网络信息安全基础（AIGC版） 教学课件 项目七 Linux操作系统的安全配置

任务1Linux用户权限和文件系统权限管理——项目七Linux操作系统的安全配置本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux用户与权限概述Linux用户操作命令与文件权限操作子任务1用户密码管理03子任务2用户登录管理04子任务3文件权限设置05子任务4文件特殊权限设置06子任务5用户密码安全测试0701任务规划任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。1）测评内容：为确保所有用户账户均使用强密码，制定严格的密码策略。安全加固措施：安装和配置pam_pwquality模块、配置PAM以使用密码策略、设置密码过期策略、强制用户遵守新策略、日志检查和审计。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。2）测评内容：排查现有账户，禁用多余的test2账户，限制其他用户通过su命令切换为root用户，仅允许user1用户可以使用，设置所有用户登录超时时间为10分钟，10分钟没有任何操作自动登出。安全加固措施：列出所有用户、识别并禁用不必要的用户、启用pam_wheel认证模块、配置wheel组成员、设置登录超时、测试验证。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。3）测评内容：利用ACL技术为特定用户或组设置额外的文件或目录权限，实现更细粒度的访问控制。安全加固措施：创建用户user1和user2、创建内部资料目录并设备相应权限、使用ACL进行细粒度权限控制、测试并验证权限的配置。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。4）测评内容：为公司的一个共享目录/data/share及目录下的文件配置特殊权限，实现该目录下的文件不允许用户随意移动或删除，同时a.txt文件允许普通用户在执行时暂时拥有文件所有者的权限，而文件b.txt普通用户在执行时暂时地拥有文件所属组的权限。安全加固措施：先检查文件和目录权限、为a.txt文件设置SUID权限、为文件b.txt设置SGID权限、为目录/data/share添加StickyBit权限。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。5）测评内容：利用专业的密码破解工具john，对密码进行强度评估，及时发现并修复弱密码。安全加固措施：获取服务器的密码哈希文件并拷贝到Kali系统中、准备一个字典文件、在Kali的命令行终端内使用John工具执行破解命令、查看破解结果并提醒弱密码用户更换密码。本任务的环境CentOSLinux8.0服务器，Kali2.0攻击机“02相关知识相关知识——2.1Linux用户与权限基础知识一、Linux用户概述1.用户分类超级用户（root）：拥有系统的最高权限，可以执行任何操作，对系统具有完全的控制权。普通用户：权限受到严格限制，只能访问其被授权的资源，主要用于日常的工作和操作。系统用户：用于支持系统的正常运行，通常不用于登录系统，如httpd、mysql等服务用户。相关知识——2.1Linux用户与权限基础知识一、Linux用户概述2.用户账户管理命令useradd：创建新用户账户，可指定用户的主目录、登录Shell等属性。示例：sudouseradd-m-s/bin/bashtestuserpasswd：设置或更改用户密码。示例：sudopasswdtestuserusermod：修改用户账户的属性，如登录Shell、主目录、所属用户组等。示例：sudousermod-s/bin/zshtestuseruserdel：删除用户账户，可选择是否同时删除用户的主目录和邮件目录。示例：sudouserdel-rtestuser相关知识——2.1Linux用户与权限基础知识二、Linux用户组管理1.用户组的概念和作用：用户组是将多个用户组织在一起的一种方式，通过用户组可以方便地为一组用户分配相同的权限，简化权限管理。2.用户组管理命令groupadd：创建新的用户组。示例：sudogroupaddnewgroupgroupmod：修改用户组的属性，如组名、组ID等。示例：sudogroupmod-nnewgroupnameoldgroupnamegroupdel：删除用户组。示例：sudogroupdelnewgroupgpasswd：管理用户组的成员，如添加、删除用户组成员等。示例：sudogpasswd-atestusernewgroup相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述1.文件权限的表示方法符号表示法：使用r（读）、w（写）、x（执行）和-（无权限）来表示文件或目录的权限，分为三组，分别对应文件的所有者、所属组和其他用户。例如：-rw-r--r--表示文件所有者具有读写权限，所属组和其他用户只有读权限。数字表示法：将r、w、x分别用4、2、1表示，无权限用0表示，通过三个数字的组合来表示文件的权限。例如：644表示文件所有者具有读写权限（4+2=6），所属组和其他用户只有读权限（4）。符号数字说明r4读取权限w2写入权限x1执行权限-0无权限2.权限数字映射：相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述3.文件权限的设置命令chmod：修改文件或目录的权限。示例：chmodu+xfile为文件的所有者添加执行权限；chmod755directory将目录的权限设置为所有者具有读写执行权限，所属组和其他用户具有读和执行权限。chown：改变文件或目录的所有者和所属组。示例：chownuser:groupfile将文件的所有者改为user，所属组改为group。chgrp：专门用于改变文件或目录的所属组。示例：chgrpgroupfile将文件的所属组改为group。相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述4.

Linux特殊权限详解权限类型‌‌原理‌‌应用场景‌‌设置方法‌‌SUID‌

(SetUserID)文件执行时，执行者‌临时获得文件所有者‌的权限/usr/bin/passwd：普通用户修改密码时获得root权限

/usr/bin/sudo：执行特权命令chmodu+s文件

chmod4xxx文件‌SGID‌

(SetGroupID)‌文件‌：执行时获得‌文件所属组‌权限

‌目录‌：该目录下‌新建文件自动继承目录所属组‌文件：团队协作工具需共享组权限

目录：共享文件夹（如/var/www确保新建文件属web组）chmodg+s文件/目录

chmod2xxx文件/目录‌StickyBit‌目录中‌仅文件所有者或root‌可删除/移动文件/tmp：公共临时目录防误删

/var/tmp：长期临时文件保护相关知识——2.1Linux用户与权限基础知识三、访问控制列表（ACL）文件权限的设置命令ACL的概念和作用：ACL是一种更细粒度的权限管理机制，允许为单个用户或用户组设置特定的文件或目录权限，突破了传统的所有者、所属组和其他用户三组权限的限制。ACL管理命令setfacl：设置文件或目录的ACL规则。示例：setfacl-mu:user1:rwxfile为用户user1赋予文件的读写执行权限。getfacl：查看文件或目录的ACL规则。示例：getfaclfile好学深思认识Linux用户权限和文件系统权限管理，按要求做好Linux用户权限和文件系统权限管理的操作。从责任与规则看，超级用户的权限象征着关键责任，需对系统安全稳定负责；权限管理规则如同法律，要求严格遵循，强化法治思维与责任担当，避免越权违规引发风险。从协作与创新看，用户组体现集体主义，通过分工协作达成目标；而面对复杂网络安全形势，权限管理技术的发展促使学习者保持创新进取，积极探索先进方案，同时坚守数据安全底线，以细节保障信息安全，践行安全责任与团队协作精神。03子任务1子任务1-1用户密码管理1）测评内容：为确保所有用户账户均使用强密码，制定严格的密码策略。安全加固措施：安装和配置pam_pwquality模块、配置PAM以使用密码策略、设置密码过期策略、强制用户遵守新策略、日志检查和审计。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户密码管理知识链接——windows用户与组的命令行参数说明netuser：列出所有本地用户账户user用户名密码/add：创建新账户netuser用户名/delete：删除账户netuser用户名/logonpasswordchg：强制用户下次登录修改密码netuser用户名*：交互式设置密码（隐藏输入）netlocalgroup：列出所有本地组netlocalgroupAdministrators用户名/add：将用户加入管理员组netlocalgroupAdministrators用户名/delete：从组中移除用户whoami：显示当前登录用户身份whoami/priv：查看用户详细权限列表whoami/user：查看用户SID（安全标识符）04子任务2子任务1-2用户登录管理2）测评内容：排查现有账户，禁用多余的test2账户，限制其他用户通过su命令切换为root用户，仅允许user1用户可以使用，设置所有用户登录超时时间为10分钟，10分钟没有任何操作自动登出。安全加固措施：列出所有用户、识别并禁用不必要的用户、启用pam_wheel认证模块、配置wheel组成员、设置登录超时、测试验证。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2用户登录管理05子任务3子任务1-3文件权限设置3）测评内容：利用ACL技术为特定用户或组设置额外的文件或目录权限，实现更细粒度的访问控制。安全加固措施：创建用户user1和user2、创建内部资料目录并设备相应权限、使用ACL进行细粒度权限控制、测试并验证权限的配置。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3文件权限设置06子任务4子任务1-4文件特殊权限设置4）测评内容：为公司的一个共享目录/data/share及目录下的文件配置特殊权限，实现该目录下的文件不允许用户随意移动或删除，同时a.txt文件允许普通用户在执行时暂时拥有文件所有者的权限，而文件b.txt普通用户在执行时暂时地拥有文件所属组的权限。安全加固措施：先检查文件和目录权限、为a.txt文件设置SUID权限、为文件b.txt设置SGID权限、为目录/data/share添加StickyBit权限。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-4文件特殊权限设置07子任务5子任务1-5用户密码安全测试5）测评内容：利用专业的密码破解工具john，对密码进行强度评估，及时发现并修复弱密码。安全加固措施：获取服务器的密码哈希文件并拷贝到Kali系统中、准备一个字典文件、在Kali的命令行终端内使用John工具执行破解命令、查看破解结果并提醒弱密码用户更换密码。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-5用户密码安全测试好学深思严格遵守授权和权限管理制度《网络安全法》规定，网络运营者应采取技术措施保障网络安全、稳定运行，用户密码管理、登录管理等环节若出现漏洞，致使数据泄露，便违反此法规。文件权限设置关乎数据访问控制，若随意更改，导致敏感信息泄露，触犯《数据安全法》。用户密码安全测试若被用于非法窃取他人密码，则违反《刑法》中关于侵犯公民个人信息罪的规定。务必依规操作，严守安全法规底线。感谢聆听Thanks

课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源任务2Linux防火墙配置——项目七Linux操作系统的安全配置课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux防火墙概述Linux防火墙规则与策略深度配置子任务1安装Linux防火墙03子任务2防火墙配置04子任务3防火墙策略管理0501任务规划任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。1）测评内容：在服务器上安装firewalld防火墙。安全加固措施：使用命令进行安装前检查：systemctlstatusfirewalld。执行安全命令：sudodnfinstallfirewalld任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。2）测评内容：查看firewalld服务状态、查看当前默认区域、更改默认区域、开放特定端口与IP。安全加固措施：使用防火墙的管理命令，以监控防火墙的状态、启用/禁用防火墙服务，并确保防火墙在系统启动时自动运行。配置详细的防火墙规则以及制定并实施有效的防火墙策略，使该服务器目前运行在internal区域且仅允许80端口和443端口的访问，而22端口仅允许来自/24IP地址范围的设备通过TCP协议访问。

任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。3）测评内容：配置服务与端口管理，以确保网络流量的安全性和合规性。安全加固措施：富规则配置、服务与端口管理。本任务的环境CentOSLinux8.0服务器“02相关知识相关知识——2.1Linux防火墙基础知识一、防火墙核心作用Linux防火墙作为网络安全的核心屏障，部署于内部网络与外部网络的交界处，如同网络安全的“守门人”。它依据预先设定的规则，对进出系统的网络流量进行深度检测与严格管控，能够有效识别并拦截非法访问、恶意攻击等威胁，防止敏感数据泄露、系统被入侵，确保系统的安全性、稳定性和数据的完整性，是企业网络安全防护体系的关键环节。相关知识——2.1Linux防火墙基础知识二、按实现方式分类1.包过滤型防火墙：工作层次：位于网络层和传输层。工作原理：基于数据包的源IP地址、目的IP地址、端口号、协议类型（如TCP、UDP、ICMP等）等网络层和传输层信息进行过滤。当数据包到达防火墙时，防火墙逐一检查这些信息，并与预设的规则进行匹配。若符合规则，则允许数据包通过；若不符合，则直接丢弃。例如，可设置规则只允许特定IP地址段访问服务器的80端口，其他IP的访问请求将被拦截。特点：处理速度快，对网络性能影响较小，但无法对应用层数据进行深入检查，存在一定安全局限性，如难以防范利用应用层漏洞的攻击。典型工具：Iptables。相关知识——2.1Linux防火墙基础知识二、按实现方式分类2.应用代理型防火墙（状态检测防火墙）：工作层次：工作在应用层。工作原理：不直接转发数据包，而是在用户与外部网络之间充当代理。当用户请求访问外部网络资源时，应用代理防火墙先接收请求，对应用层数据（如HTTP请求头、邮件内容等）进行深度解析和检查，验证其合法性和安全性。只有通过检查的请求，防火墙才会以自身名义向外部服务器发起请求，并将响应结果返回给用户。此外，它还会维护会话状态信息，跟踪每个连接的状态，确保后续数据包属于合法会话。相关知识——2.1Linux防火墙基础知识二、按实现方式分类2.应用代理型防火墙（状态检测防火墙）：特点：能够提供更高级别的安全防护，有效抵御应用层攻击，如SQL注入、跨站脚本攻击等。但由于需要对应用层数据进行处理，性能相对较低，配置也更为复杂。典型工具：Squid、pfSense。相关知识——2.1Linux防火墙基础知识三、按使用工具分类1.Iptables：是Linux系统中经典的防火墙工具，基于Netfilter内核模块构建。Iptables通过定义规则表和规则链来管理防火墙规则，灵活性高，但配置相对复杂，需要对网络协议和规则逻辑有深入理解，适用于对防火墙有高度定制化需求的场景。2.Firewalld：是新一代动态防火墙管理工具，作为systemd的一部分，在现代Linux发行版（如Fedora、CentOS、RHEL）中广泛使用。它提供了更直观、易于管理的操作界面，支持防火墙规则的动态更新，无需重启服务即可生效，极大地简化了网络安全配置和维护工作。相关知识——2.2Linux防火墙实现机制一、Netfilter内核模块Netfilter是Linux内核中负责网络数据包处理的核心组件，处于网络协议栈的关键路径上，如同网络数据流通的“交通枢纽”。它提供了一系列钩子（hook）函数，在数据包流经内核网络协议栈的不同阶段进行拦截和处理。这些钩子点包括：1.

PREROUTING：数据包进入系统后，在路由决策之前被拦截，常用于实现目的地址转换等操作。2.INPUT：经过路由决策后，数据包要进入本机的用户空间时被拦截，主要用于过滤进入本机的数据包。3.FORWARD：当数据包需要通过本机进行转发（非本机接收）时被拦截，用于控制转发的数据包。4.OUTPUT：从本机用户空间发出的数据包在路由之前被拦截，可对本地生成的数据包进行过滤和修改。5.POSTROUTING：数据包即将离开系统时被拦截，常用于实现源地址转换（SNAT）、数据包伪装等功能。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具Iptables是用户空间用于配置Netfilter规则的工具，通过定义规则表（tables）和规则链（chains）来组织和管理防火墙规则。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具1.规则表Iptables默认包含四个规则表，每个表负责不同的功能：Filter表：默认表，主要用于数据包过滤，决定数据包是接受、拒绝还是转发，包含INPUT、OUTPUT和FORWARD三条规则链。例如，可在Filter表的INPUT链中设置规则，禁止特定IP地址访问服务器。Nat表：用于网络地址转换，实现端口转发、IP伪装等功能，包含PREROUTING、POSTROUTING和OUTPUT三条规则链。比如，通过Nat表的PREROUTING链可将外部对特定端口的访问请求转发到内部服务器的相应端口。Mangle表：用于修改数据包的内容，如设置服务质量（QoS）标志位、更改数据包的TTL值等，常用于对数据包进行特殊处理。Raw表：用于对数据包进行初始处理，如关闭NAT表上启用的连接追踪机制，确定是否对该数据包进行状态跟踪，在一些特殊场景下使用。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具2.规则链规则链是规则的集合，每个规则表包含若干规则链，数据包按照规则链中的规则顺序进行匹配：INPUT链：处理进入本机的数据包，是防御外部攻击的重要防线。OUTPUT链：处理从本机发出的数据包，可控制本地应用对外的访问。FORWARD链：处理通过本机路由转发的数据包，用于保护转发路径上的网络安全。PREROUTING链：在数据包进入系统后、路由之前进行处理，常用于目的地址转换。POSTROUTING链：在数据包即将离开系统时进行处理，常用于源地址转换。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具2.规则要素匹配条件：用于判断数据包是否符合规则，包括源地址、目的地址、端口号、协议类型、接口等。例如，“源地址为/24网段，目的端口为80，协议为TCP”就是一个具体的匹配条件。动作（目标）：当数据包匹配规则后执行的操作，常见的有ACCEPT（接受）、DROP（丢弃）、REJECT（拒绝并返回错误信息）、LOG（记录日志）等。例如，若匹配到恶意IP的访问请求，可设置规则将其丢弃或拒绝。模块：扩展Iptables功能的组件，提供额外的匹配条件和功能。如limit模块可实现流量限速，state模块可用于状态检测。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：trusted（受信任）：最高信任级别，允许所有网络连接通过，适用于绝对可信的网络环境，如家庭内部完全信任的设备网络，但使用时需谨慎，避免引入安全风险。home（家庭）：适用于家庭网络环境，默认仅接受特定的连接，如SSH（远程管理）、MDNS（设备发现）、IPP-Client（打印服务客户端）、Samba-Client（文件共享客户端）或DHCPv6-Client（IPv6动态地址分配客户端）等服务连接，在保障家庭网络设备正常通信的同时，限制其他不必要的访问。internal（内部）：用于企业或组织的内部网络，与home区域类似，仅允许特定服务连接，可根据内部网络需求进行自定义配置，保护内部资源安全。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：work（工作）：适用于工作场所网络，默认允许SSH、IPP-Client和DHCPv6-Client等连接，为办公设备提供必要的网络服务，同时限制外部非授权访问。public（公共）：默认区域，适用于公共网络环境（如咖啡店、机场等），安全性较高，仅允许特定的连接，如SSH和DHCPv6-Client，最大限度减少公共网络带来的安全威胁。external（外部）：类似于路由器的启用伪装（Masquerading）选项，常用于连接外部网络（如互联网），仅允许特定连接（如SSH），并对外出网络连接进行伪装和转发，隐藏内部网络结构，增强网络安全性。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：dmz（非军事区）：用于放置可公开访问但对内部网络有限制访问的计算机（如Web服务器、邮件服务器），仅接受特定连接（如SSH），实现内外网隔离，保护内部核心网络安全。block（阻止）：拒绝所有网络服务连接，但允许由该系统初始化的网络连接。当外部设备尝试连接时，会返回icmp-host-prohibited消息，告知连接被拒绝，适用于对安全性要求极高且不需要外部主动连接的场景。drop（丢弃）：任何外部访问的网络数据包都会被直接丢弃，且不返回任何响应，仅允许由该系统发起的网络连接，是最严格的安全策略，适用于极端安全需求的环境。相关知识——2.3Firewalld防火墙一、Firewalld核心概念2.Service（服务）Service是Firewalld中预定义的一组与特定网络应用相关的端口和协议组合，将复杂的端口和协议配置进行封装，简化防火墙配置过程。例如，http服务对应TCP协议的80端口，https服务对应TCP协议的443端口。Firewalld提供了众多预定义服务，存储在/usr/lib/firewalld/services/目录下，可通过firewall-cmd--get-services命令列出。此外，管理员还可根据实际需求，在/etc/firewalld/services/目录下创建自定义服务的XML配置文件，定义特定应用的端口、协议等参数。相关知识——2.3Firewalld防火墙一、Firewalld核心概念3.RichRules（富规则）富规则是Firewalld中功能强大且灵活的规则定义方式，用于创建复杂的防火墙策略。它支持多种条件组合，包括源地址、目的地址、端口、协议、连接状态等。例如，“仅允许源地址为/24网段，目的端口为22，协议为TCP的连接通过”就是一条富规则。富规则使用特定的语法格式，通过firewall-cmd命令进行配置，能够满足多样化的安全需求，实现对网络流量的精准控制。相关知识——2.3Firewalld防火墙二、Firewalld管理命令1.服务管理命令：启动服务：systemctlstartfirewalld，用于启动Firewalld服务。停止服务：systemctlstopfirewalld，停止正在运行的Firewalld服务，停止后网络流量将不再受其管控。重启服务：systemctlrestartfirewalld，先停止服务再启动，常用于配置变更后使新规则生效，但会中断现有连接。查看服务状态：systemctlstatusfirewalld，显示Firewalld服务的运行状态，包括是否正在运行、启动时间等信息。设置开机自启：systemctlenablefirewalld，配置Firewalld服务在系统启动时自动运行，确保系统启动后防火墙立即生效。禁用开机自启：systemctldisablefirewalld，取消Firewalld服务的开机自启设置。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：查看当前活动区域和规则：firewall-cmd--list-all，显示当前生效的区域配置以及该区域内的所有规则，包括开放的端口、服务、富规则等信息。查看当前默认区域：firewall-cmd--get-default-zone，获取当前系统设置的默认区域。更改默认区域：firewall-cmd--set-default-zone=区域名称，将指定区域设置为默认区域，后续未明确指定区域的规则将应用于该默认区域。临时开放端口：firewall-cmd--zone=区域名称--add-port=端口号/协议，在指定区域临时开放端口，系统重启后设置失效。永久开放端口：firewall-cmd--permanent--zone=区域名称--add-port=端口号/协议，在指定区域永久开放端口，需执行firewall-cmd--reload使配置生效。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：关闭端口：将开放端口命令中的--add-port替换为--remove-port，即可关闭指定端口。添加服务：firewall-cmd--permanent--zone=区域名称--add-service=服务名称，在指定区域添加预定义服务，同样需执行firewall-cmd--reload生效。删除服务：将添加服务命令中的--add-service替换为--remove-service，删除已添加的服务。添加富规则：firewall-cmd--permanent--zone=区域名称--add-rich-rule='规则内容'，在指定区域添加富规则，执行firewall-cmd--reload后规则生效。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：删除富规则：将添加富规则命令中的--add-rich-rule替换为--remove-rich-rule，删除指定富规则。使配置生效：firewall-cmd--reload，重新加载Firewalld配置，使新增或修改的规则立即生效，且不会中断现有连接；firewall-cmd--complete-reload，重新启动Firewalld服务并加载配置，会中断现有连接，一般在配置变动较大时使用。相关知识——2.3Firewalld防火墙二、Firewalld管理命令3.日志查看命令：Firewalld的日志通常存储在/var/log/messages或/var/log/firewalld目录下，可使用tail、grep等命令查看。例如，tail-f/var/log/firewalld实时查看Firewalld日志，grep"REJECT"/var/log/firewalld筛选出拒绝连接的日志记录，用于分析和排查网络访问问题及安全事件。好学深思认识Linux防火墙权限管理，按要求做好Linux防火墙权限管理的相关操作。在责任与法治层面，其配置关乎系统安全，稍有差错便可能引发数据泄露等严重后果，要求学习者树立“网络安全无小事”的责任意识，严守《网络安全法》等法规，将规则视为法律红线，杜绝违规操作，维护数据安全与用户隐私。从协作与创新角度看，网络安全需多部门协同，防火墙配置要与其他防护环节配合，强化集体主义精神；面对不断演变的网络威胁，学习者应保持创新思维，主动学习前沿技术，灵活调整防护策略，提升风险应对能力，以动态化防护适应网络安全新挑战。03子任务1子任务1-1安装Linux防火墙1）测评内容：在服务器上安装firewalld防火墙。安全加固措施：使用命令进行安装前检查：systemctlstatusfirewalld。执行安全命令：sudodnfinstallfirewalld本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1安装Linux防火墙04子任务2子任务1-2防火墙配置2）测评内容：使用防火墙的管理命令，以监控防火墙的状态、启用/禁用防火墙服务，并确保防火墙在系统启动时自动运行。配置详细的防火墙规则以及制定并实施有效的防火墙策略，使该服务器目前运行在internal区域且仅允许80端口和443端口的访问，而22端口仅允许来自/24IP地址范围的设备通过TCP协议访问。安全加固措施：

查看firewalld服务状态、查看当前默认区域、更改默认区域、开放特定端口与IP。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2防火墙配置05子任务3子任务1-3防火墙策略管理3）测评内容：配置服务与端口管理，以确保网络流量的安全性和合规性。安全加固措施：富规则配置、服务与端口管理。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3防火墙策略管理好学深思严格遵守网络安全管理制度《中华人民共和国网络安全法》作为网络安全领域的基础性法律，明确规定了网络运营者的安全保护义务、网络产品和服务提供者的责任等内容。随意开放高危端口、未按规范设置访问限制等行为不仅违反技术安全原则，还可能触犯法律红线。比如，若未对敏感数据传输端口加密，导致数据泄露，将面临法律追责。学生们应当建立起“规则即法律”的认知，确保在进行防火墙配置时，严格遵循法律法规，树立知法、守法、用法的法治观念。感谢聆听Thanks

课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源任务3Linux的SSH安全配置和日志管理——项目七Linux操作系统的安全配置课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux服务器的SSH服务的概述Linux服务器的安全日志管理子任务1root远程登录管理03子任务2SSH安全加固04子任务3SSH弱密码测试05子任务4查看系统日志06子任务5清除Linux日志0701任务规划任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。1）测评内容：通过修改SSH配置文件，禁止root用户远程登录，并限制用户登录尝试次数，降低暴力破解风险。安全加固措施：为减少未授权访问的风险，需对用户登录行为进行严格控制。包括限制SSH服务的root用户直接登录，对用户实施“允许3次失败”的登录尝试等。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。2）测评内容：为user1用户启用公钥认证，关闭密码登录，并通过防火墙限制SSH端口仅允许特定IP访问。安全加固措施：创建认证文件与权限设置、生成密钥对并传输公钥、禁用密码认证、防火墙规则配置。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。3）测评内容：使用Hydra工具检测用户弱密码，并修复风险账户。安全加固措施：临时恢复密码登录、利用hydra进行弱密码检测、通知用户修改密码、加强密码策略、移除闲置账户。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。4）测评内容：掌握不同日志文件功能，学会使用工具查看和分析SSH相关日志。安全加固措施：核心日志文件：/var/log/secure：安全事件（登录、权限变更）/var/log/messages：系统消息/var/log/syslog：综合日志任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。5）测评内容：定期备份并清理日志文件，配置日志自动轮转。安全加固措施：手动备份与清空日志、自动化日志轮转配置。本任务的环境CentOSLinux8.0服务器，Kali2.0攻击机“02相关知识相关知识——2.1SSH基础介绍一、SSH简介1.定义SSH（SecureShell）是一种网络协议，用于在不安全的网络中提供安全的远程登录和其他网络服务。2.用途远程登录服务器，如Linux系统管理。安全传输文件，如使用SFTP或SCP。端口转发，实现安全的网络访问。3.发展历程从Telnet的不安全模式发展而来，不断改进加密和认证机制。相关知识——2.1SSH基础介绍二、SSH工作原理1.整体架构客户端-服务器模型，客户端发起连接请求，服务器响应并处理。2.连接建立过程版本协商：客户端和服务器交换支持的SSH版本信息。密钥交换：使用Diffie-Hellman等算法生成共享密钥，用于后续加密通信。用户认证：验证客户端用户的身份。会话建立：认证通过后，建立安全的会话通道。3.加密技术对称加密：如AES，用于快速加密大量数据。非对称加密：如RSA、DSA，用于密钥交换和数字签名。哈希算法：如SHA-256，用于保证数据完整性。相关知识——2.1SSH基础介绍三、SSH协议底层架构1.协议分层模型传输层：采用AES-256、ChaCha20等对称加密算法，HMAC-SHA256进行完整性校验用户认证层：支持密码、公钥、OTP（一次性密码）等多种认证方式连接层：实现命令执行、文件传输、端口转发等功能相关知识——2.1SSH基础介绍三、SSH协议底层架构2.密钥交换过程Diffie-Hellman交换：客户端与服务器协商生成共享密钥RSA/ECDSA验证：服务器公钥验证客户端身份，防止中间人攻击对称密钥建立：使用共享密钥加密后续通信数据特性SSHTelnet数据加密AES、ChaCha20等加密算法明文传输，易被窃听身份认证多因素认证机制仅密码认证，易暴力破解完整性校验HMAC-SHA256校验无校验，数据易被篡改3.安全特性对比相关知识——2.1SSH基础介绍四、OpenSSH1.服务端配置核心参数参数名称默认值安全配置建议典型应用场景Port22改为非默认端口减少端口扫描暴露风险PermitRootLoginyes设置为no禁止root直接远程登录MaxAuthTries6降低至3-4次限制暴力破解尝试次数PubkeyAuthenticationyes强制启用替代密码认证，提升安全性PasswordAuthenticationyes设置为no禁用弱密码登录相关知识——2.1SSH基础介绍四、OpenSSH2.OpenSSH服务配置（1）认证方式选择PubkeyAuthentication：是否启用公钥认证，默认是yes。PasswordAuthentication：是否启用密码认证，建议根据安全需求设置。ChallengeResponseAuthentication：是否启用键盘交互式认证。（2）用户登录限制PermitRootLogin：是否允许root用户直接登录，建议设置为no以增强安全性。AllowUsers和DenyUsers：指定允许或禁止登录的用户列表。AllowGroups和DenyGroups：指定允许或禁止登录的用户组列表。相关知识——2.1SSH基础介绍五、SSH认证机制1.密码认证（1）原理客户端向服务器发送用户名和密码，服务器验证密码是否正确。（2）优缺点优点：简单易用，无需额外配置密钥。缺点：容易受到暴力破解攻击，密码泄露风险高。（3）安全建议使用强密码，包含字母、数字和特殊字符。结合其他认证方式，如多因素认证。相关知识——2.1SSH基础介绍五、SSH认证机制2.公钥认证（1）原理客户端生成公钥和私钥，将公钥上传到服务器。认证时，客户端使用私钥对服务器发送的随机数据进行签名，服务器使用公钥验证签名。（2）密钥生成与管理使用ssh-keygen命令生成密钥对。公钥存储在服务器的~/.ssh/authorized_keys文件中。私钥由客户端妥善保管，避免泄露。（3）优点安全性高，避免了密码在网络中传输的风险。便于自动化管理，如脚本登录。相关知识——2.1SSH基础介绍五、SSH认证机制3.多因素认证（1）概念结合多种认证因素，如密码、公钥、短信验证码、硬件令牌等，增加认证的安全性。（2）常见实现方式短信验证码：在密码或公钥认证基础上，发送验证码到用户手机，用户输入验证码完成认证。硬件令牌：如RSASecurID令牌，生成动态密码。（3）应用场景对安全性要求较高的企业环境，如金融、政府等行业。相关知识——2.2日志审计一、关键日志分析日志文件路径核心字段解析安全分析重点/var/log/securesshd[PID]:Acceptedpassword成功登录记录sshd[PID]:Failedpasswordfor失败登录尝试/var/log/auth.logpam_unix(sshd:auth):authenticationfailure认证失败原因分析好学深思认识Linux的SSH安全配置与日志管理，按要求做好Linux的SSH安全配置与日志管理的相关操作。配置SSH安全时，需以高度责任感对待每一项参数设置，严守安全底线，将守护网络安全视为使命，践行“守土有责”的担当。这不仅是技术操作，更是对国家安全、企业信息安全的守护。日志管理