《网络安全运行与维护M3-2-加强Linux用户网络访问权限的安全控制ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全运行与维护M3-2-加强Linux用户网络访问权限的安全控制ppt课件.ppt(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全运行与维护网络安全运行与维护模块三Linux桌面系统安全管理与维护总体概述总体概述InternetVlan trunk单臂路由 接入子公司接入互联网NFSVlan trunkVlan trunkVLAN VLAN VLAN VLAN VLAN 通过系统口令加强Linux系统安全防护 加强Linux用户网络访问权限的安全控制 加强Linux文件系统安全访问 使用安全审计加强Linux主机的安全维护能力单元能力单元2加强Linux用户网络访问权限的安全控制任务描述任务描述v 任务描述 通过上面的设置后,对桌面系统的口令安全进行了加强,但用户之间访问还存在很大的风险,所以还需要进行以下设置才
2、能保证用户之间网络访问的安全: 禁止根shell 禁止根登录 禁止根用户SSH登录 使用 PAM 禁用根权限 限制根存取权限v 任务分析任务分析v 任务分析 为了加强Linux系统安全,需要对普通用户的权限进行限制,如不进行权限限制,会造成以下几个不安全因素: 机器的错误配置 具备根权限的用户可能会错误配置他们的机器,从而需要协助;或者更糟的是打开安全漏洞而不自知。 运行不安全服务 具备根权限的用户可能会在他们的机器上运行不安全的服务器,如 FTP 或 Telnet,从而在用户名和口令被明文传输时给它们带来潜在危机。 作为根用户运行电子邮件附件 影响 Linux 的病毒虽然很罕见,但是并不是没
3、有。不过,它们只有在以根用户身份运行的时候才会给系统造成威胁。相关知识相关知识v 相关知识 vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。 vsftpd 的名字代表very secure FTP daemon, 安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候,高安全性就是一个目标。 PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以
4、灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。任务实施任务实施拓扑结构拓扑结构v 拓扑结构任务实施任务实施实施步骤实施步骤v 实施步骤 步骤1 禁止根shell 第一步:搭建FTP服务器 第二步:窃取FTP密码 第三步:本地登录FTP服务器 第四步:禁用根shell 为了服务器安全,需要禁用根shell,修改配置文件/etc/passwd文件,将 user1:x:500:500:/home/user1:/bin/bash 改成 user1:x:500:500:/home/user1:/sbin/nologin任务实施任务实施实施步骤实施步
5、骤(cont.)v 实施步骤 步骤2 禁止根登录 第一步:启用telnet服务 第二步:窃取telnet密码 第三步:本地登录服务器 第四步:禁用根登录 通过编辑配置文件/etc/securetty,可以禁止根登录,如下所示:echo /etc/securetty将配置文件内容清空就可以了。 注意:千万不要删除此文件,如删除此文件表示允许所有。任务实施任务实施实施步骤实施步骤(cont.)v 实施步骤 步骤3 禁止根用户SSH登录 第一步:根用户使用SSH登录远程服务器 第二步:窃取SSH密码 rootLAB3 # tcpdump -i eth0 -X dst 10.1.1.1 and src
6、 10.1.1.2 and dst port 22 第三步:禁用根SSH登录修改配置文件/etc/ssh/sshd_config,将#PermitRootLogin yes 改成PermitRootLogin no 步骤4 使用 PAM 禁用根权限 第一步:启用VSFTP服务任务实施任务实施实施步骤实施步骤(cont.)v 实施步骤 第二步:配置PAM模块FTP服务器允许user1登录,而user2和user3不允许登录。修改配置文件/etc/vsftpd.ftpusers,在其配置文件加入user2user3 步骤5 限制根存取权限 第一步:禁止根登录 通过编辑配置文件/etc/secure
7、tty,可以禁止根登录,如下所示: echo /etc/securetty 第二步:使用su命令实现根登录 第三步:将user1加入到wheel组中任务实施任务实施实施步骤实施步骤(cont.)v 实施步骤 第四步:修改/etc/pam.d/su配置文件 编辑配置文件/etc/pam.d/su文件,将 #auth required /lib/security/$ISA/pam_wheel.so use_uid 改为 auth required /lib/security/$ISA/pam_wheel.so use_uid总结总结v 本任务主要加强Linux用户网络访问权限的安全控制能力v 主要采用以下技术方法来实现 禁止根shell 禁止根登录 禁止根用户SSH登录 使用 PAM 禁用根权限 限制根存取权限