Linux网关及安全应用课后实验手册

昌平校区Linux研究小组第一章系统安全常规优化实验一：使用susususu、sudosudosudosudo控制用户账号权限需求描述：1.对用于远程登录的管理用户radmin，允许其通过执行“su-”命令切换到root用户；其他所有用户均禁止使用su切换身份；2.系统组的用户zhangsan负责公司员工的账号管理，允许其通过sudo方式添加/删除用户及修改用户相关信息(包括密码)，但是不允许其修改root用户的密码等信息；3.对系统管理员lisi，允许其通过sudo方式执行/sbin、/usr/sbin目录下的所有命令，并且不需要密码验证；4.所有用户通过sudo执行的每一条命令，均以日志记录的形式写入到文件/var/log/sudo中。实验步骤：1.修改su的pam文件2.修改sudoers文件3.修改sudoers文件4.添加日志功能#vi/etc/pam.d/suauthrequiredpam_wheel....souse_uid#usermod-Gwheelradmin#vi/etc/sudoersCmnd_AliasALLOW_CMD=/usr/sbin/useradd，/usr/sbin/userdel，\/usr/sbin/usermod-*，/usr/bin/passwd[a-zA-Z]*Cmnd_AliasDENY_CMD=!/usr/bin/passwdroot，!/usr/sbin/usermod-*rootzhangsanALL=ALLOW_CMD，DENY_CMD#vi/etc/sudoerslisiALL=NOPASSWD::::/usr/sbin/*，/sbin/*#vi/etc/sudoersDefaultslogfile=/var/log/sudo#vi/etc/syslog.conflocal2.debug/var/log/sudo#servicesyslogrestart昌平校区Linux研究小组实验二：为系统引导和登录提供安全加固需求描述：1.禁止非授权用户使用系统启动盘从光盘引导系统；2.禁止非授权用户在引导服务器时通过单用户模式进入系统；3.防止普通用户获取GRUB密码，防止grub.conf文件被无意中修改或删除；4.在服务器本地仅开放tty1、tty2控制台终端，限制root用户只能从tty1登陆，其他普通用户只能从tty2登陆；5.屏蔽掉Ctrl+Alt+Del热键重启功能；6.所有用户登录到shell后，默认超过5分钟没有操作则自动注销。实验步骤：1.调整BIOS的启动顺序，将光驱启动调整到下面，然后设置BIOS密码(略)。2.设置GRUB修改密码3.锁定GRUB配置文件4.限制终端登录添加这一行#chattr+i/boot/grub/grub.conf昌平校区Linux研究小组文件，禁用Ctrl+Alt+Del三热键6.设置profile文件，调整5分钟自动注销#vi/etc/pam.d/loginaccountrequiredpam_access.so#vi/etc/security/access.conf-：ALLEXCEPTroot：tty1#vi/etc/profileexportTMOUT=300昌平校区Linux研究小组防火墙((((一))))实验一：编写iptablesiptablesiptablesiptables脚本实现IPIPIPIP地址、端口过滤需求分析：1.入站控制：A.允许internet上的主机访问网关服务器的21、25、80、110、143端口；B.允许IP地址为201.12.13.14的远程管理主机访问网关的22端口，并记录访问日志，每15分钟记录一次；C.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口；D.仅允许局域网主机LAN1：192.168.1.0/24网段，访问3128端口的代理服务2.转发控制：3.其他任何非明确许可的数据包入站访问，均予以丢弃；数据包出战访问均允许。4.组织以上各条防火墙策略，保存为Shell脚本文件，以便移植使用。昌平校区Linux研究小组实验步骤：1.入站控制：A：B：C：D：2.转发控制：3.默认策略：#iptables-AINPUT-ieth0-ptcp-mmultiport--dport21，25，80，110，143-jACCEPT#iptables-AINPUT-s201.12.13.14-ptcp--dport22-mlimit--limit4/hour-jLOG--log-prefixSSHAccess：#iptables-AINPUT-s201.12.13.14-ptcp--dport22-jACCEPT#iptables-AINPUT-ieth1-s192.168.1.5-mmac--mac-source00:0C:27:30:4E:5D-ptcp--dport22-jACCEPT#iptables-AINPUT-s192.168.1.0/24-ptcp--dport3128-jACCEPT#/sbin/sysctl-wnet.ipv4.ip_forward=1#iptables-AFORWARD-s192.168.1.0/24-d192.168.2.2-pudp--dport53-jACCEPT#iptables-AFORWARD-d192.168.1.0/24-s192.168.2.2-pudp--dport53-jACCEPT#iptables-PINPUTDROP#iptables-POUTPUTACCEPT#iptables-PFORWARDDROP昌平校区Linux研究小组脚本：#viipt.sh#!/bin/bash#定义变量INET_IFACE=eth0LAN_IP1=192.168.1.1LAN_IF1=eth1LAN_IP2=192.168.2.1LAN_IF2=eth2LAN1=192.168.1.0/24LAN2=192.168.2.0/24SSHC_INET=201.12.13.14SSHC_LAN_IP=192.168.1.5SSHC_LAN_MAC=00:0C:27:30:4E:5DSVR_DNS=192.168.2.2IPT=/sbin/iptables#开启路由转发功能/sbin/sysctl-wnet.ipv4.ip_forward=1#定义防火墙规则$IPT-F$IPT-tnat-F$IPT-tmangle-F$IPT-traw-F$IPT-X$IPT-PINPUTDROP$IPT-POUTPUTACCEPT$IPT-PFORWARDDROP$IPT-AINPUT-ptcp-mmultiport--dport21,25,80,110,143-jACCEPT$IPT-AINPUT-s$SSHC_INET-ptcp--dport22-mlimit--limit4/hour-jLOG--log-prefixSSHAccess：$IPT-AINPUT-s$SSHC_INET-ptcp--dport22-jACCEPT$IPT-AINPUT-ieth1-s$SSHC_LAN_IP-mmac--mac-source$SSHC_LAN_MAC-ptcp--dport22-jACCEPT$IPT-AINPUT-s$LAN1-ptcp--dport3128-jACCEPT$IPT-AFORWARD-s$LAN1-d$SVR_DNS-pudp--dport53-jACCEPT$IPT-AFORWARD-d$LAN1-s$SVR_DNS-pudp--dport53-jACCEPT昌平校区Linux研究小组实验二：基于IPIPIPIP地址和端口封锁QQQQQQQQ、MSNMSNMSNMSN需求分析：1.禁止局域网用户连接QQ服务器、QQ服务程序的端口。2.禁止局域网用户连接MSN服务器、MSN服务程序的端口。实验步骤：1.使用S1所学的Sniffer软件区抓取MSN和QQ的数据包，其中可以获得MSN和QQ的服务器ip地址，其中的端口号为1863、7001、8000、8001(关于ip和端口号建议经常更新)2.编写Shell脚本#vimsnqq.sh#!/bin/bash#定义变量MSN_SVRS=207.46.96.154207.46.28.153218.241.97.60QQ_SVRS=219.133.0.0/24foriin$MSN_SVRS$QQ_SVRSdoiptables-AFORWARD-s192.168.1.0/24-d$i-jDROPiptables-AFORWARD-s192.168.1.0/24-d$i-ptcp--dport443-jDROPiptables-AFORWARD-s192.168.1.0/24-d$i-ptcp--dport80-jDROPdoneiptables-AFORWARD-s192.168.1.0/24-ptcp--dport1863-jDROPiptables-AFORWARD-s192.168.1.0/24-ptcp--dport7001-jDROPiptables-AFORWARD-s192.168.1.0/24-ptcp--dport8000:8001-jDROPiptables-AFORWARD-s192.168.1.0/24-pudp--dport8000:8001-jDROP昌平校区Linux研究小组防火墙((((二))))实验一：使用SNATSNATSNATSNAT、DNATDNATDNATDNAT策略实现网关应用需求描述：1.网关的eth0接口连接外网；eth1接口连接内网；2.通过配置SNAT策略，使192.168.1.0/24网段的主机可以访问internet的所有应用；3.通过配置DNAT策略，使外网的主机能够通过访问主机上的网站服务器；4.禁止其他未明确许可的数据包访问；5.将网关上的各项设置组织成防火墙脚本。实验步骤：1.配置eth0和eth1的ip，略。2.配置SNAT策略：#sysctl-wnet.ipv4.ip_forward=1#iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jSNAT--to-source173.16.16.1#iptables-tnat-APREROUTING-ieth0-d173.16.16.1-ptcp--dport80-jDNAT--to-destination192.168.1.5昌平校区Linux研究小组脚本：#viipt_nat.sh#!/bin/bash#定义变量INET_IF=eth0INET_IP=173.16.16.1LAN_IF=eth1LAN_IP=192.168.1.1LAN_NET=192.168.1.0/24WEB_SVR=192.168.1.7IPT=/sbin/iptables#开启路由转发/sbin/sysctl-wnet.ipv4.ip_forw