《Linux服务器技术项目十四.ppt》由会员分享,可在线阅读,更多相关《Linux服务器技术项目十四.ppt(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、项目十四Linux系统安全防火墙基础知识防火墙基础知识文件权限管理文件权限管理LinuxLinux网络安全网络安全项目课题引入项目课题引入 假设某单位租用DDN专线上网。网络拓扑如图14-1所示。iptables防火墙的eth0接口连接外网,IP地址为222.206.160.100;eth1接口连接内网,IP地址为222.206.100.1。假设在内网中存在WEB、DNS和E-mail3台服务器,这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护,对系统文件访问权限进行管理,并允许外网的用户可以访问此3台服务器。项目任务项目任务教学目标熟悉配置和管理熟悉配置
2、和管理iptables配置配置掌握掌握iptables 的工作过程的工作过程掌握掌握Linux网络中网络中安全基本设置安全基本设置熟练掌握文件权限熟练掌握文件权限修改基本命令修改基本命令教学重点 教学难点掌握文件权限的设置掌握文件权限的设置熟悉配置和管理熟悉配置和管理iptables的基本配置的基本配置配置和管理配置和管理iptables文件权限修改文件权限修改Iptables Iptables 的简介的简介防火墙是一种非常重要的网络安全工具,利防火墙是一种非常重要的网络安全工具,利用防火墙可以保护企业内部网络免受外网的用防火墙可以保护企业内部网络免受外网的威胁,作为网络管理员,掌握防火墙的安
3、装威胁,作为网络管理员,掌握防火墙的安装与配置非常重要。与配置非常重要。NetfilterNetfilter中内置有中内置有3 3张表:张表:filterfilter表,表,natnat表和表和manglemangle表。其中表。其中filterfilter表用于实现数据包的过滤、表用于实现数据包的过滤、natnat表用于网络表用于网络地址转换、地址转换、manglemangle表用于包的重构表用于包的重构。包过滤型防火墙工作原理包过滤型防火墙工作原理(1)数据包从外网传送给防火墙后,防火墙在IP层向TCP层传输数据前,将数据包转发给包检查模块进行处理。(2)首先与第一条过滤规则进行比较。(3
4、)如果与第一条规则匹配,则进行审核,判断是否允许传输该数据包,如果允许则传输,否则查看该规则是否阻止该数据包通过,如果阻止则将该数据包丢弃。(4)如果与第一条过滤规则不同,则查看是否还有下一条规则。如果有,则与下一条规则匹配,如果匹配成功,则进行与(3)相同的审核过程。(5)依此类推,一条一条规则匹配,直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配,则采用防火墙的默认访问控制策略策略(丢掉该数据包,或允许该数据包通过)。命令说明-A 或append在规定列表的最后增加一条规则-F或flush链名删除指定链和表中的所有规则,如果不指定链,则所有链都被清空-i或in-interface
5、 指定数据包从哪个网络接口进入,如 eth0,eth1或pppo等-i或out-interface 指定数据包从哪个网络接口输出,如 eth0,eth1或pppo等-dport!port:port指定匹配的目标端口范围-p或 protocol!指定数据包匹配的协议,如tcp udp和icmp等。!表示除去该协议之外的其他协议ACCEPT接受数据包DROP丢弃数据包-s 或source!address/mask指定数据包匹配的源ip地址或子网。!表示除去该协议ip地址或子网-P 或policy 定义默认策略注意:iptables所有参数和选项都区分大小写。iptables常用的基础命令常用的基础
6、命令 iptables -t iptables -t 表名表名 -命令命令 链链名名 匹配条件匹配条件 目目标动标动作作 其中目其中目标动标动作如下表所示。作如下表所示。如下表如下表 iptables iptables常用操作命令匹配常用操作命令匹配 规则规则匹配和目匹配和目标动标动作作选项选项配置和管理配置和管理iptables 在Linux环境中配置web服务器,DNS服务器 和 E-mail服务器,主要完成包的安装、主配置文件的编辑和服务器的开启。3 配置配置iptables图图9-1 eth0 IP地址地址图图9-2 eth1 IP地址地址图图9-3 web ip地址地址图图9-4 D
7、NS ip地址地址图图9-5 e-mail地址地址第一步:清除所有链的规则rootlocalhost#iptables F第二步:禁止iptables防火墙转发任何数据包rootlocalhost#iptables-P FORWARD DROP第三步:建立来自Internet网络数据包过滤规则rootlocalhost#iptables-A FORWARD-d 222.206.100.2-p tcp-dport 80-i eth0-j ACCEPTrootlocalhost#iptables-A FORWARD-d 222.206.100.3-p tcp-dport 53-i eth0-j A
8、CCEPTrootlocalhost#iptables-A FORWARD-d 222.206.100.4-p tcp-dport 25-i eth0-j ACCEPTrootlocalhost#iptables-A FORWARD-d 222.206.100.4-p tcp-dport 110-i eth0-j ACCEPT第四步:接受来自内网数据包的通过rootlocalhost#iptables-A FORWARD-s 222.206.100.0/24-j ACCEPT第五步:对于所有的icmp数据包进行限制,允许每秒通过一个数据包,该限制的触发条件是10个包rootlocalhost#
9、iptables-A FORWARD-p icmp-m limit-limit 1/s-limit-burst 10-j ACCEPT第六步:开启路由转发功能rootlocalhost#echo1/proc/sys/net/ipv4/ip_forward 在在linux中为了增强系统文件的安全性,中为了增强系统文件的安全性,在用户访问文件时权限受限。管理员用户为在用户访问文件时权限受限。管理员用户为了加强文件管理,实现文件的安全性,常对了加强文件管理,实现文件的安全性,常对一些重要文件的访问权限进行限制,或者事一些重要文件的访问权限进行限制,或者事后对一些文件权限进行修改管理。后对一些文件权限
10、进行修改管理。1、权限分类、权限分类 文件的权限一般有三种:读(文件的权限一般有三种:读(r)、写)、写(w)、执行()、执行(x),用数字表示法时,用数字表示法时,r对应对应数字数字4,w对应数字对应数字2,x对应数字对应数字1。在文字表示(w表示读权限、r表示写权限,x表示执行权限;u表示所有者,g表示所属组,o表示其它用户,a表示所有用户),修改权限的时候,-表示在原有基础上建设权限,+表示在原有权限上增加权限,=表示将原有的权限覆盖。对于任意一个文件都是由用户登录系统后创建的,创建文件的用户为文件的所有者(u),文件也可以所属组(g),即能够被所属组的用户访问,除了所有者、所属组中的用
11、户对文件的操作,即是其它用户(o)。这三类用户对文件的权限如何,可以通过ls-l命令查看文件的时候,在左9个字符查看出具体的权限。rootlocalhost#ls-l总计 80drwxr-xr-x 3 root root 4096 11-05 18:17 2-rw-1 root root 1266 09-04 18:56 anaconda-ks.cfgdrwxr-xr-x 2 root root 4096 12-13 12:53 Desktop-rw-r-r-1 root root 27540 09-04 18:56 install.log-rw-r-r-1 root root 3671 09
12、-04 18:55 install.log.syslogdrwxr-xr-x 3 root root 4096 11-22 21:44 mingtiandrwxr-xr-x 3 root root 4096 11-05 18:16 123以上查看到的文件和目录信息:d:表示是一个目录,事实上在ext2fs中,目录是一个特殊的文件。:表示这是一个普通的文件。l:表示这是一个符号链接文件,实际上它指向另一个文件。b、c:分别表示区块设备和其他的外围设备,是特殊类型的文件。s、p:这些文件关系到系统的数据结构和管道,通常很少见到文件权限的修改文件权限的修改 文件权限的修改可以通过命令来实现。chmo
13、d 选项 文件1)以文字和数字表示权限 数字表示法是指将读取(r),写入(w)和执行(x)分别用数字代替4,2,1来表示。2)使用权限的文字表示法时,系统用4种字母来表示不同的用户u:user 表示所有者g:group 表示属组o:others 表示其他用户a:all 表示以上3种用户3)权限修改操作符号+:添加某种权限-:减去某种权限=:赋予给定权限并取消原来的权限 示例:当要修改目录2的权限,想使得其它用户具有读的权限,可以在其它用户拥有的权限上增加一个w权限,使用如下命令实现。#chmod o+w 2如果要将所有用户的访问权限都改为读(4)写(2)执行(1)权限,使用如下命令实现:#ch
14、mod 777 2此处的第一个7是所有者用户对2的权限为4+2+1,第二个7是所属组用户对2的权限为4+2+1,第三个7是其它用户对2的权限为4+2+1。3、对文件所有者与属组的修改、对文件所有者与属组的修改 chown 选项 用户和属组 文件列表 如,修改目录2的所有者用户为user1,所属组为linux1。#chown user1:linux1 2 网络安全基本配置网络安全基本配置1、保护口令文件rootlocalhost#chattr+i/etc/passwdrootlocalhost#chattr+i/etc/shadowrootlocalhost#chattr+i/etc/grouprootlocalhost#chattr+i/etc/gshadow2、删除登录信息rootlocalhost#echo /etc/issuerootlocalhost#echo /etc/3、阻止ping 命令rootlocalhost#echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all思考及提高 思考1思考及提高思考及提高 思考思考2思考思考4网络安全的特征网络安全的特征文件的类型文件的类型Iptables的工作过程的工作过程防火墙的概念思考3THANKS!谢谢观看