（安全生产）加强Linux用户网络访问权限的安全控制能力

(安全生产)加强Linux用1.1.1学习目的1.1.2学习要求1.1.3学习重点和难点远程文件系统。以NFS的目标是使计算机共享资源，在其发展过程中(即20世纪80年代)，发展。然而当处理器价格下降时，大容量的存储系统相对而言价格仍居高不下。因此必须采用某种机制在充分发挥单个处理器性能的同时使计算机可共享存储S本NFS端请求和服务器应答(包括读 用客户端"的框中。 大多数实现 访问例程，然后访问服务器主机上的一个本地的磁盘文件。 动一个用户进程(常被称为"nfsd")的多个实例。这个实例执行一个系统调用，使其作为一个内核进程保留在操作系统的内核中。 id把设置了特洛伊木马的程序留给其他用户，在无意中执行。 也能容易得到。可以使用访问控制保障网络安全，在使用NFS时最好结合 (2)注意配置文件语法错误NFS服务器通过/etc/exports文件来决定要导出哪些文件系统，以及把这添加额外的空格。s但是/etc/exports文件中这一行的情况却不同。它共享同一目录，让主机个空格造成的。 (3)使用iptables防火墙S重要的安全破坏。限制RCP服务访问的办法一般是使用防火墙，除了TCP-Wrapper还有ipchiansiptalbesLinux的今天，iptables-tfilter-AINPUT-pudp-strusted_client-dthis_server_ip--dport\2049–jACCEPTiptables-tfilter-AINPUT-pudp-snot_trusted_client-dthis_ser (4)把开放目录限制为只读权限何目录或文件系统设置为只读访问： 当开放一个完整的文件系统或者一个目录时，缺省情况下它的子目录会自 就不会被映射为匿名用户，客户上的root用户就会对导出的目录拥有根特权。它。为了明确执行该规则，可以修改文件/etc/exports：这样如果客户端的UID0(root)用户想要访问(读、写、删除)一个NFSroot和修改的文件。 运行以下命令可以找到所有具有这一属性的程序：使用者必须查看这一列表，尽量减少那些所有者是root或是在root组中上使用；这在件夹，如下所示：权限：如下所示：nfs-utils-1.0.6-46使用命令来验证服务是否启动，如下所示：rpcrquotadpid)正在运行...第三步：配置/etc/exports文件修改/etc/exports配置文件，在文件中加入如下内容，如下所示：nfs务，如下所示：：#reed#bythe'/usr/sbin/tcpd'server.#ow#ded#bythe'/usr/sbin/tcpd'server.#hat在clientA上挂载文件系统，如下所示：在clientB上挂载文件系统，如下所示：dreasongivenbyserverbc在clientA上测试读写权限，如下所示：在clientB上测试读写权限，如下所示：-rw-r--r--1rootroot203731月1513:05filetesth注意在编辑/etc/exports文件时，在10.1.1.2和(ro,all_squash)之间是没有空格的，如有空格，则给全局以读权限。cACCEPTtcp--10.1.1.0/2410.1.1.1tcpdpt:nfsstinternalfileetcsambasmbpasswddidnotexistFilesuccessfullycreated.[tech][software]将安全级别为默认选项，如下所示：ser打开如下几个端口：使用用户seek和len用户来访问共享文件夹，在运行菜单中输入服务器地址。这是会提示输入用户名和口令。seektech文件允许写入，而market不允许访问，这是会弹出错误提示，无法删除文件。机间分发关于用户名、口令、以及其它保密信息的映射表。映射表。NIS制，在网络上明文服务的安全，然后再解决下面的问题，如网络规划。 取的危险。从这个角度讲，谨慎制定网络计划就有助于防御严重的安全破坏。 NIS令从服务器中抽取信息，只要例如：如果某人把便携电脑连接到网络上，或从外部闯入了网络(而且成功件： (3)编辑/var/yp/securenets文件如果/var/yp/securenets文件是空白的或不存在(按默认方式安装后的情形就掩码/网络值，因此ypserv只会对来自恰当网络的请求做出答复。5.0192.168.0.0这种技术并不提供对IP假冒攻击的保护，但是它至少限制了NIS服务器要为哪些网络提供服务。 (4)分配静态端口，使用IPTables规则进程，rpc.ypxfrd和ypserv分配端口可以允许管理员创建防火墙规则来进一步保几行添加到/etc/sysconfig/network中：IPTab