《计算机网络基础与应用》Linux部分实训任务 教案 任务五　保护系统信息安全

实训五：保护系统信息安全(SSH与防火墙)一、实训基本信息（一）实训名称：SSH安全登录与iptables防火墙配置（二）实训课时：2学时（90分钟）（三）实训环境：1.物理机系统：Windows102.虚拟机平台：OracleVMVirtualBox6.1或更高版本3.虚拟机系统：CentOS8或RHEL8（最小化安装）*2台（1）一台作为SSH服务器/防火墙主机（IP:0）（2）一台作为SSH客户端/测试机（IP:0）4.网络模式：两台虚拟机使用同一内部网络或Host-Only网络（四）实训目标：1.理解SSH协议加密原理及密钥对认证方式2.掌握配置SSH密钥对登录，实现免密码安全访问3.理解Linuxnetfilter/iptables防火墙框架与数据流4.掌握使用iptables配置基本过滤规则与NAT规则（五）操作要求：1.根据操作说明的内容，完成对应的操作2.将操作步骤或验证结果截图保存二、实训准备（一）服务器与客户端环境准备操作说明操作界面截图启动两台CentOS虚拟机，分别作为Server和Client登录两台系统（root用户）为两台机器配置静态IP并确保互通：Server:0Client:0子网掩码:互相ping测试：ping-c3<对方IP>确保Server端SSH服务已安装并运行：systemctlstatussshd若未运行：systemctlstartsshd&&systemctlenablesshd三、实训步骤（一）配置SSH密钥对认证操作说明操作界面截图步骤1.1：在客户端生成SSH密钥对在Client机器上执行：ssh-keygen-trsa-b2048-C"client@lab"一路回车，使用默认路径和不设密码（用于实训）。查看生成的密钥：ls-l~/.ssh/id_rsa*步骤1.2：将客户端公钥上传到服务器ssh-copy-idroot@0输入服务器root密码。步骤1.3：测试密钥登录sshroot@0此时应无需输入密码直接登录成功。步骤1.4：（可选）禁用SSH密码登录以增强安全在Server上编辑SSH配置文件：vi/etc/ssh/sshd_config修改：PasswordAuthenticationno重启服务：systemctlrestartsshd注意：确保密钥登录测试成功后再做此操作，否则可能锁死自己。（二）配置iptables防火墙过滤规则操作说明操作界面截图步骤2.1：安装iptables-services（CentOS8默认使用firewalld）dnfinstalliptables-services-ysystemctlstopfirewalldsystemctldisablefirewalldsystemctlstartiptablessystemctlenableiptables步骤2.2：查看当前规则与默认策略iptables-L-n-viptables-tnat-L-n-v步骤2.3：清空所有现有规则并设置默认策略iptables-F#清空filter表规则iptables-tnat-F#清空nat表规则iptables-X#删除自定义链iptables-Z#计数器清零iptables-PINPUTDROP#默认拒绝所有入站iptables-PFORWARDDROP#默认拒绝所有转发iptables-POUTPUTACCEPT#默认允许所有出站步骤2.4：添加规则，允许本地回环、已建立连接及相关流量iptables-AINPUT-ilo-jACCEPTiptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT步骤2.5：添加规则，开放特定服务端口iptables-AINPUT-ptcp--dport22-jACCEPT#SSHiptables-AINPUT-ptcp--dport80-jACCEPT#HTTPiptables-AINPUT-picmp-jACCEPT#Ping步骤2.6：保存iptables规则serviceiptablessave或iptables-save>/etc/sysconfig/iptables（三）配置SNAT实现共享上网（拓展）操作说明操作界面截图步骤3.1：启用IP转发功能echo"net.ipv4.ip_forward=1">>/etc/sysctl.confsysctl-p步骤3.2：添加SNAT规则（假设ens33连接外网）iptables-tnat-APOSTROUTING-s/24-oens33-jMASQUERADE说明：MASQUERADE适用于动态获取外网IP的情况。若外网IP固定（如），可使用：-jSNAT--to-source四、实训验证与测试操作说明操作界面截图测试1：测试SSH密钥登录从Client：sshroot@0(应免密登录)测试2：测试防火墙规则从Client：sshroot@0(应成功，端口22开放)curl0(如果服务器有Web服务，应成功或连接被拒，但端口80是通的)ping-c20(应成功)nmap-p21,22,800(查看端口过滤情况)测试3：查看最终防火墙规则集iptables-L-n--line-numbersiptables-tnat-L-n测试4：删除某条规则iptables-DINPUT<规则编号>#先用--line-numbers查看编号五、常见问题与解决方法常见问题解决办法问题1：SSH密钥登录失败，仍要求密码排查：检查服务器~/.ssh/authorized_keys文件权限（应为600）；检查服务器/etc/ssh/sshd_config中PubkeyAuthentication是否为yes；确认上传公钥时使用的用户和登录用户一致。解决：修正文件权限，确保SSH配置启用公钥认证。问题2：设置防火墙后，自己无法远程连接现象：配置默认DROP策略后，SSH连接断开且无法重连。解决：务必在物理机或虚拟机控制台操作。检查规则顺序，确保-AINPUT-ptcp--dport22-jACCEPT规则已添加并位于-PINPUTDROP之后。最安全的方法是先写一个放行所有IP的SSH规则，配置完成后再限制