Linux操作系统安全加固-教案4

《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日教案4（第4号/17号）课程名称网络安全技术实践授课日期、节次班级课堂类型理论+实践地点章节（任务）名称任务2.3限制用户对su命令的使用任务2.4限制FTP登录教学目标知识目标1.掌握su的安全配置；2.掌握FTP的工作模式及工作原理；3.掌握FTP安全加固要求；能力目标1.能够对su进行限制，特定用户方可su；2.能够对FTP用户恶意占用带宽，随意切换目录进行限制；素质目标1.培养学生良好的职业道德、法律意识、爱岗敬业精神；2.培养学生自主学习能力、交流沟通能力、创新能力和团队合作意识；3.培养学生网络安全意识、民族自豪感和科技报国精神。学情分析1.专业兴趣高，动手能力强，信息化接受程度高；2.具备一定系统软件、应用软件操作维护技能，但掌握不深入；3.有一定沟通交通能力，85%的学生不具备换位思考意识，70%的学生没有网络安全相关基础。重难点分析教学重点1.su的安全性优点及不足；2.FTP服务器安全加固调试；教学难点1.限制FTP用户在家目录，不能随意切换；2.FTP的工作模式及工作原理；信息化应用方法基于省级精品在线开放课程，通过泛雅教学平台发布教学资源(如微课、操作流程、操作视频、安全案例等)，做好课前预习；通过翻转课堂，先发布任务，学生根据任务现场操作，教师纠错，以小组为单位，生生互评（根据操作评分细则），并录制视频；对于学生的易错点和本节课的难点进行突破学习，提升学生对操作流程的熟悉度、熟练度和规范化。课程思政元素1.在课程引入环节，讨论相关服务的安全风险，提高警惕意识，再通过FTP应用服务器安全加固，在实训和验证测试中，提升服务器安全指标，提升安全意识；2.通过课程实训，在加固linux服务器过程，追求服务器性能和安全性，培养学生精益求精工匠精神。3.通过问卷+讨论方式，交流远程控制的本质，帮助学生进一步明白是非，网络不是法外之地，遵纪守法，守住安全底线。教学实施过程课前：平台发布LINUX系统安全加固任务3、任务4学习任务，供学生预习。课中：导入新课Linux操作系统出于安全性考虑，限制了许多系统命令和服务只能由root管理员使用，但是这让普通用户受到了更多的权限束缚，从而导致无法顺利完成特定的工作任务。su命令可以满足用户切换身份的需求，使得当前用户在不退出登录的情况下，顺畅地切换到其他用户，例如，从root管理员切换到普通用户，或者从普通用户切换到root管理员。工程师小林在对服务器系统进行安全基线检测时发现su命令存在安全隐患，给系统带来了安全风险，小林及时限制了用户对su命令的使用，保障了系统安全。FTP是用来在两台计算机之间传输文件的通信协议，一台计算机作为FTP服务器，一台计算机作为FTP客户端。无论是PC（PersonalComputer，个人计算机）、服务器、大型机，还是iOS、Linux、Windows等操作系统，只要双方都支持FTP，就可以方便地实现共享文件、上传文件、下载文件和删除文件等操作。但由于FTP的简单性，且不提供加密功能，它在某些情况下通常比更先进的文件传输协议[如SFTP（SecureFileTransferProtocol，安全文件传输协议）]更易受到攻击。因此，在使用FTP进行敏感数据传输或远程管理时，应格外小心并采取适当的安全措施。工程师小林检查了Linux服务器系统下vsftp软件的安装和配置，并进行了FTP安全配置和加固，保障了系统安全。任务3知识点讲解1、su命令在Linux操作系统中，默认情况下，所有用户都可以使用su命令切换用户。su命令的格式为：su-目标用户在su与目标用户之间有一个半字线（-），这表示完全切换到目标用户，即把用户的环境变量信息也变更为目标用户的相应信息，而不是保留其原始的信息。使用su命令从root管理员切换到普通用户时不需要进行密码验证，而从普通用户切换到root管理员时需要进行密码验证，这也是Linux操作系统的一个必要的安全检查。su命令切换实例如图2-14所示。图2-14su命令切换实例2、su命令的安全隐患在默认情况下，任何用户都可以使用su命令进行用户切换，这样就有机会通过su命令无限次地去尝试其他用户（如root管理员）的登录密码，这给系统带来了安全隐患。为了增强系统安全并降低非授权用户利用su命令进行用户切换，尤其是尝试访问root账户带来的风险，可以实施以下措施优化管理。首先安装pam_wheel模块。如系统未安装此模块，需使用包管理器安装pam_wheel相关包。接下来配置PAM（PluggableAuthenticationModule，可插拔认证模块）以启用pam_wheel。编辑PAM配置文件/etc/pam.d/su，在文件中添加或确保存在以下一行代码：这行代码指示PAM在进行身份认证时参考pam_wheel模块。authrequiredpam_wheel.souse_uid这意味着只有属于指定组（默认建议为wheel组）的用户才能通过此认证流程。最后管理wheel组成员。创建或利用已有的wheel组，并通过以下命令将信任的用户添加到该组中。这样做可以明确指定哪些用户拥有执行su命令的权限。usermod-aGwheel用户名这条命令将指定的用户名加入wheel组中，-aG参数表示追加用户到指定的组，不影响用户原有的组身份。通过以上措施，系统能够有效限制用户对su命令的滥用，确保只有被授权的管理员用户组成员才能尝试切换到root用户或其他特权账户，从而显著降低了因密码猜测攻击导致的安全风险。3、sudo提权机制通过su命令可以非常方便地进行用户切换，但前提条件是必须知道目标用户的登录密码。对于实际生产环境中的Linux服务器，每多一个用户知道特权密码，安全风险就多一分，会增大特权密码被黑客获取的概率。因此，Linux操作系统通过sudo命令把特定的执行权限赋予指定用户，这样既保证了普通用户能够完成特定的工作任务，又避免了泄露特权密码。sudo命令用于给普通用户提供额外的权限来完成原本root管理员才能完成的工作任务，它需要借助修改配置文件/etc/sudoers来完成对用户的管理，其配置原则是在保证普通用户完成相应工作任务的前提下，尽可能少地赋予其额外的权限。sudo命令的格式为“sudo[参数]命令名称”。sudo命令常用的参数及其作用如下表所示。参数作用-l指定列出当前用户可执行的命令-uUID或用户名以指定的用户身份执行命令-k清空密码的有效时间，下次执行sudo命令时需要再次进行密码验证-h列出帮助信息任务3实施步骤（1）开启pam_wheel认证。打开实验环境，在桌面空白处右击，在弹出的快捷菜单中选择“打开终端”，打开命令终端窗口，编辑完成后的文件如图2-15所示。将开头的“#”号删除后保存文件并退出，开启pam_wheel认证编辑/etc/pam.d/su文件。图2-15开启pam_wheel认证（2）新建用户账号user，因为其不属于wheel组，所以不能使用su命令，如图2-16所示。图2-16新建用户账号user（3）将user账号添加至wheel组，使得user账号可使用su命令进行用户切换，如图2-17所示。图2-17切换用户（4）使用sudo命令编辑/etc/sudoers文件，添加配置，使得账号user能够具有添加新用户的权限，如图2-18所示。图2-18编辑/etc/sudoers文件（5）使用su命令切换至user用户，然后使用命令sudouseradduser1添加新用户，说明用户user获得了添加新用户的权限，如图2-19所示。图2-19添加用户user1（6）执行命令iduser1，查看用户user1已添加成功，如图2-20所示。图2-20查看用户user1已添加成功任务4知识点讲解1、FTP服务器的登录模式FTP服务器的登录模式有以下3种。（1）匿名用户登录模式：使用用户名anonymous，无须输入密码即可登录FTP服务器，是一种最不安全的登录模式。（2）本地账户登录模式：当进入FTP登录窗口时，需要输入正确的用户名和密码方可登录FTP服务器。但如果黑客破解了账户信息，就可以畅通无阻地登录FTP服务器，从而完全控制整台服务器。（3）虚拟用户登录模式：将登录用户映射到指定的系统账号（/sbin/nologin）来访问FTP资源。为FTP服务单独建立用户数据库文件，虚拟出用来进行口令验证的账户信息，而这些账户信息在服务器系统中实际上是不存在的，仅供FTP服务程序进行认证时使用。这样，即使黑客破解了账户信息也无法登录服务器，从而有效降低了其破坏范围和影响，是3种登录模式中最安全的。2、FTP工作原理FTP是TCP/IP的一种具体应用，它工作在OSI（OpenSystemInterconnection，开放系统互连）模型的第七层（应用层）和TCP/IP模型的第四层。FTP基于C/S模式，默认使用20、21端口，其中20端口为数据端口，用于进行数据传输；21端口为命令端口，用于接收客户端发出的相关FTP命令和参数。FTP的工作原理分为如下4个部分。（1）客户端发送连接请求。客户端向服务器发送连接请求，同时客户端系统动态打开一个大于1024的端口（如1031端口）等候服务器连接。（2）建立FTP会话连接。当FTP服务器在端口21侦听到该请求后，会在客户端的1031端口和服务器的21端口之间建立起一个FTP会话连接。（3）数据传输。当需要传输数据时，FTP客户端再动态打开一个大于1024的端口（如1032端口）连接到服务器的20端口，并在这两个端口之间进行数据的传输。（4）自动释放动态分配的端口。数据传输完毕后，FTP客户端将断开与FTP服务器的连接，客户端上动态分配的端口将自动释放。3、FTP服务数据传输模式FTP服务传输数据分为主动传输模式（ActiveFTP）和被动传输模式（PassiveFTP）两种。（1）主动传输模式：是由FTP服务器主动连接FTP客户端的数据端口。首先，FTP客户端随机开启一个大于1024的端口N（如1025端口），并和FTP服务器的21端口建立连接，然后开放N+1端口（如1026端口）进行监听。FTP客户端在需要接收数据时，会向FTP服务器发送PORT命令，然后，FTP服务器通过自己的TCP20端口，主动向FTP客户端的1026端口传输数据，如图2-21所示，其中，S表示源端口，D表示目的端口。图2-21主动传输模式（2）被动传输模式：是FTP服务器被动地等待FTP客户端连接自己的数据端口。首先，FTP客户端随机开启一个大于1024的端口N（如1025端口）向FTP服务器的21端口发起连接，同时会开启N+1端口（如1026端口），然后向FTP服务器发送PASV命令，通知FTP服务器进入被动传输模式。FTP服务器收到命令后，开放一个大于1024的端口（如1521端口）进行监听，然后用PORT命令通知FTP客户端，自己的数据端口是1521。FTP客户端收到命令后，通过1026端口连接FTP服务器的端口1521，然后在两个端口之间进行数据传输，如图2-22所示。图2-22被动传输模式4、vsftpd服务vsftpd（VerySecureFTPDaemon，非常安全的FTP守护进程）是一款运行在Linux系统上的完全免费的、开源的FTP服务器软件，它支持很多其他FTP服务器所不支持的特性，如非常高的安全性需求、带宽限制、良好的可伸缩性、支持IPv6、高速率等。同时，VSFTP还支持虚拟用户和虚拟目录，便于系统管理员进行用户管理。VSFTP提供了系统用户、匿名用户和虚拟用户3种不同的用户，所有的虚拟用户会映射成一个系统用户，访问时的文件目录为该系统用户的家目录。VSFTP常用的配置文件及其说明如表2-8所示。配置文件说明/usr/sbin/vsftpdvsftpd主程序/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的用户列表文件，记录不允许访问FTP服务器的用户名单/etc/vsftpd/user_list禁止或允许使用vsftpd的用户列表文件/etc/rc.d/init.d/vsftpd启动脚本/etc/pam.d/vsftpdPAM认证文件/etc/logrotate.d/vsftpd.log日志文件/var/ftp匿名用户主目录常见的FTP命令及其功能如表2-9所示。FTP命令功能open连接FTP服务器close中断与远程服务器的FTP会话（与open对应）quit退出FTP会话续表FTP命令功能openhost[port]建立指定的FTP服务器连接，可指定连接端口ls显示服务器上的目录cd

directory改变服务器的工作目录help[cmd]显示FTP内部命令cmd的帮助信息，如helpgetget

remote-file[local-file]从服务器下载指定文件到客户端put

local-file[remote-file]从客户端上传指定文件到服务器status显示当前FTP状态system显示远程主机的操作系统useruser-name[password][account]向远程主机表明自己的身份，需要密码时，必须输入密码，如useranonymousmy@email五、任务4实施步骤（1）登录Linux服务器，执行命令rpm-qa|grepvsftp查看是否安装了vsftp服务。是否安装了vsftp服务，显示已安装vsftp服务，如图2-23所示。图2-23查看是否已安装vsftp服务（2）切换至/etc/vsftpd/目录，查看VSFTP配置文件列表，如图2-24所示。图2-24查看VSFTP配置文件列表（3）打开ftpusers文件，查看禁止访问FTP服务器的用户名单，如图2-25所示。图2-25查看禁止访问FTP服务器的用户名单（4）登录Windows系统，打开“命令提示符”窗口，进入FTP模式，使用open命令连接FTP服务器，如图2-26所示。图2-26连接FTP服务器（5）输入用户名“anonymous”，使用匿名账号进行登录，不需要输入密码，按“Enter”键即可登录FTP服务器，如图2-27所示。图2-27匿名用户anonymous登录成功（6）登录FTP服务器，编辑/etc/vsftpd/vsftpd.conf配置文件，如图2-28所示。图2-28编辑/etc/vsftpd/vsftpd.conf配置文件（7）修改配置，禁止匿名用户登录，如图2-29所示。图2-29禁止匿名用户登录（8）使用命令systemctlrestartvsftpd重启vsftpd服务，如图2-30所示。图2-30重启vsftpd服务（9）再次登录Windows系统，打开“命令提示符”窗口，进入FTP模式，使用匿名用户登录FTP服务器，提示登录失败，如图2-31所示。图2-31匿名用户登录失败（10）修改FTP默认端口号，登录FTP服务器，编辑/etc/vsftpd/vsftpd.conf配置文件，添加语句listen_port=4449，该语句指定了修改后FTP服务器的