《网络系统安全运行与维护教案》-网络系统安全运行与维护29

郑州铁路职业技术学院教案首页序号：29授课班级信息安全22A1信息安全22A2授课日期5.277.3出勤情况课程名称网络系统安全运行与维护教学类型理实结合复习旧课引入新课复习旧课：Linux系统DNS服务安装与配置引入新课：Linux系统FTP服务安装与配置教学目标学生通过该能力模块的学习,能够熟练掌握FTP服务的安装与配置能力。讲授要点教学设计讲授要点：1、安装VSFTP软件2、配置FTP服务3、配置FTP选项教学设计：回顾上节内容复习DNS相关内容引入本节内容对比windows中关于FTP的配置，引入本节知识任务实施分4个实验步骤，完成FTP的安装与配置课堂总结重点难点解决方法重点：1、安装VSFTP软件2、配置FTP服务3、配置FTP选项难点：配置FTP选项解决方法：讲解+上机操作课后作业完成本节任务，并上交实验课后总结FTP的安装与配置与第三模块类似，可以让学生自己安装。郑州铁路职业技术学院教师教案第29-PAGE10页Linux系统FTP服务安装与配置教学过程步骤主要内容教学组织复习复习关于DNS服务器的安装与配置方法教师讲授，学生回忆5分钟任务引入FTP是为了共享资源、方便用户文件下载而制定的文件传输协议，那么必然有对系统读写的权利，所以它也是整个网络系统的薄弱环节，一些攻击者常常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系统，以窃取管理口令；有时利用FTP获取系统的passwd文件，从而了解系统的用户信息；有时利用FTP的puts和gets功能，增加系统负担，从而导致硬盘塞满甚至系统崩溃；有的攻击者利用FTP服务器来传播木马与病毒等等。教师讲授，启发学生思考5分钟知识讲授1．FTP服务的基本概念FTP是用于进行文件传输的网络协议FTP服务中分为服务器和客户机两个角色2．FTP服务器的传输模式主动模式：由服务器主动连接客户机建立数据链路被动模式：FTP服务器等待客户机建立数据链路3．FTP服务器使用的端口21端口用于与客户机建立命令链路在主动模式下服务器使用20端口向客户机建立数据链路4．安装vsftpdvsftpd的安装需要注意以下几点RHEL4系统中默认没有安装vsftpd服务器vsftpd服务器的安装文件位于第1张安装光盘中安装文件名称是vsftpd-2.0.1-5.i386.rpm使用rpm命名可顺利安装该软件包rpm-ivhvsftpd-2.0.1-5.i386.rpm5．vsftpd.conf是vsftpd服务器的主配置文件 /etc/vsftpd/vsftpd.conf配置文件中所有的配置项都有相同的格式 anonymous_enable=YES配置文件中的注释行以“#”开始配置文件的详细帮助信息可查询手册页 #manvsftpd.conf6．vsftpd.conf文件中的缺省配置anonymous_enable设置为“YES”时FTP服务器允许匿名登录local_enable设置为“YES”时允许本地用户登录write_enable设置为“YES”时FTP服务器开放对本地用户的写权限local_umask设置项设置本地用户的文件生成掩码dirmessage_enable设置为“YES”时当切换到FTP服务器中的某个目录时，将显示该目录下的.message隐含文件的内容xferlog_enable设置为“YES”时FTP服务器将启用上传和下载日志connect_from_port_20设置为“YES”时FTP服务器将启用FTP数据端口的连接请求xferlog_std_format设置为“YES”时FTP服务器将使用标准的ftpdxferlog日志格式pam_service_name设置PAM认证服务的配置文件名称userlist_enable设置为“YES”时FTP服务器将检查userlist_file设置文件中指定的用户是否可以访问vsftpd服务器listen设置为“YES”时FTP服务器将处于独立启动模式tcp_wrappers设置为“YES”时FTP服务器将使用tcp_wrappers作为主机访问控制方式7．vsftpd.ftpusers用于保存不允许进行FTP登录的本地用户帐号 #head-5/etc/vsftpd.ftpusers #Usersthatarenotallowedtologinviaftp root bin daemon adm8．vsftpd.ftpusers文件中可禁止高权限本地用户登录FTP服务器，提高了系统的安全性vsftpd.user_list文件具有对vsftpd服务器更灵活的用户访问控制/etc/vsftpd.user_list使用vsftpd.user_list文件需要在主配置文件中进行设置设置禁止vsftpd.user_list文件中的用户登录 userlist_enable=YES userlist_deny=YES设置只允许vsftpd.user_list文件中的用户登录 userlist_enable=YES userlist_deny=NOvsftpd服务器提供匿名用户登录的功能 匿名用户使用的登录用户名 anonymous ftp匿名FTP用户登录的口令通常是使用用户的E-mail地址，在vsftpd中输入任何字符串或直接回车都可以登录所有匿名用户都登录到相同的目录中 /var/ftp9、服务器启动脚本教师讲授，FTP主要知识点35分钟任务实施第一步安装和配置VSFTP服务检查软件安装[root@lab2~]#rpm-qa|grepvsftpdvsftpd-2.0.1-5.EL4.7[root@lab2~]#servicevsftpdstatusvsftpd已停启动VSFPT服务[root@lab2~]#servicevsftpdstart为vsftpd启动vsftpd：[确定][root@lab2~]#ps-aux|grepvsftpdWarning:badsyntax,perhapsabogus'-'?See/usr/share/doc/procps-3.2.3/FAQroot75330.10.338761008pts/0S23:120:00/usr/sbin/vsftpd/etc/vsftpd/vsftpd.confroot75370.00.26640644pts/0S+23:120:00grepvsftpd本地用户上传文件[root@lab1~]#ftp0Connectedto0.220(vsFTPd2.0.1)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(0:root):user10331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/home/user10"ftp>dir227EnteringPassiveMode(192,168,123,10,143,123)150Herecomesthedirectorylisting.-rw-r--r--150950920373Feb1514:57aaa-rw-r--r--150950920373Feb1514:48abc226DirectorysendOK.ftp>putservicesabdlocal:servicesremote:abd227EnteringPassiveMode(192,168,123,10,142,17)150Oktosenddata.226FilereceiveOK.20373bytessentin0.005seconds(4e+03Kbytes/s)ftp>dir227EnteringPassiveMode(192,168,123,10,142,22)150Herecomesthedirectorylisting.-rw-r--r--150950920373Feb1514:57aaa-rw-r--r--150950920373Feb1514:48abc-rw-r--r--150950920373Feb1515:00abd226DirectorysendOK.ftp>pwd257"/home/user10"ftp>bye221Goodbye.禁止本地用户上传文件修改配置文件[root@lab2~]#vi/etc/vsftpd/vsftpd.conf#Exampleconfigfile/etc/vsftpd/vsftpd.conf##Thedefaultcompiledinsettingsarefairlyparanoid.Thissamplefile#loosensthingsupabit,tomaketheftpdaemonmoreusable.#Pleaseseevsftpd.conf.5forallcompiledindefaults.##READTHIS:ThisexamplefileisNOTanexhaustivelistofvsftpdoptions.#Pleasereadthevsftpd.conf.5manualpagetogetafullideaofvsftpd's#capabilities.##AllowanonymousFTP?(Beware-allowedbydefaultifyoucommentthisout).anonymous_enable=YES##Uncommentthistoallowlocaluserstologin.local_enable=YES#anon_world_readable_only=YES##UncommentthistoenableanyformofFTPwritecommand.#write_enable=YES##Defaultumaskforlocalusersis077.Youmaywishtochangethisto022,#ifyourusersexpectthat(022isusedbymostotherftpd's)[root@lab1~]#ftp0Connectedto0.220(vsFTPd2.0.1)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(0:root):user10331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>putservicesacdlocal:servicesremote:acd227EnteringPassiveMode(192,168,123,10,236,141)550Permissiondenied.ftp>bye221Goodbye.第二步配置虚拟用户1．建立虚拟用户口令库文件口令库文件中奇数行设置用户名，偶数行设置口令[root@lab2~]#vilogins.txtvirtual1123virtual21232．生成vsftpd的认证文件使用db_load命令生成认证文件 #db_load-T-thash-flogins.txt/etc/vsftpd_login.db3．设置认证文件只对用户可读可写 #chmod600/etc/vsftpd_login.db4．建立虚拟用户所需的PAM配置文件手工建立vsftpd.vu文件 #vi/etc/pam.d/vsftpd.vu authrequiredpam_userdb.sodb=/etc/vsftpd_login accountrequiredpam_userdb.sodb=/etc/vsftpd_login5．建立虚拟用户及要访问的目录并设置相应的权限建立所有FTP虚拟用户帐号使用的系统用户帐号，并设置该帐号宿主目录的权限 #useradd-d/home/ftpsitevirtual #chmod704/home/ftpsite/6．设置vsftpd.conf配置文件在配置文件中添加虚拟用户的配置内容 guest_enable=YES guest_username=virtua