《Linux操作系统应用与安全第9章Linux系统的安全管理.ppt》由会员分享,可在线阅读,更多相关《Linux操作系统应用与安全第9章Linux系统的安全管理.ppt(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Linux操作系统应用与安全主编 李贺华中国水利水电出版社应用与安应用与安全全Linux系统的安全管理系统的安全管理11应用与安应用与安全全Linux系统的安全管理系统的安全管理o学习要求:了解计算机系统不安全的主要因素;掌握Linux操作系统主要的安全措施;了解Linux系统下的杀毒软件;掌握至少一个软件的安装与使用;掌握Iptables在不同环境和需求下的配置。o学习重点:1计算机系统不安全的主要因素;2.Linux操作系统的主要安全措施;3.Linux操作系统下的病毒防治;4.Iptables在不同环境和需求下的配置。o学习难点:4.Iptables在不同环境和需求下的配置 应用与安应用
2、与安全全9.1 Linux的主要安全问题9.1.1 计算机不安全的因素o软件系统o硬件系统o数据输入输出部分o周围环境o管理因素o病毒破坏o黑客攻击应用与安应用与安全全o设置设置BIOS密码密码o设置用户登录口令设置用户登录口令 o加强加强root用户的安全用户的安全 o删除多余的默认账号删除多余的默认账号 o加强配置文件的安全加强配置文件的安全 o加强启动脚本安全加强启动脚本安全 o禁止响应禁止响应ping o禁止使用禁止使用Ctrl+Alt+delete重启主机重启主机o合理划分合理划分Linux系统分区系统分区 o合理利用日志文件合理利用日志文件 9.1.2 Linux系统的安全措施应用
3、与安应用与安全全oAvira AntiVir PersonaloFree avast!Linux Home Edition oClamTk Virus Scanner 9.2 Linux系统下的病毒防治9.2.1 Linux下的杀毒软件概述应用与安应用与安全全o杀毒软件的下载与注册杀毒软件的下载与注册o杀毒软件的安装与更新杀毒软件的安装与更新 o使用使用avast查杀病毒查杀病毒 9.2.2 Linux下的杀毒软件使用应用与安应用与安全全9.3 Linux系统下的防火墙使用9.3.1 Netfilter/Iptables概述 Red hat Linux 提供的防火墙软件包内置于Linux内核中
4、,是一种基于包过滤防火墙的技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包的类型等信息来控制包的流向。更彻底地过滤则是检查包中的源端口、目的端口以及连接状态等信息。Iptables是建立在netfilter架构基础上的一个包过滤管理工具,可以用它来加入或删除包过滤的规则。实际上真正来执行这些过滤规则的是Netfiter。因此,要在Linux中实现防火墙功能,需要有Netfilter与Iptables的支持。Netfilter提供一系列的表(table),每个表由若干链(chain)组成,而每条链中可以由一条或数条规则(rule)组成。它可以和其它模块(如Iptables模块和nat
5、模块)结合起来实现包过滤的功能。用户可以使用Iptables命令实现网络访问控制,从而完成防火墙和地址转换的配置。应用与安应用与安全全9.3.2 图形化的防火墙配置工具管理员在这里所做的安全按设定都将被保存在/etc/sysconfig/redhat-config-securitylevel和/etc/sysconfig/iptables文件中,用户不需要手工编辑这两个文件。另外,当安全级别选择无防火墙时,/etc/sysconfig/iptables文件将被系统自动删除。应用与安应用与安全全应用与安应用与安全全o使用使用service命令命令 9.3.3 Iptables的启/停o使用使用c
6、hkconfig命令命令应用与安应用与安全全o规则规则o链链 o表9.3.4 Iptables的语法规则表是用来存储链的一个具体文件,在iptables中包含了3个表(table),它们分别是filter、nat和mangle。表filter用来记录包过滤的具体操作,其中包括INPUT(处理进入的数据)、FORWARD(转发数据)和OUTPUT(处理本地数据)3个内置链,另外还可以包含用户自定义的链。表nat用来记录地址转换规则,其中包括PREROUTING(修改即将到来的数据)、OUTPUT(修改在路由之前的本地数据)以及POSTROUTING(修改即将输出的数据)3个链。表mangle用来
7、记录包的修改方式,其中包括INPUT(处理进入的数据)、OUTPUT(处理本地数据)、FORWARD(转发数据)、PREROUTING(修改即将到来的数据)以及POSTROUTING(修改即将输出的数据)5个链。应用与安应用与安全全iptables本身即是软件的名字,又是运行该软件的命令,使用格式是:“iptables -t 表 命令选项 链 匹配选项 动作选项”,下面是各个部分的说明。1)-t 表:该选项表示将该命令的纪录保存在filter、nat和mangle3个表中的哪一个表中。2)命令选项:表示使用的具体命令参数,如表9.2所示。表9.2 命令选项选项作用-A或append在所选链尾部
8、加入一条或多条规则。-D或-delete在所选链尾部删除一条或多条规则。-R或-replace在所选链中替换一条匹配规则。-I或-insert以给出的规则号在所选链中插入一条或多条规则。如果规则号为1,即在链的头部。-L或-list列出指定链中的所有规则,如果没有指定链,将列出所有链中的规则。-F或-flush清除指定链和表中的所有规则,假如不指定链,那么所有链都将被清空。-N或-new-chain以指定名创建一条新的链,不能与已有链同名。-X或-delete-chain删除指定的链,必须保证链中的规则都不再使用时才能删除,若没有指定链,则删除所有链。-P或-policy为永久链指定默认规则(
9、内置链策略),用户定义链没有缺省规则,缺省规则也是规则链中的最后一条规则,用“-L”显示时它在第一行。-C或-zero将指定链中所有的规则包字节计数器清零。-h显示帮助信息。应用与安应用与安全全3)链:表示要进行操作的链的名字。4)匹配选项:该参数为命令选项的补充参数,可以用来定义网络协议和IP地址等。该参数的具体内容如表9.3所示。选项作用-p!protocol指定数据包匹配的协议,可以使tcp、udp、icmp和all,前缀“!”表示除该协议外的所有协议。-s!address/mask指定数据包匹配的源地址或者地址范围。-sport!port:port指定数据包匹配的源端口号或者端口号范围
10、,可以用端口号也可以用“/etc/services”文件中名字。-d!address/mask指定数据包匹配的目的地址或者地址范围。-dport!port:port指定数据包匹配的目的端口号或者端口号范围,可以用端口号也可以用“/etc/services”文件中名字。-icmp-type!typename指定匹配规则的ICMP信息类型(可以使用“iptables p icmp-h”查看有效的ICMP类型名)。-i!interface name+匹配单独或某种类型的接口,此选项忽略时默认为所有接口。指定一个目前不存在的接口也是合法的,规则直到接口工作时才起作用。“+”表示匹配所有此类型接口。该选
11、项只针对INPUT、FORWARD和POSTROUTING链是合法的。-o!interface name+匹配规则的对外网络接口,该选项只针对OUPUT、FORWARD和POSTROUTING链是合法的。!-syn仅匹配设置SYN位,清除ACK和FIN位的TCP包。这些包表示请求初始化的TCP连接,阻止从接口来的这样的包将会阻止外来的TCP连接请求,但输出的TCP连接请求不受影响。这个选项仅当协议类型设置为TCP时才能使用。“!”表示只允许已有的、向外发送的连接所返回的包,一般用于限制网络流量。应用与安应用与安全全5)动作选项:该参数用来决定数据最终被如何执行。如表9.4所示。选项作用ACCE
12、PT允许数据包通过或接收该数据包。SNAT源地址转换,即改变数据包的源地址。DNAT目标地址转换,即改变数据包的目标地址。MASQUERADE用于实现IP伪装,只用于nat表的PREROUTING链,实际上是SNAT的一种特殊形式。只能用于拨号上网等动态分配IP地址的连接,如果IP地址是静态的,就要用SNAT。REDIRECT将数据包重新定义到另一个接口。只适用于nat表的PREROUTING和OUTPUT链。DROP直接丢弃数据包。REJECT拦截该数据包,并回传一个数据包告诉对方。LOG日志功能,将符合规则的数据包相关信息记录在日志中,方便管理员分析和排错。TOS改写数据中的TOS应用与安
13、应用与安全全o查看查看iptables命令的帮助命令的帮助9.3.5 Iptables命令的使用查看iptables帮助,使用“iptables -h”命令,选项“-h”表示参看帮助。应用与安应用与安全全o查看、新建、删除链查看、新建、删除链 9.3.5 Iptables命令的使用新建、删除和查看链中的规则使用的命令格式为:“iptables -t 表名 -N|X|L|F 链名”。其中:“-t 表名”指定表的名字,表名可以使用filter、nat和managle,默认查看filter表;“-L”列出链中的规则;“-N”新建一个链;“-X”删除一个链,但是不能删除内置链,并且只能删除空链;“链名
14、”指定链的名字,如果不指定则默认查看指定表中的所有。应用与安应用与安全全应用与安应用与安全全o定义默认策略定义默认策略 9.3.5 Iptables命令的使用当数据包不符合链中的任何一条规则时,iptables将根据该链预先定义的默认策略处理。默认策略的定义采用如下的命令格式:“iptables -t 表名 -P 链名 -j 动作”。其中:“-t 表名”表示定义的是哪个表的规则,表名可以是filter、nat和managle,未指定的情况下默认是filter表;“-P”表示定义的是默认策略;“链名”表示规则保存到哪个链中,如果不指定则默认保存到表中所有的链;动作表示处理数据包的方法,可以是AC
15、CEPT或DROP等。应用与安应用与安全全o增加、插入、删除和替换链中的规则增加、插入、删除和替换链中的规则 9.3.5 Iptables命令的使用应用与安应用与安全全应用与安应用与安全全o记录与恢复防火记录与恢复防火o墙规则墙规则 9.3.5 Iptables命令的使用使用“iptables-save 文件名”命令可以将主机上已经设置好的防火墙配置复制保存到指定的文件,等到需要恢复的时候,可以直接使用恢复命令“iptables-restore 文件名”即可。应用与安应用与安全全o清除表中规则和计数器清除表中规则和计数器 9.3.5 Iptables命令的使用应用与安应用与安全全o欢迎提问?o谢谢!本章小结与习题