Linux系统安全配置全攻略

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

网络安全管理员目录第一章网络设备安全第二章局域网安全攻防技术第三章网络边界流量控制及入侵防御技术第四章接入安全与准入技术第五章linux系统安全第六章漏洞的利用和木马第五章Linux系统安全返回提纲5.1Linux主动防御(配置安全)5.2Linux漏洞利用5.3口令破解(猜测和网络窃听)5.4数据库主动防御(MySQL)5.5首页篡改(Apache)5.1Linux主动防御(配置安全)技术背景系统安全始终是信息网络安全的一个重要方面,攻击者往往通过控制操作系统来破坏系统和信息,或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会返回5.1Linux主动防御(配置安全)实验目的了解系统加固可以采取的手段:–了解Linux系统帐户创建,密码设置,登录管理;–加强对Linux系统的访问控制了解(iptables);–熟悉,修改Linux帐号的不安全配置;–禁止不必要的网络服务。5.1Linux主动防御(配置安全)实验平台客户机(客户端):Windows2000/XP/2003目标加固主机(服务端):CentOS4.65.1Linux主动防御(配置安全)实验工具Putty.exe工具5.1Linux主动防御(配置安全)实验要点Linux系统帐号创建,帐号密码设置;Linux系统帐户登录配置;Linux系统安全访问控制、策略调整(iptables绍);5.1Linux主动防御(配置安全)实验步骤指导5.1Linux主动防御(配置安全)Linux系统帐号创建下载Putty.exe,点击运行Putty,在出现的窗口界面的hostname处输入实验目标主机ip,并选择ssh,点击“open”。5.1Linux主动防御(配置安全)Linux系统帐号创建如果出现如下“PuTTYSecurityAlert”窗口,点击“是”or“Yes”5.1Linux主动防御(配置安全)Linux系统帐号创建在随后出现的登录界面,按提示依次输入:root、回车、1qaz@WSX。将出现如下界面,此时已经使用root帐号登录目标主机成功5.1Linux主动防御(配置安全)Linux系统帐号创建输入如下操作添加试验用系统帐号test(密码也定为test,由于密码强度不够,系统会有所提示,先忽略)命令:[root@LT-courseware-0009~]#useraddtest[root@LT-courseware-0009~]#passwdtest5.1Linux主动防御(配置安全)Linux系统帐号创建用添加的test帐号按照步骤2)开始的操作方式ssh登录目标主机,如果操作正确将会得到如下界面,显示test已经登录成功5.1Linux主动防御(配置安全)Linux系统帐号创建本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机。修改/etc/ssh/sshd_config[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录查找到#PermitRootLoginyes这一行,作如下修改–将注释符“#”号去掉–修改“yes”为“no”最终修改该行为:PermitRootLoginno,保存并关闭sshd_config5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录重起SSH服务命令:[root@LT-courseware-0009~]#servicesshdrestart5.1Linux主动防御(配置安全)禁止root帐号远程登录使用Putty工具以root帐号方式登录到实验目标主机会发现系统显示5.1Linux主动防御(配置安全)禁止root帐号远程登录运行一个Putty工具,使用前面创建的test帐号登录到实验目标主机使用su命令,并按照提示输入root密码,转换到root用户身份命令:[test@LT-courseware-0009~]$su-Password:(注:此处输入root密码)5.1Linux主动防御(配置安全)禁止root帐号远程登录修改/etc/ssh/sshd_config命令:[root@LT-courseware-0009~]#vi/etc/ssh/sshd_config将刚才修改的那行配置还原PermitRootLoginno5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录还原为5.1Linux主动防御(配置安全)禁止root帐号远程登录重起SSH服务命令:[root@LT-courseware-0009~]#servicesshdrestart使用Putty工具以root帐号方式登录到实验目标主机,此时应该可以登录成功5.1Linux主动防御(配置安全)禁止root帐号远程登录5.1Linux主动防御(配置安全)禁止root帐号远程登录本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户运行一个Putty工具,使用root帐号登录到实验目标主机修改/etc/pam.d/system-auth命令:[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户在system-auth文件的auth部分增加如下一行(红字的部分)authrequired/lib/security/$ISA/pam_env.soauthrequired/lib/security/pam_tally.soonerr=failno_magic_rootauthsufficient/lib/security/$ISA/pam_unix.solikeauthnullokauthrequired/lib/security/$ISA/pam_deny.so5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户在system-auth文件的account部分增加如下一行(红字的部分),然后保存并关闭system-auth文件accountrequired/lib/security/$ISA/pam_unix.soaccountrequired/lib/security/pam_tally.sodeny=3no_magic_rootresetaccountsufficient/lib/security/$ISA/pam_succeed_if.souid100quietaccountrequired/lib/security/$ISA/pam_permit.so设定含义为:尝试密码出现错误超过3次,则锁定帐号5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户运行一个Putty工具,使用test帐号登录实验目标主机,输入密码时使用错误密码输入超过3次以上然后再使用帐号test和正确的密码登录,会发现访问仍然被拒绝,此时test帐号已经被锁定,无法登录5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户使用Putty工具,以root身份登录目标主机,执行如下命令对test帐号解锁命令:[root@LT-courseware-0009security]#pam_tally--usertest--reset5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户使用Putty工具,再次以test帐号和正确的密码登录目标主机,会发现此时test可以登录目标系统主机5.1Linux主动防御(配置安全)配置策略锁定多次尝试登录失败的用户本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)配置策略增加设置密码强度使用Putty工具以root用户登录目标加固主机修改/etc/pam.d/system-auth命令:[test@LT-courseware-0009~]$vi/etc/pam.d/system-auth在passwd部分查找到如下一行passwordrequisite/lib/security/$ISA/pam_cracklib.soretry=35.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度将该行修改为passwordrequired/lib/security/$ISA/pam_cracklib.soretry=3dcredit=-1ucredit=-1lcredit=-1minlen=85.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度使用Putty工具以test用户登录目标加固主机,执行修改密码命令:[test@LT-courseware-0009~]$passwd5.1Linux主动防御(配置安全)配置策略增加设置密码强度5.1Linux主动防御(配置安全)配置策略增加设置密码强度本部分实验结束,关闭所有实验打开的程序及窗口。5.1Linux主动防御(配置安全)利用iptables关闭服务端口点击本机的开始—〉运行,输入:cmd,打开一个cmd窗口5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口服务器连接命令:ftpxxx.xxx.xxx.xxx(目标加固主机ip)5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口cmd窗口会显示类似如下内容,说明目标主机存在ftp服务5.1Linux主动防御(配置安全)利用iptables关闭服务端口关闭cmd窗口,使用Putty工具以root帐号登录目标加固主机修改/etc/sysconfig/iptables命令:[root@LT-courseware-0009sysconfig]#vi/etc/sysconfig/iptables5.1Linux主动防御(配置安全)利用iptables关闭服务端口修改和ftp服务相关(端口21)的那一行-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口改为#-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT5.1Linux主动防御(配置安全)利用iptables关闭服务端口5.1Linux主动防御(配置安全)利用iptables关闭服务端口即用#号注释掉该行,保存并关闭iptables重起iptables服务命令:[root@LT-courseware-0009sysconfig]#serviceiptablesrestart再次按照步骤1)2)尝试远程连接目标加固主机的ftp服务,窗口会显示如下类似报错信息,ftp已无法访问5.1Linux主动防御(配置安全

1 / 275
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功