《網絡系統(tǒng)安全運行與維護》課件項目五 任務二 加強Linux系統(tǒng)DHCP服務的安全防御

項目五Linux服務器系統(tǒng)安全運行與維護項目主要內容：任務一

加強Linux系統(tǒng)DNS服務的安全防御任務二

加強Linux系統(tǒng)DHCP服務的安全防御任務三

加強Linux系統(tǒng)Web服務的安全防御任務四

加強Linux系統(tǒng)FTP服務的安全防御任務五

使用防火墻模塊提升Linux服務器的安全防御任務提出

為了便于分配和管理網絡中的IP地址，在網絡中部署DHCP服務器為子網中的主機動態(tài)分配IP地址。DHCP給網絡管理帶來很大的便利，但同時也帶來了很大的安全風險，比

如偽造DHCP、DHCPDoS攻擊以及IP地址沖突等。

為了保障網絡中的DHCP服務的安全，需要對DHCP服務器進行安全配置，具體配置任務如下：1.指定DHCP服務啟動接口

配置只啟動一個接口的DHCP服務，避免多網卡DHCP服務安全隱患。2.在chroot()環(huán)境下運行DHCP服務器

使DHCP服務運行在監(jiān)牢中，即使黑客破解了DHCP服務、獲得權限等，依然逃脫不了監(jiān)牢的束縛，只能對該目錄及其子目錄的文件進行操作，保證服務器其他服務和文件的安全。任務分析1.指定DHCP服務啟動接口

一般情況下，服務器擁有多塊網卡，啟用DHCP服務后，默認情況下，在所有接口上都會啟用DHCP服務，這樣會使DHCP服務面臨更多的安全隱患，因此要指定DHCP服務的啟動接口，限制DHCP服務的網絡接口。2.在chroot()環(huán)境下運行DHCP服務器

通過chroot機制可以更改某個軟件運行時所能看到的根目錄，即將某軟件運行限制在指定目錄中，保證該軟件只能對該目錄及其子目錄的文件有所動作，從而保證整個服務器的安全，這樣即使被破壞或被侵入，所受的損失會比較小。任務實施1.指定DHCP服務啟動接口

操作步驟如下：

步驟1實驗準備階段，根據項目一中任務二知識點，在VMwareWorkstation中部署兩臺RedHatEnterpriseLinux6.4系統(tǒng)虛擬機server和PC，兩個虛擬機的IP地址規(guī)劃如表所示，并將兩臺虛擬機實現網絡連通。設備名稱設備角色操作系統(tǒng)IP地址serverDHCP服務器RedHatLinux6.4/24PC客戶端RedHatLinux6.4DHCP自動獲取步驟2在server上安裝DHCP服務。步驟3配置DHCP服務。①啟動DHCP服務。

由于DHCP服務中，缺少配置信息，打開/etc/dhcp/dhcpd.conf配置文件，可以發(fā)現，文件中沒有配置內容。所以在啟動DHCP時失敗，需要進一步的配置。[root@linuxA桌面]#mount/dev/cdrom/mnt/cdrom[root@linuxA桌面]#yumlist|grepdhcpdhcp-common.x86_6412:4.2.5-58.el7@anaconda/7.4dhcp-libs.x86_6412:4.2.5-58.el7@anaconda/7.4dhcp.x86_6412:4.2.5-58.el7dvddhcp-libs.i68612:4.2.5-58.el7dvd[root@linuxA桌面]#yum-yinstalldhcp[root@localhost~]#systemctlstartdhcpdJobfordhcpd.servicefailedbecausethecontrolprocessexitedwitherrorcode.See"systemctlstatusdhcpd.service"and"journalctl-xe"fordetails.②復制DHCP配置文件。③修改DHCP配置文件。[root@linuxA桌面]#cp/usr/share/doc/dhcp*/dhcpd.conf.example/etc/dhcp/dhcpd.confcp：是否覆蓋"/etc/dhcpd.conf"？yes[root@linuxA桌面]#vim/etc/dhcp/dhcpd.conf……subnetnetmask{range00;optiondomain-name-servers;optiondomain-name"";optionrouters54;optionbroadcast-address55;default-lease-time600;max-lease-time7200;}……④重新啟動DHCP服務。⑤配置PC自動獲得IP地址。a.首先修改PC的網卡配置，將IP地址獲取方式修改為DHCP。b.然后將PC的網卡重新啟動。[root@localhostdhcp-4.2.5]#systemctlstartdhcpd[root@linuxB桌面]#vim/etc/sysconfig/network-scripts/ifcfg-ens33DEVICE=eth0HWADDR=00:0C:29:8C:17:0BTYPE=EthernetUUID=9951f54b-aa73-4de7-bc6d-7a209cc0355cONBOOT=yesNM_CONTROLLED=yesBOOTPROTO=DHCP[root@localhostnamed]#systemctlrestartnetworkc.查看PC的IP地址。

可以看出，PC已經從DHCP服務器獲得了IP地址池中的第一個IP地址、廣播地址、子網掩碼。[root@linuxB桌面]#ifconfigeth0Linkencap:EthernetHWaddr00:0C:29:8C:17:0B

inetaddr:0Bcast:55Mask:inet6addr:fe80::20c:29ff:fe8c:170b/64Scope:LinkUPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1RXpackets:7480errors:0dropped:0overruns:0frame:0TXpackets:3346errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:858183(838.0KiB)TXbytes:266002(259.7KiB)

步驟4設置DHCP服務的網絡接口。

如果系統(tǒng)中DHCP服務器存在多個網絡接口，但是只想在其中一個網絡接口啟動DHCP服務，可以配置只啟動一個接口的DHCP服務。

在/etc/sysconfig/dhcpd中，把指定的DHCP服務器的網絡接口添加到DHCPARGS的列表中。或者直接使用命令：[root@linuxAdhcp]#vim/etc/sysconfig/dhcpdDHCPDARGS=ens33[root@linuxAdhcp]#echo“DHCPDARGS=ens33”>>/etc/sysconfig/dhcpd2.在chroot()環(huán)境下運行DHCP服務器

步驟5在chroot()環(huán)境下運行DHCP服務。

將軟件運行時需要的所有程序、配置文件和庫文件都事先安裝到chroot目錄中，通常稱這個目錄為chrootjail(chroot“監(jiān)牢”)。如果要在“監(jiān)牢”中運行dhcpd，就需要事先創(chuàng)建目錄，并將dhcpd復制到其中。

通常dhcpd需要幾個庫文件，可以使用ldd(librarydependencydisplay)命令查詢。ldd本身不是一個程序，只是一個shell腳本，它可以列出一個程序所需要的動態(tài)鏈接庫。[root@linuxAdhcp]#ldd/usr/sbin/dhcpdlinux-vdso.so.1=>(0x00007ffefe28a000) libomapi.so.0=>/lib64/libomapi.so.0(0x00007f5e8a3cf000) libdhcpctl.so.0=>/lib64/libdhcpctl.so.0(0x00007f5e8a1c9000) libdns-export.so.100=>/lib64/libdns-export.so.100(0x00007f5e89e82000) libisc-export.so.95=>/lib64/libisc-export.so.95(0x00007f5e89c29000) libsystemd-daemon.so.0=>/lib64/libsystemd-daemon.so.0(0x00007f5e89c22000) liblber-2.4.so.2=>/lib64/liblber-2.4.so.2(0x00007f5e89a12000) libldap-2.4.so.2=>/lib64/libldap-2.4.so.2(0x00007f5e897be000) libc.so.6=>/lib64/libc.so.6(0x00007f5e893fb000) libgssapi_krb5.so.2=>/lib64/libgssapi_krb5.so.2(0x00007f5e891ad000) libkrb5.so.3=>/lib64/libkrb5.so.3(0x00007f5e88ec5000) libk5crypto.so.3=>/lib64/libk5crypto.so.3(0x00007f5e88c92000) libcom_err.so.2=>/lib64/libcom_err.so.2(0x00007f5e88a8d000) libcrypto.so.10=>/lib64/libcrypto.so.10(0x00007f5e8862c000) libcap.so.2=>/lib64/libcap.so.2(0x00007f5e88427000) libpthread.so.0=>/lib64/libpthread.so.0(0x00007f5e8820a000) libGeoIP.so.1=>/lib64/libGeoIP.so.1(0x00007f5e87fda000)……

從ldd查詢結果可以看出，DHCP服務執(zhí)行所需要的共享庫在lib64文件夾下，因此我們還需要在“監(jiān)牢”中創(chuàng)建lib64目錄，并將庫文件復制到其中。手工完成這一工作非常麻煩，可以用jail軟件包來幫助簡化chroot“監(jiān)牢”的建立過程。

（1）jail軟件的編譯和安裝。①下載jail源程序。

從/static/dwn/projects/jail/jail.tar.gz可以下載到jail的最新版本，它是由位于/projects/jail/的jailchroot項目小組開發(fā)的。該軟件包包含了幫助自動創(chuàng)建chroot“監(jiān)牢”的C程序、Perl程序和Bash腳本。

在虛擬機連接互聯網的情況下，可以使用命令wget/static/dwn/projects/jail/jail.tar.gz下載jail源程序。②解壓軟件包。將jail.tar.gz文件放在根目錄下的/tmp文件夾中。[root@linuxA桌面]#cd~[root@linuxA~]#lsanaconda-ks.cfginstall.log.syslog公共的

視頻

文檔

音樂install.logjail_1.9a.tar.gz模板

圖片

下載

桌面[root@linuxA~]#tar-xzvfjail_1.9a.tar.gzjail/jail/CVS/jail/CVS/Rootjail/CVS/Repositoryjail/CVS/Entries……jail/jail.cjail/mkenv.shjail/INSTALL注意：如果tar解壓時失敗，查看壓縮文件是不是受損，大小和原文件大小是否一致，若受損，需要更新VMtools，更新后重啟，然后yum–yinstallgcc安裝gcc，否則在make時提示gcc命令未找到。③編輯源程序。[root@linuxA~]#cdjail/src[root@linuxAsrc]#makegcc-Wall-g-D__LINUX__-DDEBUG=0-I.-cgeneric_helpers.c-ogeneric_helpers.ogcc-Wall-g-D__LINUX__-DDEBUG=0-I.-cpasswd_helpers.c-opasswd_helpers.ogcc-Wall-g-D__LINUX__-DDEBUG=0-I.-cterminal_helpers.c-oterminal_helpers.ogcc-Wall-g-D__LINUX__-DDEBUG=0-I.jail.c-ojailgeneric_helpers.opasswd_helpers.oterminal_helpers.o&&\ cpjail../bin④安裝jail。（2）用jail創(chuàng)建監(jiān)牢。jail軟件包提供了幾個Perl腳本作為其核心命令，包括mkjailenv、addjailuser和addjailsw。a.mkjailenv：創(chuàng)建chroot“監(jiān)牢”，并將軟件文件從原來文件系統(tǒng)中復制到監(jiān)牢中。b.addjailsw：從原來文件系統(tǒng)中復制二進制可執(zhí)行文件及其相關的其他文件（包括庫文件、輔助性文件和設備文件）到該“監(jiān)牢”中。c.addjailuser：創(chuàng)建新的chroot“監(jiān)牢”用戶。①停止當前的dhcpd服務。[root@linuxAsrc]#makeinstall[root@linuxA~]#systemctlstopdhcpd[root@linuxA~]#mkjailenv/chrootmkjailenvAcomponentofJail(version1.9forlinux)http://www.gsyc.inf.uc3m.es/~assman/jail/JuanM.Casillas<assman@gsyc.inf.uc3m.es>Makingchrootedenvironmentinto/chroot Doingpreinstall() Doingspecial_devices() Doinggen_template_password() Doingpostinstall()Done.[root@linuxA~]#addjailsw/chroot/-P/usr/sbin/dhcpdaddjailswAcomponentofJail(version1.9forlinux)http://www.gsyc.inf.uc3m.es/~assman/jail/JuanM.Casillas<assman@gsyc.inf.uc3m.es>Guessing/usr/sbin/dhcpdargs(0)/bin/mknod:"/chroot//dev/null":文件已存在Done.②建立chroot目錄[root@linuxA~]#mkdir-p/chroot/dhcp/etc[root@linuxA~]#cp/etc/dhcp/dhcpd.conf/chroot/dhcp/etc[root@linuxA~]#mkdir-p/chroot/dhcp/var/state/dhcp[root@linuxA~]#touch/chroot/dhcp/var/state/dhcp/dhcp.leases③將dhcpd的相關文件復制到“監(jiān)牢”中。[root@linuxA~]#/chroot/usr/sbin/dhcpdInternetSystemsConsortiumDHCPServer4.2.5Copyright2004-2013InternetSystemsConsortium.Allrightsreserved.Forinfo,pleasevisit/software/dhcp/NotsearchingLDAPsinceldap-server,ldap-portandldap-base-dnwerenotspecifiedintheconfigfileWrote0classdeclstoleasesfile.Wrote0deletedhostdeclstoleasesfile.Wrote0newdynamichostdeclstoleasesfile.Wrote1leasestoleas