真正与远程主机建立连接，因此大部分的系统日志都不会对扫描进行记录。 Stealth扫描：-sF -sX -sN UDP扫描：-sU 服务软件版本识别：-sV 操作系统识别：-O 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统31nmapfe 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统32Nessus Nessus是另一个Linux平台下的优秀扫描工具，其设计目的是为用户提供免费、功能强大、易

21、用并且更新及时的安全扫描器。Nessus被设计为client/sever模式，服务器端负责进行安全扫描，客户端用来配置管理服务器端，客户端和服务器端可以在不同的主机上。在服务端采用了plug-in的体系，允许用户加入执行特定功能的插件，以进行更快速和更复杂的安全检查。在Nessus中带有一个已知的各种安全漏洞的数据库，此数据库更新很快，用户可以从Nessus的网站上下载最新的数据库，以便能够检测到最近才发现的安全漏洞。在Nessus中还采用了一个共享的信息接口，称之知识库，其中保存了前面进行检查的结果。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统

22、33Nessus首先要为Nessus的服务器端添加用户，此后使用客户端连接服务器端时需要登录才能使用。 nessus-adduser命令 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统34Nessus客户端 在命令行下输入nessus 。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统35Nessus客户端济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统36SAINT SAINT和Nessus类似，也是一个图形界面的安全扫描器。同样是基于自身携带的漏洞数据库来检测被扫

23、描系统中存在的漏洞。扫描结束后会在生成的扫描报告中对漏洞信息进行详细的描述，并提供解决方案。目前属于收费软件。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统37SAINT的启动界面 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统38SAINT济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统39网络监听工具 网络监听简介 局域网监听的原理 交换环境下的监听 常用网络监听工具：被动式监听工具tcpdump和Ethereal 主动式监听工具dsniff 济南铁道职业技术

24、学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统40网络监听简介 广义的说，网络监听就是在网络中的某一点上对流过此处的数据包进行采集，这一点可以是网络上的一台主机、网关、路由器、或是传输线路上的某个部分；而在网络安全方面，通常我们提到的网络监听的概念的时候，是局限在局域网当中的 。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统41局域网监听的原理 局域网中的主机是用Hub连接到一起的，数据包从网卡发出之后是以广播方式在局域网上传播的，发往一台主机的数据包所有的主机都会收到。在以太网中数据包以广播方式进行传输，传统的被动式网络

25、监听就是使网卡工作在混杂模式下，接收局域网中所有广播包。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统42交换环境下的监听 以主动式的监听方式进行。主动式的监听方式的核心思想是arp欺骗（Arp Spoof）。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统43arp欺骗假设主机A是进行监听的主机，它试图监听主机B与Internet上的主机交换的数据包，网关是主机G。首先它会装作网关主机，向主机B发送arp应答包，通知它网关G的IP地址对应的Mac地址是自己的Mac地址，并且不停地发送。主机B收到arp应

26、答包后会依据其中的Mac地址更新自己的arp表，由于主机A一直在向主机B发送arp包，因此主机B中的arp表中始终有网关的Mac地址，这样它就不会再发送arp请求包，要求网关报告自己的Mac地址了。在主机B向Internet上发送数据包时，它会把数据包交给网关路由出去，因为在B的arp表中的网关Mac地址是主机A的Mac地址，所以它会把数据包发向A的Mac地址，这样通过交换机，B的数据包就到了A，而后A再将此数据包转发给网关。对于主机B来说，感觉上没什么不同，网络照常通常，只是所有数据包都经A转发了一下；对于主机A，因为B的所有数据包都要经过自己，对其进行监听也就很容易了。 济南铁道职业技术学

27、院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统44tcpdump 命令格式为： tcpdump -adeflnNOpqRStuvxX -c count -C file_size -F file -i interface -m module -r file -s snaplen -T type -w file -E algo:secret expression 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统45tcpdumptcpdump用正则表达式来对数据报进行过滤，表达式有以下几种：类型（type） 方向（dir） 协议（

28、proto） 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统46Ethereal 主要特性有： 能够读取tcpdump、netxray、Sun snoop、Microsoft Network Monitor等数十种网络监听工具捕获的信息包文件。能够从Ethernet、FDDI、PPP、Token-Ring、IEEE 802.11、Classical IP over ATM等网络上捕获数据包。捕获的数据包文件可以用专门的工具editcap来进行程序化的编辑和转换。支持407种协议。这可以说Ethereal的重要特色，很少有监听工具能够支持这么多种协议，

29、确实是名副其实的协议分析器。支持多种捕捉和显示过滤规则。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统47Ethereal济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统48Ethereal济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统49Dsniff Dsniff中包含的主要工具有： arpspoof：利用arp欺骗，可以把来自局域网中某台主机的数据包重定向到其他主机上去。dnsspoof：制造假的DNS地址解析应答，用于绕过基于主机名称的访问控制，以及对HTTP

30、、HTTPS、SSH等服务进行中间人攻击。dsniff：口令嗅探器。能够对FTP、Telnet、SMTP、HTTP、POP、NNTP、IMAP、 SNMP、LDAP等多种网络服务的认证口令进行记录。filesnarf：记录从NFS上传输的文件。macof：向局域网中发送大量随机的Mac地址，使交换机失去点到点的数据包转发能力，而对所有数据包进行广播方式的发送。mailsnarf：Email嗅探工具，能对网络上传输的电子邮件进行记录。sshmitm：和dnsspoof等工具相结合，进行中间人攻击，能够记录SSH的口令，目前只对SSH协议的版本1有效。webspy：捕捉网络信息中的URL，如果用户

31、在本地打开一个Netscape浏览器，能够同步显示被监听用户浏览的网页内容。济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统50DsniffDsniff依赖于几个第三方的软件，Berkeley DB、OpenSSL、libpcap、libnet、libnids，在编译安装Dsniff之前要先安装好这些软件。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统51arpspoof arpspoof -i interface -t target host # echo 1 /proc/sys/net/ipv4/ip_

32、forward 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统5217.2.3系统一致性检查（Tripwire） Tripwire简介 Tripwire的安装和配置 运行Tripwire 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统53Tripwire简介 Tripwire的工作原理是按照一个用户事先定义好的检查策略，对重要的系统文件的所属用户、权限、文件长度、访问时间等诸多特征进行记录，并使用MD5、Sncfru、Haval、CRC-32等多种方式生成文件的数字签名，最后把检查结果保存到一个专门的数据库

33、里。用户可以定期用Tripwire对这些文件进行复查，与数据库里的记录进行比较，找出发生变化了的系统文件。 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统54Tripwire的安装和配置 # rpm -ivh tripwire-2.3.1-10.i386.rpm 修改Tripwire配置文件twcfg.txt和检查策略文件twpol.txt 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统55运行Tripwire 首先运行初始化脚本文件twinstall.sh对Tripwire进行初始化 。为site密钥和local密钥设置保护口令。 Tripwire会用site密钥对用户的设置文件tw.cfg进行数字签名 。然后对策略文件twpol.txt进行数字签名 。启动Tirpwire 。# tirpwire -init 济南铁道职业技术学院精品课程济南铁道职业技术学院精品课程Linux网络操作系统网络操作系统56检查系统 # tripwire -check -interactive -V vi 济南铁道职业技术学院精品课程济南铁道职业技术学