项目2 Linux系统下常用网络服务的安全配置

1、项目工程2 Linux系统常用网络服务的保密工作构成Linux系统现在在web服务应用平台中占有重要地位，在Windows中是无法模仿的。 为了提高稳定性和运营效率，服务器通常不是安装并运行X Window格拉夫伊卡斯接口，而是以文本命令行方式进行安装和配置，文本模式情况下网络应用本项目工程主要是校园网络内部网络服务器一、项目工程介绍在校园网总部(如图2所示)的中心室内，设想有多台服务器，在服务器上设置的执行操作系统都是Linux，所配置的常用服务是DHCP、DNS、邮件服务、Web、FTP、Samba、NFS等在本项目工程中，为了确保网络服务的安全，并测试网络服务的安全性，需要在服务上设置安

2、全的服务。二、实训环境1 .硬件环境多台(服务器的数量根据需要而定)服务器和多台测试客户机。2 .软件环境Linux系统使用CentOS5.6，客户端使用Windows XP、Windows 7或Linux系统。本项目工程的修订版学时18学时(含注释)。塔斯克1 DHCP服务保密工作(2学时)保密工作管理需求DHCP服务是目前网络上普遍使用的服务，可实现IP地址分配管理，大大减轻网络管理员的负担。 因此，DHCP服务的保密工作与用户和Linux系统的保密工作直接相关。 为了实现安全的DHCP服务器，需要chroot“框架”技术。塔斯克的说明配置DHCP服务，并使用“架构”技术确保DHCP服务的

3、安全。 要使用此技术，必须在chroot目录查询上安装所有计程仪程序、配置文件和库文件。 在此目录查询上执行服务时，用户将看到Linux文件系统的真正目录程序提示1 .在默认奥尔特下，CentOS系统上未安装DHCP组件。 中所述情节，对概念设计中的量体外部表面积进行分析。调制DHCP服务。编译并安装jail软件包。 jail软件可以在http:/SourceF/projects/jail /下载，可以用于实现chroot。jail软件包提供了多个Perl脚本作为核心命令，如mkjailenv、addjailuser和addjailsw。mkjailenv :创建ch root

4、目录查询并从实际文件系统中复制基本软件环境。addjailsw :将二进制可执行文件及其关联的其他文件(包括库文件、辅助文件、老虎钳文件)从实际文件系统复制到chroot目录查询。addjailuser :创建新的chroot用户。4 .使用命令创建chroot目录查询，并假定目录查询为/root/chroot/。 如图2-1所示。root 本地主机src # mkjailenv/root/ch root /mkjailenvacomponentofjail (Linux版本1.9 )http:/www.gsyc.INF.UC3m.es/ assman/jail /日本航空公司makingch

5、rootedenvironmentinto/root/ch root /预先安装()登录特殊设备()登录根_模板_密码()完成后安装()多恩。图2 -创建1 c超级“框架”目录查询5、在“笼子”上追加dhcpd计程仪程序。 如图2-2所示。根本地主机/根/根/-p/usr/sbin/dhcpdaddjailswacomponentofjail (Linux版本1.9 )http:/www.gsyc.INF.UC3m.es/ assman/jail /日本航空公司guessing/usr/sbin/dhcpd阵列(0)/bin/mknod 3360“/root/ch root/dev/null”

6、:文件已存在多恩。图2-2在“宠物”中添加dhcpd计程仪程序将dhcpd的相关文件复制到“宠物”的相关目录查询中。 目录查询构造如下。mkdir-p/ch根/DHCP/etcCP/etc/dhcpd.conf/ch根/DHCP/etc /mkdir-p/ch根/DHCP/var /状态/DHCP道路根/DHCP/var /状态/DHCP/DHCP.leases重新启动dhcpd并进行测试。(1)如图2-3所示，使用命令ps来检查dhcpd进程。root localhost#/root/ch root/usr/sbin/dhcpdinternetsystemsconsortiumdhcpser

7、verv3.0.5-红头发版权所有2004-2006互联网系统联盟。保留所有权利。信息公司，发布visit /SW/DHCP /warning : hostdeclarationsareglobal.theyarenotlimitedtothescopeyoudeclaredtheminwrote 0删除deletedhostdeclstoleasesfile。wrote0newdynamichostdeclstoleasesfile。第一次发行到发行文件。监听onlpf/eth0/00:0 c 33602933601 a :8 d 33604 a/192.1

8、68.10/24sendingonlpf/eth0/00:0 c 33602933601 a 33608 d :4 a/192.168.10/24sendingonsocket /传真/传真-网络root 本地主机 # PS-ef|grep dhcpdroot 3450 1 0 08:55？ 00336000336000 /根/根/用户/子/dhcpdroot 3453347008336056 pts/000:00336000 grep dhcpd图2-3在“机架”上启动和查看dhcpd进程(2)客户机windows 7系统取得的IP地址如图24所示。图2-4客户端获取IP地址的图塔斯克2安全

9、的DNS服务器配置(4学时)保密工作管理需求DNS服务是当前网络中非常重要的服务，实现了IP地址和网络域名的转换，使人们能够代替IP地址以简单易懂的网络域名网站数据库到网络。 因此，有效地管理和使用DNS服务是网络管理员非常重要的问题。塔斯克的说明配置DNS服务器，使用DNS提供的chroot反应历程实现安全的DNS服务。 使用辅助结构域名称服务提供冗馀应用备份，并与DHCP服务配合使用以提供DDNS功能。 下面是拓扑分析图(图2-5 )。LAN2:/24FQDN:DNS1. gdsspt .网络IP:DNS:网关：192

10、.168.20.254LAN1:/24FQDN:DNS.gdsspt .网络IP:DNS:网关：54网际网络图2-5网络实现DNS和DHCP拓扑分析图在图2-5中，一台DHCP服务器和一台DNS服务器配置在LAN1中，一台从属DNS服务器配置在LAN2中，并且DHCP中继本代理正在启动。 要求如下：LAN1和LAN2中的客户端自动获取关IP地址字、子网掩码、缺省网关和DNS后缀( )。 LAN1可用的地址为0到00和192.168.

11、10.120到502 .网络的主DNS服务器为，需要在中创建辅助区域，以加快网络段/24DNS客户端的分析速度3 .网络必须向企业内部互联网和外联网客户端提供web服务、邮件服务的域名解析，企业内部互联网用户网站数据库到和，由DNS分析为，外联网用户4 .因为客户端数量很多，所以需要使用DDNS来减少DNS的维护工作量。5、内网用户可以通过本地DNS服务分析为公网的FQDN。程序提示1 .在男公关dns.gdss

12、和上安装DHCP服务。 (注：必须在/etc/sysconfig/network和/etc/hosts中更改男公关名称)2 .在男公关和上安装DNS组件。 CentOS5.6提供的组件包括绑定- libs-9.3.6-16.p1. El 5绑定-9.3.6- 16.p1. El 5绑定根目录-9.3.6- 16.p1. El 5绑定实用程序-9.3.6- 16.p1. El 5caching-name server-9.3.6-16.p1. El5. x 86 _ 64.rpm (不是必须的，B

13、IND配置示例如果习惯BIND，请参照不安装)3 .打开DNS服务器的路由功能，通过以下命令完成。echo1/专业/系统/网络/IP v4/向前4 .修改PS1变量选项和修改文件/etc/bashrc，以便更好地查看编辑的当前目录查询信息(提示信息)，然后重新网站数据库到可以修改内部“$ps1=s-v”的系统，即可查看当前完整的编辑目录查询。 如下图(图2-6 )所示root 本地主机 # CD/var /命名/ch root /根本地主机/var /命名/ch根目录图2-6完全显示了当前编辑目录查询的图像在男公关上生成DDNS牛鼻子，将生成的牛鼻子用cat表示并记

14、录。注：事务信号(tsig )使用加密法验证DNS信息。 TSIG以加密法算法身份验证DNS服务器之间的数据传输。 首先，在主区域所在的服务器上生成加密法证书，将证书传递给次区域所在的服务器，然后从次区域所在的服务器加密法到主区域所在服务器的区域转移请求。 还提供加密法的DDNS。 TSIG功能确认DNS信息由一个特定DNS服务器提供，其中大多数应用适用于DNS之间的区域转移，从而防止从主区域复制的辅助区域数据由其他假DNS服务器提供或篡改可以使用命令dnssec-keygen生成加密法牛鼻子(有关此命令的详细信息，请参见帮助文档)。 如图2-7所示。root DNS # CD/var /命名

15、/ch root /root DNS/var /命名/ch root-# dnssec -密钥- ahmac-MD5- b 128 -通用dssptdnsKgdssptdns. 157 33084图2 -创建2-7ddns的牛鼻子示意图在男公关上创建TSIG牛鼻子，用于男公关区域的DNS传输，用cat查看并记录生成的牛鼻子。 如图2-8所示。root DNS # CD/var /命名/ch root /root DNS/var /命名/ch root-# dnssec密钥- ahmac-MD5- b 128-nhostrndc密钥k rndc -密钥. 157 60882图2-8创建男公关客户端的牛鼻子示意图在上使用/usr/share/doc/DHCP-3.0.5/dhcpd.con.sample，如/etc/图2-