Linux操作系统安全

1、贵州大学实验报告（小三号，加黑）学院：计算机科学与技术 专业： 信息安全 班级：121姓名饶永明学号1208060066实验组实验时间5.27指导教师蒋朝惠成绩实验项目名称Linux操作系统安全实验目的通过实验掌握linux操作系统环境下的用户管理、进程管理以及文件管理的相关操作命令，掌握linux中相关安全配置方法，建立起linux的基本安全框架。实验要求掌握Linux的操作系统安全的基本配置实验原理用户管理：Linux支持以命令行或窗口方式管理用户和用户组。它提供了安全的用户和口令文件保护以及强大的口令设置规则，并对用户和用户组的权限进行细粒度的划分。 文件管理：在Linux中，文件和目录

2、的权限根据其所属的用户和用户组来划分：文件所属的用户，即文件的创建者；文件所属用户组的用户，即文件创建者所在的用户组中的其他用户；其他用户，即文件所属用户组之外的其他用户。 插入式身份认证模块PAM：PAM是插入式身份认证模块，它提供身份认证功能防止未授权用户的访问，其身份认证功能高度模块化，可通过配置文件进行灵活配置。在高版本的Linux中自动启用了PAM，用户也可以自行配置PAM文件。但是，任何很小的错误改动都可能导致所有用户被阻塞，所以在进行相关文件改动之前，应当先备份系统内核。 记录系统syslogd：Linux使用了一系列的日志文件，为管理员提供了很多关于系统安全状态的信息。Sysl

3、ogd是一种系统日志守护进程，它接受系统和应用程序、守护进程以及内核提供的消息，并根据在/etc/syslog.conf文件的配置，对这些消息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫syslog接口来提供这些记录到日志中的消息。系统管理员可以通过设置/etc/syslog.conf文件来设置希望记录的消息类型或希望监视的设备。实验仪器安装red Hat Linux 9.0操作系统的计算机实验内容和步骤一、账户和安全口令1、查看和添加账户添加账号：查看账户列表，并进入用户查看权限2、添加和更改口令切换用户并添加口令：3、设置账户管理4、账户禁用与恢复锁定账户验证，表明锁定

4、成功检查用户的当前状态解锁用户5、建立用户组：用如下命令创建新的用户组：用如下命令修改用户的名称：用如下命令将用户添加进用户组用下面的命令将用户设置为该用户组的管理员6、设置口令规则用vi命令编辑 /etc/login.defs文件7、为账户和组相关系统加上不可更改属性，防止非授权用户获得权限输入一下命令为口令文件加上不可更改属性：验证是否成功：验证结果可用同样的方法锁定/etc/shadow、/etc/group、/etc/gshadow。去除不可修改属性可用如下命令：验证是否成功：二、文件系统管理及安全1、新建文件夹和文件再用此命令在folder文件下建一个子文件夹：进入folder文件夹

5、下建立一个名为newfile的文件2、编辑文件用vi命令编辑newfile文件，在插入模式下插入;按【ESE】键返回命令行格式，输入“：wq”退出并保存3、查看文件内容和相关信息使用cat命令查看文件相关内容用ll命令查看相关的文件信息，输入如下：4、设置文件的所属用户、用户组合权限用chmod命令将newfile文件的访问权限设置为所属用户有读写和执行权限，用户组有读写权限，其他用户没有任何权限再次查看用户权限：分别用root用户和myusername用户尝试读写操作并记录试验结果用root用户用myusername用户：三、查看和更改PAM模块设置1、查看用于控制口令选择和口令时效的PAM

6、模块设置查看/etc/pam.d文件夹中的文件列表打开文件/etc/pam.d/passwd，查看与用户口令有关的PAM设置查看文件/etc/pam.d/system-auth2、限制su命令的使用用户查看所需要的用户组，不存在责创建新建用户，并将其加入到wheel用户组中再次查看信息，终端显示输入下面的命令行，用vi编辑su文件(5)、输入下面命令，更改文件权限，限制只有wheel用户可以使用su命令（6）用su命令相互切换用户成员，发现权限不够四、检查syslog日志设置以及日志文件（1）打开/etc/syslog.conf文件，查看相关设置rao1localhost root$ cat

7、/etc/syslog.conf# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console # Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # The aut

8、hpriv file has restricted access.authpriv.* /var/log/secure # Log all the mail messages in one place.mail.* /var/log/maillog# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.emerg *# Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler# S

9、ave boot messages also to boot.loglocal7.* /var/log/boot.lognews.=crit /var/log/news/news.critnews.=err /var/log/news/news.errnews.notice /var/log/news/news.notice（2）打开/var/log/message文件，查看系统相关的记录信息，找出用户身份认证的记录（3）新建用户user，并以用户名重复两次是失败的系统登录（4）再次查看/var/log/message文件，查看关于登录失败的记录信息，可以看到两次登录失败的记录思考题：（1）在

10、Linux中，如何设置一个文件夹的访问权限答：可以用chmod命令，chmod xxx dirxxx为3位数字，分别表示文件所有者，文件所有者所在的组，其他用户的权限4代表读权限，2代表写权限，1代表执行权限，需要那些权限相加即可，0为不任何权限dir为要更改权的文件如果是文件夹带上递归参数 -R，可改变文件内全部文件的权限。（2）如何限制其他用户使用su命令 答：用chowd和chmod两个命令，现更改文件权限，再限制将su命令限制到某个用户组，这样就只能这个用户可以用su命令了。（3）如何启用和禁止用户账户 答：用“passwd l 【用户名】”将用户锁住。用“passwd l 【用户名】

11、”将用户解锁。2.2.2 Linux中的Web、Ftp服务器的安全配置一、Apache服务器的安全配置（1）apache的安装通过下面命令检查apache是否安装：说明已经安装。如果未安装，则通过mount挂载光盘，进入光盘通过rmp命令安装，最后用unmount卸载光盘。（2）apache的启动用下面命令查看apache是否启动：发现服务停止，则用下面命令启动服务，并再次验证：用下面命令查看httpd所有进程：（3）apache的配置启动apache：用vi命令对apache进行配置：（4）修改主配置文件1、修改主配置文件：2、重启apache3、在客户机上访问http:/192.168.0

12、.20/server-info（5）认证与授权1、修改主配置文件2、创建口令文件security，并添加用户rym，密码rym，域security3、改口令文件的所有者和用户组均为apache：4、重启httpd：5、在客户机登录，验证：登录成功：（6）日志的管理和统计分析通过cat命令查看错误日志和访问日志：二、vsftpd服务器的安全配置（1）通过以下命令确认vsftpd是否安装：启动vsftpd：（2）独立FTP服务器的安全配置：用vi编辑FTP的配置文件/etc/vsftpd/vsftpd.conf1、禁止匿名用户名登陆：2、对本地用户的登陆和访问进行控制：对本地用户的访问进行控制：3

13、、控制用户登陆后难呢过切换到自身根目录以外的目录：4、设置日志选项:5、设置安全选项：6、设置性能选项：7、独立模式下和其他认证方式方法的结合：客户端访问ftp：（3）xinetd方式下FTP服务器的安全配置1、修改vsftpd.conf配置文件。2、编辑xinetd配置文件，复制vsftpd：编辑vsftpd文件：3、修改vsftpd的启动流程删除独立vsftpd的启动项重新启动xinetd守护进程，由xinetd启动vsftpd：实验总结思考题：1、 在apache配置中，如何设置值允许一部分IP地址访问？ 答： 在<Location /server-info></Loc

14、ation>中做如下配置： SetHandle server-infoOrder deny,allowAllow from 【ip地址】/【子网掩码】Deny from all配置完后重启httpd服务2、 在apache配置中，如何设置网站文件夹的可读写权限？答：（1）、修改主配置文件（2）、创建口令文件security，并添加用户rym，密码rym，域security（3）、改口令文件的所有者和用户组均为apache：（4）、如果要设置可读写权限的操作，可在apache用户组中添加新用户，并在security中对此用户进行权限设置。（5）、重启httpd3、 在apache配置中，如何保证日志文件的安全性？答：1、对日志文件进行权限设置，只允许规定用户访问。 2、对日志文件进行定期备份，可防止篡改和丢失。总结：通过本次实