r05.yeslabrhce rhca6與實驗手冊linux安全securitychap05-v1

1、BENET3.0第二學(xué)期課程第五章 漏洞檢測和遠程訪問控制 理論部分2課程回顧普通代理、透明代理的特點和區(qū)別在哪里？反向代理的主要作用是什么，如何配置實現(xiàn)？在配置透明代理時，設(shè)置的防火墻規(guī)則起什么作用？實現(xiàn)squid訪問列表控制的2個主要配置項是什么？3技能展示會構(gòu)建及使用Nessus漏洞檢測系統(tǒng)熟悉NMAP、EtterCap、WireShark等常用工具會構(gòu)建安全的SSH遠程登錄服務(wù)會使用SSH客戶端工具實現(xiàn)遠程訪問會應(yīng)用TCP Wrappers訪問控制機制4本章結(jié)構(gòu)構(gòu)建Nessus漏洞檢測系統(tǒng)漏洞檢測和遠程訪問控制其他常用掃描及分析工具構(gòu)建SSH遠程登錄系統(tǒng)使用TCP Wrappers機制

2、安裝Nessus漏洞檢測系統(tǒng) 使用NessusClient用戶端配置nessusd服務(wù)端 OpenSSH服務(wù)端安全控制構(gòu)建密鑰對驗證的SSH登錄體系SSH客戶端安全應(yīng)用NMAP、EtterCAP、WireShark 5構(gòu)建Nessus漏洞檢測系統(tǒng)Nessus是什么強大的網(wǎng)絡(luò)弱點（漏洞）掃描與分析工具美國 Tenable Network Security,Inc 公司出品 官方站點： Nessus系統(tǒng)的組成服務(wù)器端：nessusd用戶端（客戶端）：NessusClient 6安裝Nessus漏洞檢測系統(tǒng)安裝Nessus服務(wù)端下載文件： Nessus-3.2.1-es5.i386.rpm默認安裝路

3、徑： /opt/nessus/安裝Nessus用戶端下載文件： NessusClient-3.2.1-es5.i386.rpm默認安裝路徑： /opt/nessus/rootlocalhost # vi /.bash_profileexport PATH=/opt/nessus/sbin:/opt/nessus/bin:$PATHexport MANPATH=/opt/nessus/man:manpathrootlocalhost # source /.bash_profile調(diào)整PATH變量7配置Nessus服務(wù)器端啟動nessusd服務(wù)器程序方法1： /etc/init.d/nessusd

4、 start方法2：service nessusd start添加掃描用戶nessus-adduser 腳本設(shè)置掃描權(quán)限accept /24accept /24default deny教員演示操作過程掃描權(quán)限限制8使用NessusClient用戶端啟動用戶端程序在圖形界面中執(zhí)行 NessusClient &連接并登錄到nessusd服務(wù)器添加掃描目標(biāo)例如：IP地址為 0 的服務(wù)器主機執(zhí)行掃描教員演示操作過程9使用NessusClient用戶端查看掃描結(jié)果報告10其他常用掃描及分析工具NMAP掃描工具主要用于網(wǎng)絡(luò)/主機掃描探測的命令行軟件官方站點： EtterCAP網(wǎng)絡(luò)嗅探工具主要針對用戶名/密

5、碼等敏感信息的嗅探抓包工具官方站點： WireShark協(xié)議分析器抓取網(wǎng)絡(luò)數(shù)據(jù)包并進行逐層分解的協(xié)議分析軟件官方站點： 11NMAP掃描工具的使用安裝nmap程序從RHEL5系統(tǒng)光盤中安裝 nmap-4.11-1.1.i386.rpm掃描方法nmap 掃描類型 選項 掃描目標(biāo) 常用的掃描類型 -sSTCP SYN掃描 -sTTCP連接掃描 -P0 忽略ping測試反饋結(jié)果 -sU UDP掃描 -O 嘗試探測操作系統(tǒng)類型常用的命令選項 -p 指定掃描的目標(biāo)端口 -n 不進行反向DNS解析教員演示操作過程12EtterCAP嗅探工具的使用安裝EtterCAP軟件從RHEL5光盤安裝依賴軟件包： l

6、ibpcap、libpcap-devel需下載并依次安裝下列軟件包 libnet-2.2.el5.rf.i386.rpm ettercap-NG-0.7.3.tar.gz13EtterCAP嗅探工具的使用嗅探方法在圖形模式中執(zhí)行 ettercap -G & 打開程序指定用于嗅探數(shù)據(jù)的網(wǎng)卡添加嗅探目標(biāo)例如嗅探本機（）與0間的通信執(zhí)行嗅探查看嗅探結(jié)果教員演示操作過程14WireShark協(xié)議分析工具的使用安裝WireShark軟件從RHEL5光盤安裝依賴軟件包： libpcap、libpcap-devel需下載安裝的軟件包 wireshark-1.0.2.tar.gz 15WireShark協(xié)議分

7、析工具的使用協(xié)議分析方法在圖形模式中執(zhí)行 wireshark & 打開程序指定用于抓包的網(wǎng)卡執(zhí)行數(shù)據(jù)包抓取（可隨時暫停）過濾抓取的數(shù)據(jù)包查看數(shù)據(jù)包信息教員演示操作過程16小結(jié)請思考：Nessus漏洞檢測系統(tǒng)的用戶端程序是什么？在添加用于漏洞掃描的用戶時如何限制掃描權(quán)限？NMAP、EtterCAP和WireShark工具各自的用途和特點是什么？17構(gòu)建SSH遠程登錄系統(tǒng)SSH（Secure Shell，安全的命令解釋器）為客戶機提供安全的Shell環(huán)境，用于遠程管理默認端口：TCP 22OpenSSH官方站點： 主要軟件包：openssh-server、openssh-clients服務(wù)名：ss

8、hd服務(wù)端主程序：/usr/sbin/sshd客戶端主程序：/usr/bin/ssh服務(wù)端配置文件：/etc/ssh/sshd_config客戶端配置文件：/etc/ssh/ssh_config18OpenSSH服務(wù)端安全控制用戶遠程登錄安全控制Port 22ListenAddress PermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 DenyUsers zhangsan lisiAllowUsers jerry admin519OpenSSH服務(wù)端安全控制SSH登錄使用的用戶名服務(wù)器中的本地系統(tǒng)用

9、戶的帳號名SSH登錄的用戶驗證方式密碼驗證：使用服務(wù)器中系統(tǒng)帳號對應(yīng)的密碼密鑰對驗證：使用客戶機中生成的公鑰、私鑰PasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys20SSH客戶端應(yīng)用使用ssh命令遠程登錄方式1： ssh 用戶名服務(wù)器地址方式2： ssh -l 用戶名 服務(wù)器地址方式3： ssh 服務(wù)器地址使用scp命令遠程復(fù)制文件/目錄方式1： scp 用戶名服務(wù)器地址:源文件 目標(biāo)路徑方式2： scp 本地文件 用戶名服務(wù)器地址:目標(biāo)路徑若復(fù)制的是目錄，則需添加

10、“-r”選項使用sftp命令從服務(wù)器下載文件教員演示操作過程21SSH客戶端應(yīng)用使用圖形客戶端軟件 PuttyCN主要用途：基于SSH協(xié)議遠程登錄以便管理服務(wù)器下載地址： 使用圖形客戶端軟件 WinSCP主要用途：基于sftp、scp或ftp的方式下載/上傳數(shù)據(jù)下載地址： 22SSH客戶端應(yīng)用23構(gòu)建密鑰對驗證的SSH登錄體系第一步：創(chuàng)建密鑰對 私鑰文件：id_rsa 公鑰文件：id_rsa.pubSSH客戶機SSH服務(wù)器第二步：上傳公鑰文件 id_rsa.pub第三步：將公鑰信息導(dǎo)入公鑰數(shù)據(jù)庫 數(shù)據(jù)庫文件：/.ssh/authorized_keys第四步：再次登錄時將通過密鑰對驗證以用戶zh

11、angsan在客戶機本地登錄，并創(chuàng)建密鑰對導(dǎo)入到服務(wù)器中用戶lisi的公鑰數(shù)據(jù)庫以服務(wù)器中用戶lisi的身份進行SSH遠程登錄24構(gòu)建密鑰對驗證的SSH登錄體系基本實現(xiàn)步驟1.在客戶機創(chuàng)建密鑰對 ssh-keygen命令2.將公鑰文件上傳至服務(wù)器3.設(shè)置服務(wù)器 將公鑰信息導(dǎo)入到服務(wù)器中用戶的公鑰數(shù)據(jù)庫 禁用密碼驗證、啟用密鑰對驗證，并重啟sshd服務(wù)4.在客戶機遠程登錄進行驗證zhangsanlocalhost $ ssh lisiEnter passphrase for key /home/zhangsan/.ssh/id_rsa: Last login: Fri Aug 15 14:02:

12、44 2008 from 34lisilocalhost $ 教員演示操作過程25使用TCP Wrappers機制TCP Wrappers的作用原理TCP Wrappers代為監(jiān)聽端口21代為監(jiān)聽端口23代為監(jiān)聽端口110代為監(jiān)聽端口143客戶機的網(wǎng)絡(luò)訪問請求對訪問請求進行過濾控制vsftpdtelnetipop3imap調(diào)用相應(yīng)的網(wǎng)絡(luò)程序26使用TCP Wrappers機制軟件包tcp_wrappers-7.6-40.2.1.i386.rpm保護機制的實現(xiàn)方式方式1：通過tcpd主程序?qū)ζ渌?wù)程序進行包裝方式2：由其他網(wǎng)絡(luò)服務(wù)程序調(diào)用libwrap.so.*鏈接庫主要配置文件/etc/ho

13、sts.allow/etc/hosts.deny27使用TCP Wrappers機制設(shè)置訪問控制策略配置格式：服務(wù)程序列表:客戶機地址列表服務(wù)程序列表 單個服務(wù)程序名 以逗號“,”分隔多個服務(wù)程序名 ALL表示所有服務(wù)程序客戶機地址列表 單個IP地址 網(wǎng)段地址，“192.168.4.”或“/” 使用通配符 ? 和 * 以逗號“,”分隔多個地址 ALL表示所有地址28使用TCP Wrappers機制TCP Wrappers的訪問控制原則首先檢查 hosts.allow 文件，若找到相匹配的策略，則允許訪問否則繼續(xù)檢查 hosts.deny 文件，若找到相匹配的策略，則拒絕訪問如果兩個文件中都沒有

14、相匹配的策略，則允許訪問29使用TCP Wrappers機制應(yīng)用示例：僅允許地址為 7 或 019 以及 /24 網(wǎng)段的客戶機訪問sshd服務(wù)rootlocalhost # vi /etc/hosts.allowsshd:7,192.168.2.*,?rootlocalhost # vi /etc/hosts.denysshd:ALL教員演示操作過程30本章總結(jié)構(gòu)建Nessus漏洞檢測系統(tǒng)漏洞檢測和遠程訪問控制其他常用掃描及分析工具構(gòu)建SSH遠程登錄系統(tǒng)使用TCP Wrappers機制安裝Nessus漏洞檢測系統(tǒng) 使用NessusClient用戶端配置nessusd服務(wù)端 OpenSSH服務(wù)端

15、安全控制構(gòu)建密鑰對驗證的SSH登錄體系SSH客戶端安全應(yīng)用NMAP、EtterCAP、WireShark BENET3.0第二學(xué)期課程第五章 漏洞檢測和遠程訪問控制 上機部分32實驗案例1：搭建Nessus漏洞檢測系統(tǒng)需求描述安裝NessusD服務(wù)器端軟件安裝Nessus客戶端軟件對掃描用戶的權(quán)限進行控制，僅允許對服務(wù)器、進行掃描對服務(wù)器進行漏洞檢測，保存掃描結(jié)果33實驗案例1：搭建Nessus漏洞檢測系統(tǒng)實現(xiàn)思路安裝Nessues服務(wù)器端軟件，添加掃描用戶 安裝Nessus服務(wù)端 添加掃描用戶，設(shè)置掃描權(quán)限安裝Nessus客戶端軟件服務(wù)器漏洞檢測 連接Nessus服務(wù)器 設(shè)定目標(biāo)主機為，進行

16、漏洞檢測 查看及保存掃描報告(.html網(wǎng)頁格式)34實驗案例1：搭建Nessus漏洞檢測系統(tǒng)學(xué)員練習(xí)30分鐘內(nèi)完成35實驗案例2：搭建安全的SSH登錄服務(wù)器需求描述允許網(wǎng)站管理員webmaster從任何客戶端遠程登錄Web服務(wù)器，并采用密鑰對的方式進行身份驗證允許jacky從局域網(wǎng)內(nèi)的網(wǎng)管工作站10遠程登錄Web服務(wù)器禁止其他用戶遠程登錄Web服務(wù)器 36實驗案例2：搭建安全的SSH登錄服務(wù)器Internet網(wǎng)站服務(wù)器/24網(wǎng)管工作站10/24eth1: /24eth0: 1/24Linux網(wǎng)關(guān)服務(wù)器遠程管理工作機18/2437實驗案例2：搭建安全的SSH登錄服務(wù)器實現(xiàn)思路準(zhǔn)備測試機及Web服務(wù)器、網(wǎng)管服務(wù)器