Linux系統(tǒng)與應(yīng)用課件項(xiàng)目十二

中國(guó)水利水電出版社項(xiàng)目十二網(wǎng)絡(luò)安全【項(xiàng)目導(dǎo)入】某高校部署有Samba、Web、FTP、E-mail等服務(wù)器為校園網(wǎng)用戶及Internet用戶提供服務(wù)。為保證服務(wù)器及校園網(wǎng)的安全，需要選擇既穩(wěn)定又易于管理的Linux系統(tǒng)作為防火墻，為校園網(wǎng)安全保駕護(hù)航。中國(guó)水利水電出版社【知識(shí)目標(biāo)】

了解網(wǎng)絡(luò)安全常見(jiàn)的威脅理解SELinux的概念理解iptables的工作原理掌握iptables的基礎(chǔ)結(jié)構(gòu)掌握iptables的語(yǔ)法規(guī)則了解TCP-wrappers的工作原理中國(guó)水利水電出版社【能力目標(biāo)】

掌握SELinux的設(shè)置方法掌握iptables的設(shè)置規(guī)則掌握iptables的應(yīng)用中國(guó)水利水電出版社12.1計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全，其所涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。2.網(wǎng)絡(luò)安全的特征（1）保密性（2）完整性（3）可用性（4）可控性中國(guó)水利水電出版社3.影響網(wǎng)絡(luò)安全的主要因素（1）操作系統(tǒng)漏洞（2）應(yīng)用軟件漏洞（3）TCP/IP漏洞（4）電子郵件漏洞（5）系統(tǒng)密碼漏洞（6）管理上的漏洞中國(guó)水利水電出版社

4.Linux網(wǎng)絡(luò)安全防范策略（1）仔細(xì)設(shè)置每個(gè)內(nèi)部用戶的權(quán)限。（2）確保用戶口令文件/etc/shadow的安全。（3）加強(qiáng)對(duì)系統(tǒng)運(yùn)行的監(jiān)控和記錄。（4）合理劃分子網(wǎng)和設(shè)置防火墻（5）定期對(duì)Linux網(wǎng)絡(luò)進(jìn)行安全檢查（6）制定適當(dāng)?shù)臄?shù)據(jù)備份計(jì)劃確保系統(tǒng)萬(wàn)無(wú)一失。中國(guó)水利水電出版社12.2SELinux的使用方法SELinux是Security-EnhancedLinux的簡(jiǎn)稱，是美國(guó)國(guó)家安全局NSA（TheNationalSecurityAgency）和SCC（SecureComputingCorporation）合作開(kāi)發(fā)的基于Linux或UNIX的一個(gè)擴(kuò)展的強(qiáng)制安全訪問(wèn)控制模塊中國(guó)水利水電出版社1.DACDAC(DiscretionaryAccessControl，自主訪問(wèn)控制)是一種傳統(tǒng)的UNIX/Linux訪問(wèn)控制方式，系統(tǒng)通過(guò)控制文件的讀（r）、寫（w）、執(zhí)行（x）權(quán)限和文件歸屬者如文件所有者（owner）、文件所屬（group）、其他人（other）等形式來(lái)控制文件屬性，權(quán)限劃分較粗糙，不易實(shí)現(xiàn)對(duì)文件權(quán)限的精確管理。

2.MACMAC（MandatoryAccessControl，強(qiáng)制存取控制），依據(jù)條件決定是否有存取權(quán)限?？梢砸?guī)范個(gè)別細(xì)致的項(xiàng)目進(jìn)行存取控制，提供完整的徹底化規(guī)范限制。

中國(guó)水利水電出版社12.2.1SELinux的配置SELinux的配置文件存放在/etc/selinux文件夾下，主要有4個(gè)文件config、restorecond.conf、restorecond_user.conf、semanage.conf和一個(gè)目錄targeted。其中比較重要的是config文件和targeted目錄，config文件是SELinux的主配置文件，targeted目錄是SELinux比較重要的安全上下文、模塊及策略配置目錄。

中國(guó)水利水電出版社config文件主要用于配置SELinux的工作模式。SELinux的工作模式有3種，分別是enforcing、permissive、disabled，其中enforcing為系統(tǒng)的默認(rèn)工作模式。（1）enforcing：強(qiáng)制模式，此時(shí)系統(tǒng)處于SELinux的保護(hù)之下。（2）permissive：寬容模式，代表SELinux處于運(yùn)作狀態(tài)，不過(guò)僅會(huì)有警告信息并不會(huì)實(shí)際限制domain/type的存取，這種模式通常用來(lái)調(diào)試系統(tǒng)。（3）disabled：禁用SELinux，此時(shí)SELinux處于停止?fàn)顟B(tài)。中國(guó)水利水電出版社12.2.2SELinux管理命令（1）setenforce命令格式：setenforce[enforcing|permissive|1|0]功能：設(shè)置SELinux模式，修改后立即生效。例：將SELinux的模式設(shè)置為enforce模式。[root@localhost~]#setenforceenforcing或：

[root@localhost~]#setenforce1（2）getenforce命令格式：getenforce功能：查看當(dāng)前SELinux運(yùn)行模式。（3）sestatus命令格式：sestatus功能：查看SELinux的運(yùn)行狀態(tài)。中國(guó)水利水電出版社12.3Linux防火墻防火墻指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。中國(guó)水利水電出版社1.Iptables的工作原理Iptables分為兩部分，一部分稱為核心空間，另一部分稱為用戶空間。在核心空間，Iptables從底層實(shí)現(xiàn)了數(shù)據(jù)包過(guò)濾的各種功能，例如NAT、狀態(tài)檢測(cè)以及高級(jí)的數(shù)據(jù)包策略匹配等；在用戶空間，Iptables為用戶提供了控制核心空間工作狀態(tài)的命令集。

中國(guó)水利水電出版社2.基礎(chǔ)結(jié)構(gòu)Linux內(nèi)核利用Iptables工具來(lái)過(guò)濾數(shù)據(jù)包，用來(lái)決定接收哪些數(shù)據(jù)包、允許哪些數(shù)據(jù)包同時(shí)阻止其他數(shù)據(jù)包。Iptables中有3種類型的表，分別是filter、nat和mangle，每個(gè)表里包含若干個(gè)鏈，每條鏈里包含若干條規(guī)則。

中國(guó)水利水電出版社（1）filter表用來(lái)過(guò)濾和處理數(shù)據(jù)包。該表內(nèi)置了3條連。INPUT：應(yīng)用于目標(biāo)地址是本機(jī)的那些數(shù)據(jù)包。OUTPUT：從本機(jī)發(fā)送出去的封包的處理，通常放行所有封包。FORWARD：源IP地址和目的IP地址都不是本機(jī)的，要穿過(guò)防火墻的封包，進(jìn)行轉(zhuǎn)發(fā)處理。中國(guó)水利水電出版社（2）Nat表用于地址轉(zhuǎn)換?？梢宰瞿康牡刂忿D(zhuǎn)換DNAT和源地址轉(zhuǎn)換SNAT，可做一對(duì)一、一對(duì)多、多對(duì)一轉(zhuǎn)換。該表有PREROUTING、POSTROUTING和OUTPUT這3條規(guī)則鏈。PREROUTING：進(jìn)行目的IP地址的轉(zhuǎn)換，對(duì)應(yīng)DNAT操作。OUTPUT：對(duì)應(yīng)本地產(chǎn)生的數(shù)據(jù)包。POSTROUTING：進(jìn)行源IP地址轉(zhuǎn)換，對(duì)應(yīng)SNAT操作。中國(guó)水利水電出版社（3）Mangle用于對(duì)數(shù)據(jù)包的一些傳輸特性進(jìn)行修改。INPUT：修改傳輸?shù)奖緳C(jī)的數(shù)據(jù)包。OUTPUT：對(duì)于本機(jī)產(chǎn)生的數(shù)據(jù)包，在傳出之前進(jìn)行修改。FORWARD：修改經(jīng)本機(jī)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包。PREROUTING：在路由選擇之前修改網(wǎng)絡(luò)數(shù)據(jù)包。POSTROUTING：在路由選擇之后修改數(shù)據(jù)包。中國(guó)水利水電出版社3.iptables的語(yǔ)法iptables的語(yǔ)法為：iptables[-ttable]command[rule-matcher][-jtarget]其中：（1）[table]：指定表名。有3種表，分別為mangle、filter和nat。一般不用指定表名，默認(rèn)是filter表。如果使用其他表，例如mangle表或nat表，則一定要注明。（2）[rule-match]：為規(guī)則匹配器。（3）[target]：為目標(biāo)動(dòng)作。（4）command：為操作命令。中國(guó)水利水電出版社4.iptables中的常用命令（1）命令-A或--append：用于在指定鏈的末尾添加一條新規(guī)則。（2）命令-D或--delete：用于刪除規(guī)則。（3）命令-R或--replace：用于替換相應(yīng)位置的策略。（4）命令-I或--insert：用于在指定位置插入策略。（5）命令-L或--list：用于顯示當(dāng)前系統(tǒng)中正在運(yùn)行的策略。中國(guó)水利水電出版社任務(wù)12-1：保護(hù)服務(wù)器子網(wǎng)的防火墻規(guī)則1.任務(wù)描述圖為網(wǎng)絡(luò)防火墻的拓?fù)鋱D，Linux主機(jī)安裝了3張網(wǎng)卡。其中，eth0的IP地址是，它通過(guò)一臺(tái)網(wǎng)關(guān)設(shè)備與Internet連接；eth1的IP地址是，它與子網(wǎng)/24連接；eth2的IP地址是，它連接的子網(wǎng)是/24。中國(guó)水利水電出版社現(xiàn)假設(shè)/24子網(wǎng)里運(yùn)行的是為外界提供網(wǎng)絡(luò)服務(wù)的服務(wù)器，而/24子網(wǎng)里的計(jì)算機(jī)是用戶上網(wǎng)用的客戶機(jī)。（1）服務(wù)器采用默認(rèn)端口為外界提供了SSH、SMTP、DNS和HTTP服務(wù)，其它服務(wù)是拒絕外界訪問(wèn)的。（2）發(fā)現(xiàn)外界一臺(tái)IP地址為4的計(jì)算機(jī)對(duì)服務(wù)器子網(wǎng)有攻擊行為，防火墻要阻擋這些數(shù)據(jù)。（3）發(fā)現(xiàn)服務(wù)器子網(wǎng)發(fā)往IP地址為8主機(jī)的數(shù)據(jù)流量特別大，出現(xiàn)了異常，防火墻要限制其流量。（4）允許來(lái)自網(wǎng)卡eth2的數(shù)據(jù)包轉(zhuǎn)發(fā)到服務(wù)器子，但數(shù)據(jù)包的目的端口為1-1024、2049或32768，允許源地址為和的數(shù)據(jù)包通過(guò)。（5）拒絕其他不匹配的數(shù)據(jù)包。中國(guó)水利水電出版社2.操作步驟（1）安裝iptables。[root@localhost~]#rpm–ivh/mnt/Packages/iptables-1.4.7-9.el6.i686.rpm（2）設(shè)置從Internet訪問(wèn)服務(wù)器子網(wǎng)的規(guī)則。[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-ptcp-mmultiport--dport22，25，80-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-pudp--dport53-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-jDROP//丟棄其它數(shù)據(jù)包中國(guó)水利水電出版社（3）設(shè)置從eth2網(wǎng)卡所連接的內(nèi)網(wǎng)用戶到服務(wù)器子網(wǎng)的規(guī)則。[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-ptcp-mmultiport--dport1：1024，2049，32768-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-s-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-s-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-jDROP中國(guó)水利水電出版社（4）開(kāi)啟主機(jī)數(shù)據(jù)包轉(zhuǎn)發(fā)功能。[root@localhost~]#vi/etc/sysctl.confnet.ipv4.ip_forward=1[root@localhost~]#sysctl–p（5）保存iptables規(guī)則。[root@localhost~]#serviceiptablessave中國(guó)水利水電出版社12.4TCP_wrappers的使用方法數(shù)據(jù)封包進(jìn)入主機(jī)之前通過(guò)的第一道程序就是iptables，第二道程序就是TCP_Wrappers。TCP_Wrappers類似TCP包的檢驗(yàn)程序，也可以將他視為傳輸層的防火墻。中國(guó)水利水電出版社與TCP_wrappers有關(guān)的文件有兩個(gè)，分別為/etc/hosts.allow和/etc/hosts.deny。一般情況下/etc/hosts.allow文件中設(shè)置的服務(wù)是允許被訪問(wèn)的，而/etc/hosts.deny文件中設(shè)置的服務(wù)是拒絕訪問(wèn)的。當(dāng)有請(qǐng)求從遠(yuǎn)程到達(dá)本機(jī)時(shí)首先檢查/etc/hosts.allow文件。（1）如果有匹配記錄，跳過(guò)/etc/hosts.deny文件，此時(shí)默認(rèn)的訪問(wèn)規(guī)則以/etc/hosts.allow文件中設(shè)置的為準(zhǔn)。（2）如果沒(méi)有匹配的記錄，就去匹配