昌平校区Linux研究小组第一章系统安全常规优化实验一:使用susususu、sudosudosudosudo控制用户账号权限需求描述:1.对用于远程登录的管理用户radmin,允许其通过执行“su-”命令切换到root用户;其他所有用户均禁止使用su切换身份;2.系统组的用户zhangsan负责公司员工的账号管理,允许其通过sudo方式添加/删除用户及修改用户相关信息(包括密码),但是不允许其修改root用户的密码等信息;3.对系统管理员lisi,允许其通过sudo方式执行/sbin、/usr/sbin目录下的所有命令,并且不需要密码验证;4.所有用户通过sudo执行的每一条命令,均以日志记录的形式写入到文件/var/log/sudo中。实验步骤:1.修改su的pam文件2.修改sudoers文件3.修改sudoers文件4.添加日志功能#vi/etc/pam.d/suauthrequiredpam_wheel....souse_uid#usermod-Gwheelradmin#vi/etc/sudoersCmnd_AliasALLOW_CMD=/usr/sbin/useradd,/usr/sbin/userdel,\/usr/sbin/usermod-*,/usr/bin/passwd[a-zA-Z]*Cmnd_AliasDENY_CMD=!/usr/bin/passwdroot,!/usr/sbin/usermod-*rootzhangsanALL=ALLOW_CMD,DENY_CMD#vi/etc/sudoerslisiALL=NOPASSWD::::/usr/sbin/*,/sbin/*#vi/etc/sudoersDefaultslogfile=/var/log/sudo#vi/etc/syslog.conflocal2.debug/var/log/sudo#servicesyslogrestart昌平校区Linux研究小组实验二:为系统引导和登录提供安全加固需求描述:1.禁止非授权用户使用系统启动盘从光盘引导系统;2.禁止非授权用户在引导服务器时通过单用户模式进入系统;3.防止普通用户获取GRUB密码,防止grub.conf文件被无意中修改或删除;4.在服务器本地仅开放tty1、tty2控制台终端,限制root用户只能从tty1登陆,其他普通用户只能从tty2登陆;5.屏蔽掉Ctrl+Alt+Del热键重启功能;6.所有用户登录到shell后,默认超过5分钟没有操作则自动注销。实验步骤:1.调整BIOS的启动顺序,将光驱启动调整到下面,然后设置BIOS密码(略)。2.设置GRUB修改密码3.锁定GRUB配置文件4.限制终端登录添加这一行#chattr+i/boot/grub/grub.conf昌平校区Linux研究小组文件,禁用Ctrl+Alt+Del三热键6.设置profile文件,调整5分钟自动注销#vi/etc/pam.d/loginaccountrequiredpam_access.so#vi/etc/security/access.conf-:ALLEXCEPTroot:tty1#vi/etc/profileexportTMOUT=300昌平校区Linux研究小组防火墙((((一))))实验一:编写iptablesiptablesiptablesiptables脚本实现IPIPIPIP地址、端口过滤需求分析:1.入站控制:A.允许internet上的主机访问网关服务器的21、25、80、110、143端口;B.允许IP地址为201.12.13.14的远程管理主机访问网关的22端口,并记录访问日志,每15分钟记录一次;C.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口;D.仅允许局域网主机LAN1:192.168.1.0/24网段,访问3128端口的代理服务2.转发控制:3.其他任何非明确许可的数据包入站访问,均予以丢弃;数据包出战访问均允许。4.组织以上各条防火墙策略,保存为Shell脚本文件,以便移植使用。昌平校区Linux研究小组实验步骤:1.入站控制:A:B:C:D:2.转发控制:3.默认策略:#iptables-AINPUT-ieth0-ptcp-mmultiport--dport21,25,80,110,143-jACCEPT#iptables-AINPUT-s201.12.13.14-ptcp--dport22-mlimit--limit4/hour-jLOG--log-prefixSSHAccess:#iptables-AINPUT-s201.12.13.14-ptcp--dport22-jACCEPT#iptables-AINPUT-ieth1-s192.168.1.5-mmac--mac-source00:0C:27:30:4E:5D-ptcp--dport22-jACCEPT#iptables-AINPUT-s192.168.1.0/24-ptcp--dport3128-jACCEPT#/sbin/sysctl-wnet.ipv4.ip_forward=1#iptables-AFORWARD-s192.168.1.0/24-d192.168.2.2-pudp--dport53-jACCEPT#iptables-AFORWARD-d192.168.1.0/24-s192.168.2.2-pudp--dport53-jACCEPT#iptables-PINPUTDROP#iptables-POUTPUTACCEPT#iptables-PFORWARDDROP昌平校区Linux研究小组脚本:#viipt.sh#!/bin/bash#定义变量INET_IFACE=eth0LAN_IP1=192.168.1.1LAN_IF1=eth1LAN_IP2=192.168.2.1LAN_IF2=eth2LAN1=192.168.1.0/24LAN2=192.168.2.0/24SSHC_INET=201.12.13.14SSHC_LAN_IP=192.168.1.5SSHC_LAN_MAC=00:0C:27:30:4E:5DSVR_DNS=192.168.2.2IPT=/sbin/iptables#开启路由转发功能/sbin/sysctl-wnet.ipv4.ip_forward=1#定义防火墙规则$IPT-F$IPT-tnat-F$IPT-tmangle-F$IPT-traw-F$IPT-X$IPT-PINPUTDROP$IPT-POUTPUTACCEPT$IPT-PFORWARDDROP$IPT-AINPUT-ptcp-mmultiport--dport21,25,80,110,143-jACCEPT$IPT-AINPUT-s$SSHC_INET-ptcp--dport22-mlimit--limit4/hour-jLOG--log-prefixSSHAccess:$IPT-AINPUT-s$SSHC_INET-ptcp--dport22-jACCEPT$IPT-AINPUT-ieth1-s$SSHC_LAN_IP-mmac--mac-source$SSHC_LAN_MAC-ptcp--dport22-jACCEPT$IPT-AINPUT-s$LAN1-ptcp--dport3128-jACCEPT$IPT-AFORWARD-s$LAN1-d$SVR_DNS-pudp--dport53-jACCEPT$IPT-AFORWARD-d$LAN1-s$SVR_DNS-pudp--dport53-jACCEPT昌平校区Linux研究小组实验二:基于IPIPIPIP地址和端口封锁QQQQQQQQ、MSNMSNMSNMSN需求分析:1.禁止局域网用户连接QQ服务器、QQ服务程序的端口。2.禁止局域网用户连接MSN服务器、MSN服务程序的端口。实验步骤:1.使用S1所学的Sniffer软件区抓取MSN和QQ的数据包,其中可以获得MSN和QQ的服务器ip地址,其中的端口号为1863、7001、8000、8001(关于ip和端口号建议经常更新)2.编写Shell脚本#vimsnqq.sh#!/bin/bash#定义变量MSN_SVRS=207.46.96.154207.46.28.153218.241.97.60QQ_SVRS=219.133.0.0/24foriin$MSN_SVRS$QQ_SVRSdoiptables-AFORWARD-s192.168.1.0/24-d$i-jDROPiptables-AFORWARD-s192.168.1.0/24-d$i-ptcp--dport443-jDROPiptables-AFORWARD-s192.168.1.0/24-d$i-ptcp--dport80-jDROPdoneiptables-AFORWARD-s192.168.1.0/24-ptcp--dport1863-jDROPiptables-AFORWARD-s192.168.1.0/24-ptcp--dport7001-jDROPiptables-AFORWARD-s192.168.1.0/24-ptcp--dport8000:8001-jDROPiptables-AFORWARD-s192.168.1.0/24-pudp--dport8000:8001-jDROP昌平校区Linux研究小组防火墙((((二))))实验一:使用SNATSNATSNATSNAT、DNATDNATDNATDNAT策略实现网关应用需求描述:1.网关的eth0接口连接外网;eth1接口连接内网;2.通过配置SNAT策略,使192.168.1.0/24网段的主机可以访问internet的所有应用;3.通过配置DNAT策略,使外网的主机能够通过访问主机上的网站服务器;4.禁止其他未明确许可的数据包访问;5.将网关上的各项设置组织成防火墙脚本。实验步骤:1.配置eth0和eth1的ip,略。2.配置SNAT策略:#sysctl-wnet.ipv4.ip_forward=1#iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jSNAT--to-source173.16.16.1#iptables-tnat-APREROUTING-ieth0-d173.16.16.1-ptcp--dport80-jDNAT--to-destination192.168.1.5昌平校区Linux研究小组脚本:#viipt_nat.sh#!/bin/bash#定义变量INET_IF=eth0INET_IP=173.16.16.1LAN_IF=eth1LAN_IP=192.168.1.1LAN_NET=192.168.1.0/24WEB_SVR=192.168.1.7IPT=/sbin/iptables#开启路由转发/sbin/sysctl-wnet.ipv4.ip_forw