Linux操作系統(tǒng)安全

1、貴州大學(xué)實(shí)驗(yàn)報(bào)告（小三號(hào)，加黑）學(xué)院：計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)：信息安全班級(jí)：121姓名饒永明學(xué)號(hào)1208060066實(shí)驗(yàn)組實(shí)驗(yàn)時(shí)間5.27指導(dǎo)教師蔣朝惠成績(jī)實(shí)驗(yàn)項(xiàng)目名稱Linux 操作系統(tǒng)安全實(shí)驗(yàn)?zāi)康耐ㄟ^實(shí)驗(yàn)掌握 linux 操作系統(tǒng)環(huán)境下的用戶管理、進(jìn)程管理以及文件管理的相關(guān)操作命令，掌握 linux 中相關(guān)安全配置方法，建立起linux 的基本安全框架。實(shí)驗(yàn) 要求掌握 Linux 的操作系統(tǒng)安全的基本配置實(shí)驗(yàn) 原理用戶管理：Linux 支持以命令行或窗口方式管理用戶和用戶組。它提供了安全的用 戶和口令文件保護(hù)以及強(qiáng)大的口令設(shè)置規(guī)則，并對(duì)用戶和用戶組的權(quán)限進(jìn)行細(xì)粒度的劃 分。文件管理：在 Li

2、nux 中，文件和目錄的權(quán)限根據(jù)其所屬的用戶和用戶組來劃分：文 件所屬的用戶，即文件的創(chuàng)建者；文件所屬用戶組的用戶，即文件創(chuàng)建者所在的用戶組 中的其他用戶；其他用戶，即文件所屬用戶組之外的其他用戶。插入式身份認(rèn)證模塊PAM PAM 是插入式身份認(rèn)證模塊，它提供身份認(rèn)證功能防止未授權(quán)用戶的訪問，其身份認(rèn)證功能高度模塊化，可通過配置文件進(jìn)行靈活配置。在高 版本的 Linux 中自動(dòng)啟用了 PAM 用戶也可以自行配置PAM 文件。但是，任何很小的錯(cuò)誤改動(dòng)都可能導(dǎo)致所有用戶被阻塞，所以在進(jìn)行相關(guān)文件改動(dòng)之前，應(yīng)當(dāng)先備份系統(tǒng)內(nèi) 核。記錄系統(tǒng) syslogd : Linux 使用了一系列的日志文件，為管理

3、員提供了很多關(guān)于系統(tǒng) 安全狀態(tài)的信息。Syslogd 是一種系統(tǒng)日志守護(hù)進(jìn)程，它接受系統(tǒng)和應(yīng)用程序、守護(hù)進(jìn)程2以及內(nèi)核提供的消息，并根據(jù)在/etc/syslog.c onf 文件的配置，對(duì)這些消息在不同日志文件中進(jìn)行記錄和處理。絕大部分內(nèi)部系統(tǒng)工具都會(huì)通過呼叫syslog 接口來提供這些記錄到日志中的消息。系統(tǒng)管理員可以通過設(shè)置/etc/syslog.c onf文件來設(shè)置希望記錄的消息類型或希望監(jiān)視的設(shè)備。實(shí)驗(yàn)安裝 red Hat Linux 9.0操作系統(tǒng)的計(jì)算機(jī)儀器一、賬戶和安全口令1、查看和添加賬戶添加賬號(hào):rootubuntu:/usr/raofif useradd myosernan

4、e查看賬戶列表，并進(jìn)入用戶查看權(quán)限實(shí)驗(yàn)內(nèi)容和步驟npup:*: :pulse：*：10177:0:99999:7：: guest-bOJpgt:*:16521:e:99999:7：:rao:$6$ItHjdIWS$R6NZbtQX3xRX0WfLmk98ognSwyGJZUy92rElTIf冥匚fiddJOAfSMjrFXQ7JO：165S2:0：9999917：_nyusernane:!:16582:0;99999:7:oot電ubuntu:/usr/rao# su myu&ernanie ryusernameubuntu:/usr/rao$ cat/utc/shadow匚dt: /

5、etc/shadow: Permtsston dentednvusrftanefflubuntu:/usr/raoS I2、添加和更改口令切換用戶并添加口令:roo-匚ampaq-Pro-639&-MT :/home/stu#myusernar輸入新的UNIX惑碼；董新輸入新的LJNIX密碼：passwd：已成功更新密碼廠oot(Jstu-HP- Conpaq - Pro-S38&-MT : /home/stu# |3、設(shè)置賬戶管理ro&tsttiHP-Conpaq-PrO-6SB6-MT!/hame/stu# cbage 0川96 -F S -H 10 imvuser

6、4、賬戶禁用與恢復(fù)34鎖定賬戶rootstu-HP-Conpaq-Pro - 6380-MT: /home/stu# psswd -1 myusernam passwd:password expiry tnfornatton changE(h驗(yàn)證，表明鎖定成功rootstu-HP-Compaq - Pro-6380-MT:/hone/stu# su nyusernne您的帳戶已失效；請(qǐng)弓系統(tǒng)管理員取得聯(lián)系SU：認(rèn)證失敗炮略檢查用戶的當(dāng)前狀態(tài)root倒呂t:u-HP-Eompaq-Po-右HT:/hon已/passwd - S rnyusemannyusernane L 05/27/2915 0

7、 90 10*1解鎖用戶rootstu-HP-Compaq-Pro-6580-MT:/home/stu# passed -u myusern passwd: passwordexpiry information changed.5、建立用戶組：用如下命令創(chuàng)建新的用戶組:用如下命令修改用戶的名稱:rootuburtu:do# groupmod -n mygroupl mygroup用如下命令將用戶添加進(jìn)用戶組rootubuntu i /usr/ rao# gpas.swd - a nyusername nygroupl Aciding usermyusernane to group mygrou

8、pl用下面的命令將用戶設(shè)置為該用戶組的管理員6、設(shè)置口令規(guī)則用 vi 命令編輯 /etc/login.defs 文件PASSMAXDAYS 90PASS_MIN_DAYS 9PASS-WARN_AG& 1PASSZWARNZLEN 87、為賬戶和組相關(guān)系統(tǒng)加上不可更改屬性，防止非授權(quán)用戶獲得權(quán)限 輸入一下命令為口令文件加上不可更5改屬性：驗(yàn)證是否成功:rootubuntu;/usr/rao# ttr十i /etc/passwd rooteubuntu:/usr/rso# usradd dsx驗(yàn)證結(jié)果useradd : cannot open /et匚可用同樣的方法鎖定 /etc/sha

9、dow 、/etc/group 、/etc/gshadow去除不可修改屬性可用如下命令：rootgubuntu:/usr/rao# chat-t /etc/passwd驗(yàn)證是否成功:rootgubuntu:/usr/rao# groupdel nygroupl二、文件系統(tǒng)管理及安全1、新建文件夾和文件再用此命令在 folder 文件下建一個(gè)子文件夾:rootubuntu:mkdtr folder/childfalder進(jìn)入 folder 文件夾下建立一個(gè)名為newfile 的文件rootubuntu:cd folder rootubuntu;亡廠#touch newfile2、編輯文件用 vi

10、 命令編輯 newfile 文件，在插入模式下插入X root(g) )ubuntu: /folderThis is & newfile!1按【ES 日鍵返回命令行格式，輸入:wq”退岀并保存6:wq3、查看文件內(nèi)容和相關(guān)信息rootubuntu:-/folder# ll newftle-rw-r-r- - 1 root root 21 May 27 &7;06 newfile亍_/ dFcl rl c廠廿_4、設(shè)置文件的所屬用戶、用戶組合權(quán)限用 chmod 命令將 newfile 文件的訪問權(quán)限設(shè)置為所屬用戶有讀寫和執(zhí)行權(quán)限，用戶組有 讀寫權(quán)限，其他用戶沒有任何權(quán)限r(nóng)ootu

11、buntu:-/folder# chnod 750 newfile用 root 用戶rootubuntu:/folderft cat newfileThis is a newfile!11用 myusername 用戶:nyusernameubuntu:/root/folder? cat newfilecat: newftie: Pernts&ton dented三、查看和更改 PAM 模塊設(shè)置1、查看用于控制口令選擇和口令時(shí)效的PAM 模塊設(shè)置newfilt .nay 2；使用 cat 命令查看文件相關(guān)內(nèi)容用 II 命令查看相關(guān)的文件信息，輸入如下:再次查看用戶權(quán)限:分別用 root

12、 用戶和 myusername 用戶嘗試讀寫操作并記錄試驗(yàn)結(jié)果67rootuburtu:/folderff Is yetc/pam.daccountsservicecornmon-sessionlightdm-g reeteEmnlbwchfnconnsn seion-nonintucBctiw亡login5UcpasswdcronrefusersSUdQchshcups-daenon空hcommon-accountgnome*screensaverpasswtTcornfficsri - aut hlightdmconmon-password_J_Jjr一lightdri- autologi

13、n1_ u PPP查看 /etc/pam.d文件夾中的文件列表8打開文件/etc/pam.d/passwd，查看與用戶口令有關(guān)的PAM 設(shè)置rootubuntu:-/folder# cat /et匚/p己n*T/pn芻5斛d*# The PAM configuration file for the Shadow passed1servinInclude匚omn&n-password查看文件 /etc/pam.d/system-auth_ rootttl c lko roit/-etc/, J/syKtcn-auth宏P(guān)JW1-1 +0擋This f UQi snd斗IJMW卓h加、當(dāng)?shù)?/p>

14、will he恥斑曲yt1 the next ti尚auti-.erifiift run-沖ui hHUTh aut lircaui_dort . souccobiitryqui red/1 Ib/seCLri t y/$l SA/pamuni x , &(j應(yīng)古drcqui red/I AL/securi l y/4l SA/pamcraitikliljxrelrys3 typeats占o(jì)rdVUJCFJc 1 ent/1 lL/s*curl t y/JI SA/pamunix - so nul lok nuse ulhiluTas swordruqui red/1 Iti/sL i

15、uri t y/31 SA/pamdeny+soRes janruqui rcrlfl j b/LbriLr i t y/Sl SA/n；iiri1 inii tsc sosessionii rLrquirtil.MM./1ib/stcuri ty/SlSA/pm_mix *so2、限制su命令的使用用戶查看所需要的用戶組，不存在責(zé)創(chuàng)建|rac Klocalhost root cat /etc /group1 X ! )bi rl k 1 1 1 riJCJI. billTLlai5ih)t) iji-:iini: x i ?: |-HIi., bin. I】.；cmori svsis iBs

16、rntit. bin4ailiindm；x；Trout. diiLt44qiuntty:xfli bk：u：6Tr*fttIp：x：7:daomonPniem: x：Ki kmu-m：x：9：wIiL-c 1：xi 10 iruulmailix:1 iieui six：、新建用戶，并將其加入到wheel 用戶組中reot js* Add user廣PMr*o心兄# 甘pbLl-也 戶血血Who。I t心庇FCUp Wh農(nóng)心】再次查看信息，終端顯示9FrflotlcraLMiBt rootcutroot:xiCiroatbin：x 11 (root4bin+dat?niundDJlLJll；A

17、-2 I-ULJL,bin .hysi x：3 trnot. bin aJdi自叮別111 d i rnol. 2 dm + defiiuntty：1：5：di sk ; x :fi+roiitIpzx：7；l4l IOCTII htcl root i /ele/pnin ,il/4U；Hilhrequired /1ib/sturi ty/SlA/pamwhevl-so(5)、輸入下面命令，更改文件權(quán)限，限制只有wheel 用戶可以使用rucKluculhosi ruotchown rootinrhctl /bln/au rooteiocalhast root# ctiaiod 3750 /h

18、ir/snI-n iT(6)用 su 命令相互切換用戶成員，發(fā)現(xiàn)權(quán)限不夠| raudk 1 ncA 1rout |$ su railPiistwor d :| raul frlocllicsL root S su raibLiisIk:/b i n/su i釵眼孑対tacl dbluc-u丄ho呂t. root四、檢查 syslog 日志設(shè)置以及日志文件(1)打開/etc/syslog.conf 文件，查看相關(guān)設(shè)置rao1localhost root$ cat /etc/syslog.c onf# Log all ker nel messages to the con sole.# Logg

19、ing much else clutters up the scree n.#ker n.*/dev/c on sole# Log any thi ng (except mail) of level info or higher.# Dont log private authentication messages!*.i nfo;mail. none;n ews .non e;authpriv. non e;cro n.none/var/log/messages# The authpriv file has restricted access.authpriv.*/var/log/secure

20、1su 命令10# Log all the mail messages in one place.mail.*/var/log/maillog# Log cron stuffcron.*/var/log/cro n# Everybody gets emerge ncy messages*emerg*# Save n ews errors of level crit and higher in a special file.uucp ,n ews.crit/var/log/spooler# Save boot messages also to boot.loglocal7.*/var/log/b

21、oot.logn ews.=crit/var/log/news/ news.critn ews.=err/var/log/n ews/news.errn ews .no tice/var/log/n ews/news. notice（2） 打開/var/log/message文件，查看系統(tǒng)相關(guān)的記錄信息，找岀用戶身份認(rèn)證的記錄（3）新建用戶 user，并以用戶名重復(fù)兩次是失敗的系統(tǒng)登錄（4） 再次查看/var/log/message文件，查看關(guān)于登錄失敗的記錄信息，可以看到兩次登錄失敗的記錄詁y 28 11:0552 I心IhojH 5fdinb ini：無漲認(rèn)證用戶My 2811: OSi

22、S9 lues Ihus L忌月2S ）1 ;05:59 jditi paiti_un ix） 2GGSiau lhenl tea I iona i lureI ugnmtr =LLid=U euid=0Ity =：0ruser=jdjiirlios t=I ora Ihostusier = rao詁yZU11:OS:U1 loca Ihost 月2K. 11：06:O1 5jdjivhinaryl2665i無法iMiE用戶Kiy2H11；Ofi；U7loca Ihos 15冃2S 11：06：O7 jdinpain un ix）（266S :au thent i cationailur iI

23、o耳naw = u id=0 euid=01ty- :0 rueTdirnrhos t=localhas tuser=r3iMy 28Icca Ihost 5月2& ll；06；O9 gdrrrb ini無法認(rèn)證用戶 n】 思考題：（1）在 Linux 中，如何設(shè)置一個(gè)文件夾的訪問權(quán)限答：可以用 chmod 命令，chmod xxx dirxxx 為 3 位數(shù)字，分別表示文件所有者，文件所有者所在的組，其他用戶的權(quán)限4 代表讀權(quán)限，2 代表寫權(quán)限，1 代表執(zhí)行權(quán)限，需要那些權(quán)限相加即可，0 為不任何權(quán)限 dir 為要更改權(quán)的文件如果是文件夾帶上遞歸參數(shù)-R，可改變文件內(nèi)全部文件的權(quán)限。

24、（2） 如何限制其他用戶使用 su 命令答：用 chowd 和 chmod 兩個(gè)命令，現(xiàn)更改文件權(quán)限，再限制將su 命令限制到某個(gè)用戶組，這樣就只能這個(gè)用戶可以用su 命令了。11（3）如何啟用和禁止用戶賬戶答：用 passwd -【用戶名】將用戶鎖住。用passwd -【用戶名】將用戶解12鎖。2.2.2 Linux 中的 Web Ftp 服務(wù)器的安全配置、Apache 服務(wù)器的安全配置(1)apache 的安裝通過下面命令檢查 apache 是否安裝:na sn：ii se rne I： cnnuEiinnt)i rounfirootMOCJIhos l ruo# rpm grep h l

25、 tpdh Lipd nmnua l-2.fi 0g rep h L t pdf runlh i IQQ1#（3）apache 的配置roo tloca LhoEI停止h npd；啟越h i ipd：roo tlocaIhoit h L t pdip M 3446Ir * r n* 角II rce II k nt先敗 113啟動(dòng) apache :1415耳 |因hUp;l%166Qaen/eriifo二|*f|x百度揚(yáng)祈吧 P二上搜素冋殺莓因郵箱6全國(guó)地E3 仝爲(wèi)Access Forbidden!a*S * T舀頂面(E) JAccess forbidden!Youdont harv亡perm

26、ission to access the requestedobject. It iseitiier read-protected readable bythe sener.If you think this is a server error, please contact the webmasterError 4032015A05dA28E：d DQE15E4O4QAeApachs 2.0.401 in ux)(5) 認(rèn)證與授權(quán)1、修改主配置文件Alle)w0 urr ide NUTJU皐1:1 . e良L雷i t丸uthMsniu! tocLir 1 tyAJIlitr：i J /var

27、/ww/prifisd/security Pr(|uirr vflHij-uscr2、創(chuàng)建口令文件security ，并添加用戶rym,密碼 rym，域security.rLH) whulhdf. i riu lelcciilIkuf.Lriotc*li)cl lius l ridt4DJuc；jJ hi*- p*古左uci廣Rc-tjpr- no* passwnrii Addingfor user3、改口令文件的所有者和用戶組均為 apache :rnntdtlalhast# ehownAp-arheapacHe soeurity4、重啟 httpdFOOKDIDCUI hiisT p：i圧

28、営wd諸wurvic P * 3 0電址喚:的泌 *戲菲溢心 *螢*-Taege , | 0Test PageHis pitgf is used to lel the juopn ojinjua uf (hr Apaclir* Web xn n artn it h、brl TLrdDrit If you caiL rc-s* mean thatth亡Apicht Web server instailed at di; she is wotki筆prqptrly.Tf you are the administrator of this website:You may nc*rPW1L1r cnL

29、nr tn rhh rirpcfnr replar thi pfiae Note that until you do so ppopLe i苗irm百ycmr v seedtk pae, and not your conceiu.If you have up graded &cm Red Har Linux 6.2 and earlier, then QMucthis pace bwause the defuh Dow&in, tcc/?：T：tpd/CCEf/ht-pd. =ctf his chafed. An/ subdirectories which exiiedunch

30、r /herui/h-cf d shot moi-Ted to/var/w-L#w. AltemeL th* ccntil ct.var/xw can b? moved to Fime匕二：莊氏 血血色coatiptrati be updAtedaceardiiml-.IT JF w .-a jn, * in. 4 411*VL*I l*w II(6)日志的管理和統(tǒng)計(jì)分析通過 cat 命令查看錯(cuò)誤日志和訪問日志：routolccalhtjs t piiii wd J*1CHI/I?tc/k lip J/logs/error logThu2800：22s 102015J|；ceDi est -

31、geiicrallrh secret for dll geslau1caLlcn *+ *Thu MayM:25U020.nut iceQi lcst - iloneFhu My2H0:22：I2015nut iceApache/2,0 .0 (Rtl Iht Linux ) cmii i gurerusuiiLinnorcna 1 oper融丄1 oils|Thu May2K09:25：112015u-n child prtre!；t 567i still tildIILJL.ke用戶名QD密碼 ：17a SIGTERM| Thu歸片2K (TH : Z.i：112015| uirn |ch

32、ild nrnceBX亠T. K uA4 - n hr mara. *A r 呻f A J IL- |raotoioefilhoat pAfiawd# et /otr/ht lpd/lag/jiee&fi6_l-h 1S2眼0詔 28/May/201S：IB: 04154 +OWIJO GET / til TP/1 , i 103H,-ilia/j J) (riwailhlc i MSI t 7t0；mindnw MT 5.3】MET CLRlD2rI6ft+Od8e - - | Z8/Miy/S05：16：O5：O4 +OKCJO GET / EiTTP/1 , 1 J :i 2S9

33、B i：MIE 7*0：WindowsMl S.2f *HFT CLA 13.4322)-lDS.ififi.o.Bfi - -tofinnPET/EITTF/I. 1 101IZHDilla/un (compatible; MSTE 7.0; Windows. NT 5.2; .NET CLR 1 . 1 .122) lD2.1SKJh - - 2/Muy/ZC15!lfi：n5T27 +0K001_GET / HTTF/1 J 101 12K0 ilia/lJ) (ci)iiimliblc；MSJ E 7+0；VfindoK N7 5.2；.NET CLR l+l+1322) 192.1G

34、B.0.HG- 2/Max/2C13：16i05i31 +0B00 GET / I1TTF/1 J 101 12R0 “-”ilia/j+U (tumpalible：則SUE 7t0；Windows N7乩 4ET CLR ltl .4322) 2ft/May/2015：lfi；05：4U +0til)0 GET HTTP/1 .1H,401 128S illa./jt0 ( cumpatlllc ;船L 7t0j Windows KI .2: MT CLR L 1t1M22)C m十I rihi A fh 3 L UB !- *1 二、vsftpd服務(wù)器的安全配置(1)通過以下命令確認(rèn) vs

35、ftpd 是否安裝：roDtlocolbhL paNbwJ rpoi q&|rep vsftpd Yaftpd-1.1.3fi啟動(dòng) vsftpd :root Sloca Ihos l i()c t )# st)v ice v s f ipd start為vsf 1 pd啟韻vsftpd： 確定 18號(hào)遇”丄I，F(xiàn)援索廠立悴夾 ” /X 9園地址(D 4Jftp：/(192,168.137,1/大b奘型修文件來20(用戶：匿名紗Internet(2) 獨(dú)立 FTP 服務(wù)器的安全配置:用 vi 編輯 FTP 的配置文件 /etc/vsftpd/vsftpd.conf1、禁止匿名用戶名登陸：

36、anonyiiuu i _nab le=NlJanun_up loud_ena b IE=NI)nX Ihcortnrni this if you yim 1 ft tiewhd iroctor sanon nkd ir_r i it tnab le NlM2、對(duì)本地用戶的登陸和訪問進(jìn)行控制:103 I ena h le=YESUhcormr n t t h i s i te_enableYES對(duì)本地用戶的訪問進(jìn)行控制:utter list nab le YES3、控制用戶登陸后難呢過切換到自身根目錄以外的目錄:4、設(shè)置日志選項(xiàng)92,16B. 137,21/回文件(日編輯(牛收藏(俎工具(I)

37、幫葯(H)_j Security i我的電腦J網(wǎng)上鄰居韻回收站槽Internet ExplorerOpubI D -f去use 1*E LDMJl chroot1JJctiroo l_l ist_enat le=YES# (d Tati 11 folIOWE)19Jenable=YESn# Mku sure卩OCT tiuiit. f r cdiiiif? 21 ions conne c l_fram_por t_2O=lSX I f you uan iryou ca n a 1 rnc fii uy黑a d 1 f lerDii L user.Nb te ! Lk ntgT1001*re c

38、omrended.!#chowi. up loadES ttclio_D r _20=VES inii_puri=50COfl na_pnr=50000IJ 1 r rs6、設(shè)置性能選項(xiàng)：id le st s s ion l inr ou l =l)00# -M Vnu y rhange- ihw defu 1 t v da ia_cwineciion_t iirru 1 = 120Lldlt iL_C lHlL?Ct J. Lll_ t illlCLJUt = L20l iniuoutftOconnoc t_t lacoLit=64) niax r 1 i utits=10 ULax_pcr_ip=l丄QUal rnair