《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目四 任務(wù)一 加強(qiáng)Linux主機(jī)安全訪問權(quán)限

項(xiàng)目四Linux桌面系統(tǒng)安全運(yùn)行與維護(hù)【項(xiàng)目描述】Linux操作系統(tǒng)因其自身的開放、免費(fèi)、多用戶、多任務(wù)、安全等特點(diǎn)，在企業(yè)網(wǎng)絡(luò)中經(jīng)常使用。即使這樣，對于企業(yè)網(wǎng)絡(luò)來說，網(wǎng)絡(luò)內(nèi)部共享資源、互聯(lián)互通過程中如果不注意網(wǎng)絡(luò)安全，內(nèi)部用戶缺乏安全意識(shí)情況下，也會(huì)給企業(yè)網(wǎng)絡(luò)代理安全隱患，造成巨大損失。

本項(xiàng)目主要針對Linux桌面系統(tǒng)部署安全策略，從用戶登錄、網(wǎng)絡(luò)訪問、文件系統(tǒng)、安全審計(jì)方面出發(fā)增強(qiáng)Linux操作系統(tǒng)的安全性。某些用戶對計(jì)算機(jī)安全知識(shí)不太了解，經(jīng)常會(huì)使用root用戶登錄，長時(shí)間使用同一個(gè)系統(tǒng)口令登錄系統(tǒng)，給系統(tǒng)帶來安全隱患。而有些用戶不習(xí)慣使用Linux操作系統(tǒng)，還在自己的計(jì)算機(jī)上安裝了Windows操作系統(tǒng)，經(jīng)常使用兩個(gè)操作系統(tǒng)引導(dǎo)，雙系統(tǒng)的引導(dǎo)會(huì)使本地計(jì)算機(jī)的安全隱患增加。此外還有一些用戶經(jīng)常使用遠(yuǎn)程登錄方式，與其他計(jì)算機(jī)進(jìn)行互操作，這都給辦公網(wǎng)絡(luò)中的敏感數(shù)據(jù)帶來安全隱患。為了保證局域網(wǎng)的安全，要采取以下安全措施實(shí)施辦公網(wǎng)絡(luò)安全防護(hù)。任務(wù)一加強(qiáng)Linux主機(jī)安全訪問權(quán)限任務(wù)二加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制任務(wù)三加強(qiáng)Linux文件系統(tǒng)訪問安全任務(wù)四使用安全審計(jì)加強(qiáng)Linux主機(jī)的安全維護(hù)【學(xué)習(xí)目標(biāo)】能夠在Linux系統(tǒng)中加強(qiáng)系統(tǒng)口令能夠設(shè)置Linux系統(tǒng)中用戶訪問網(wǎng)絡(luò)的權(quán)限會(huì)在Linux系統(tǒng)中安全配置NFS服務(wù)會(huì)在Linux系統(tǒng)中安全配置Samba服務(wù)會(huì)在Linux系統(tǒng)中使用安全審計(jì)工具項(xiàng)目四Linux桌面系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一加強(qiáng)Linux主機(jī)安全訪問權(quán)限任務(wù)二加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制任務(wù)三加強(qiáng)Linux文件系統(tǒng)訪問安全任務(wù)四使用安全審計(jì)加強(qiáng)Linux主機(jī)的安全維護(hù)任務(wù)提出

在Linux系統(tǒng)網(wǎng)絡(luò)中，通過GRUB技術(shù)提供的用戶口令保護(hù)功能，結(jié)合口令安全技術(shù)和口令老化設(shè)置，防止網(wǎng)內(nèi)用戶安裝雙系統(tǒng)引導(dǎo)中造成信息泄密，以及長時(shí)間只使用一個(gè)口令帶來的系統(tǒng)風(fēng)險(xiǎn)。為了保障服務(wù)器的安全，防止黒客采用字典、暴力破解等方式入侵服務(wù)器主機(jī)，需要修改口令的老化時(shí)間，增強(qiáng)系統(tǒng)的安全性。這樣即使網(wǎng)內(nèi)的用戶安全意識(shí)較差，也能保障局域網(wǎng)的數(shù)據(jù)安全，增強(qiáng)局域網(wǎng)內(nèi)主機(jī)安全防御能力。1.用口令保護(hù)GRUB通過在Linux系統(tǒng)中測試不設(shè)置GRUB口令存在的安全隱患，然后為GRUB設(shè)置口令，測試啟動(dòng)系統(tǒng)時(shí)必須輸入GRUB口令才可以啟動(dòng)。2.設(shè)置口令安全為Linux上的用戶設(shè)置口令，設(shè)置屏蔽口令，在影子文件中查看影子口令。3.設(shè)置口令老化設(shè)置Linux中用戶的口令長度、老化時(shí)間，并進(jìn)行測試。任務(wù)分析1.用口令保護(hù)GRUBGRUB（GrandUnifiedBootloader，大統(tǒng)一引導(dǎo)程序），是一個(gè)來自GNU項(xiàng)目的多操作系統(tǒng)啟動(dòng)程序。GRUB是多啟動(dòng)規(guī)范的實(shí)現(xiàn)，它允許用戶可以在計(jì)算機(jī)內(nèi)同時(shí)擁有多個(gè)操作系統(tǒng)，并在計(jì)算機(jī)啟動(dòng)時(shí)選擇想要運(yùn)行的操作系統(tǒng)。GRUB可用于選擇操作系統(tǒng)分區(qū)上的不同內(nèi)核，也可用于向這些內(nèi)核傳遞啟動(dòng)參數(shù)。

通過設(shè)置GRUB口令，可以達(dá)到以下安全效果：

①防止進(jìn)入單用戶模式。如果攻擊者能夠引導(dǎo)進(jìn)入單用戶模式，就可以在不輸入口令的情況下成為根用戶。

②防止進(jìn)入GRUB控制臺(tái)。如果計(jì)算機(jī)使用GRUB作為引導(dǎo)裝載程序，攻擊者可以使用GRUB編輯界面來改變它的配置或使用cat命令來收集信息。

③防止進(jìn)入非安全的操作系統(tǒng)。如果它是雙引導(dǎo)系統(tǒng)，攻擊者可以在引導(dǎo)時(shí)選擇操作系統(tǒng)，例如DOS，它會(huì)忽略存取控制的文件權(quán)限。2.設(shè)置口令安全

口令是Linux用來校驗(yàn)用戶身份的首要方法，保護(hù)口令的安全對于用戶、工作站及整個(gè)網(wǎng)絡(luò)來說都是極其重要的。

屏蔽口令通過把口令散列值保存在/etc/shadow文件中，使系統(tǒng)免遭黑客攻擊。因?yàn)樵撐募荒鼙桓脩糇x取，網(wǎng)絡(luò)中的攻擊者只能通過使用計(jì)算機(jī)上的SSH或FTP服務(wù)進(jìn)行遠(yuǎn)程口令破譯。這類破譯非常緩慢，并且會(huì)留下明顯的蹤跡，系統(tǒng)文件中會(huì)記錄上百次失敗的登錄嘗試。

如果在安裝中沒有選擇屏蔽口令，所有的口令就會(huì)作為單向散列值被保存在全局可讀的/etc/passwd文件中，這使系統(tǒng)非常容易受到離線口令破譯攻擊。入侵者通過普通用戶方式登錄計(jì)算機(jī)，把/etc/passwd文件復(fù)制到自己的計(jì)算機(jī)上，就可以運(yùn)行各種破譯程序來破解口令。Linux系統(tǒng)屏蔽口令的方式有消息摘要算法（MessageDigestAlgorithm，MD5)和數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES)兩種方式，為了保障安全性，一般采用MD5口令，可以支持15個(gè)字符長的密碼，支持字母、數(shù)字、特殊字符等密碼設(shè)置方式。如果安裝時(shí)沒有選擇使用MD5口令，可以使用傳統(tǒng)的DES，該格式把口令限定為8個(gè)字母數(shù)字字符（不允許使用標(biāo)點(diǎn)和其他特殊字符)，并且提供了普通的56位級(jí)別的加密。3.設(shè)置口令老化

口令老化是系統(tǒng)管理員用來防止使用不良口令的另一種技術(shù)?？诹罾匣馕吨^了預(yù)先設(shè)定的時(shí)間（通常是90天）后，用戶會(huì)被提示設(shè)置一個(gè)新口令。

為了保障系統(tǒng)安全，需要設(shè)置不易破解的口令，口令的設(shè)置需要遵循以下原則。

①口令長度至少為8個(gè)字符?？诹钤介L越好。若使用MD5口令，它應(yīng)該至少有15個(gè)字符。若使用DES口令，使用最大長度（8個(gè)字符)。

②大小寫字母混用。Linux區(qū)分大小寫，因此混用大小寫會(huì)增強(qiáng)口令的健壯性。

③字母和數(shù)字混用。在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強(qiáng)口令的健壯性。

④包括字母和數(shù)字以外的字符。&、$和>之類的特殊字符可以極大地增強(qiáng)口令的健壯性（若使用DES口令，則不能使用此類字符）。

⑤挑選一個(gè)可以記住的口令。如果記不住口令，那么它再好也沒有用，可以使用簡寫或其他記憶方法來幫助記憶口令。任務(wù)實(shí)施1.用口令保護(hù)GRUB操作步驟如下：步驟1：實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)二知識(shí)點(diǎn)，在VMwareWorkstation中部署一臺(tái)RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)PC，PC的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址PC計(jì)算機(jī)RedHatLinux6.40/24步驟2：用口令保護(hù)GRUB第1步：測試不設(shè)置GRUB口令的隱患①啟動(dòng)系統(tǒng)，進(jìn)入grub界面，如圖1所示。圖1②選擇第一項(xiàng)，按e鍵，進(jìn)入GRUB編輯界面，如圖2所示。圖2③在圖2所示界面，按電腦鍵盤上的向下箭頭，滾動(dòng)內(nèi)容，會(huì)出現(xiàn)linux16開頭的行，如圖3所示。圖3④在linux16開頭的地方，按“end”鍵到該段的最后，如圖4所示。⑤在圖4中輸入rd.break，如圖5所示。圖5⑥在圖5中，按ctrl+x進(jìn)入單用戶模式，如圖6所示。圖6（7）在switch_root提示符后輸入以下命令，如圖7所示。注意：在passwd后，當(dāng)光標(biāo)停下的時(shí)候，即沒有白色塊出現(xiàn)的時(shí)候，輸入密碼，再次停下的時(shí)候，重新輸入密碼，輸入的密碼不會(huì)顯示。圖7若使用reboot命令無法重啟時(shí)，可以在Vmware上進(jìn)行重啟。重啟后，新設(shè)置的密碼生效。（8）通過以上操作，可以知道，系統(tǒng)存在被攻擊者修改root用戶口令及獲取root用戶權(quán)限的安全隱患，所以需要配置GRUB口令來保護(hù)系統(tǒng)口令。⑥

第2步：設(shè)置GRUB口令①登錄系統(tǒng)，備份grub.cfg和10_linux文件，如下所示。[root@localhost~]#cd/boot/grub2[root@localhostgrub2]#lsdevice.mapfontsgrub.cfggrubenvi386-pclocale[root@localhostgrub2]#cpgrub.cfggrub.cfg.backup[root@localhostgrub2]#cd/etc/grub.d[root@localhostgrub.d]#ls00_header01_users20_linux_xen30_os-prober41_custom00_tuned10_linux20_ppc_terminfo40_customREADME[root@localhostgrub.d]#cp10_linux10_linux.backup②終端中輸入以下命令以生成grub加密密碼。[root@localhostgrub.d]#grub2-mkpasswd-pbkdf2輸入口令：Reenterpassword:PBKDF2hashofyourpasswordisgrub.pbkdf2.sha512.10000.DF3FC205786852EEDC8C87CBE425758280D7298882055B01CA3BCC4DA44624BFD7027E6FCBF32DB46DD2BBBF354793E9C1F0B11B70237E3B7798C30B06717F54.95277B9A5B4CB965A9F80C572B2CD935A75780413DF484B74099EC81526BA56118F4495D2127D0834E8204ADE910D83C72951A0BE8D4272F2265DAE8D2773159

③生成Grub加密密碼后，打開“/etc/grub.d/10_linux”文件，并將以下行添加到文件末尾。[root@linuxA桌面]#vim/etc/grub.d/10_linux（4）然后按G鍵到達(dá)“/etc/grub.d/10_linux”文件的最后一行，按下字母i或插入鍵并將下面內(nèi)容粘貼到最后行，即在文件末尾添加以下行：cat<<EOFsetsuperusers=”Koromicha”Password_pbkdf2Koromicha'PasteGenerated_encrypted_password'EOF將Koromicha替換為要在grub菜單上使用的用戶名以進(jìn)行登錄。如下所示：（5）重新編譯生成grub.cfg文件。[root@localhost~]#grub2-mkconfig-o/boot/grub2/grub.cfgGeneratinggrubconfigurationfile...Foundlinuximage:/boot/vmlinuz-3.10.0-693.el7.x86_64Foundinitrdimage:/boot/initramfs-3.10.0-693.el7.x86_64.imgFoundlinuximage:/boot/vmlinuz-0-rescue-15df3328e4f241b5a8b26346d67aca18Foundinitrdimage:/boot/initramfs-0-rescue-15df3328e4f241b5a8b26346d67aca18.imgFoundlinuximage:/boot/vmlinuz-3.10.0-693.el7.x86_64Foundinitrdimage:/boot/initramfs-3.10.0-693.el7.x86_64.imgFoundlinuximage:/boot/vmlinuz-0-rescue-15df3328e4f241b5a8b26346d67aca18Foundinitrdimage:/boot/initramfs-0-rescue-15df3328e4f241b5a8b26346d67aca18.imgdone

第3步：驗(yàn)證測試。①重新啟動(dòng)計(jì)算機(jī)，在GRUB界面，按E鍵，提示輸入用戶名，如圖所示。（2）輸入root帳戶的用戶名和密碼，按下enter鍵，系統(tǒng)正常啟動(dòng)。2.設(shè)置口令安全步驟3

口令安全Linux中廣泛采用影子機(jī)制來加強(qiáng)密碼安全性,影子口令一般為兩部分：密碼文件+影子密碼文件，redhat中的文件/etc/passwd是默認(rèn)全部用戶可讀的，因?yàn)榧用芩惴ㄊ枪_的，密碼可能會(huì)被人惡意窮舉破解。

而/etc/shadow文件正如其名字一樣，它是passwd文件的一個(gè)影子，/etc/shadow文件中的記錄行與/etc/passwd中的一一對應(yīng)，它由pwconv命令根據(jù)/etc/passwd中的數(shù)據(jù)自動(dòng)產(chǎn)生。影子機(jī)制可以將/etc/passwd上的密文區(qū)域上的密文轉(zhuǎn)移到默認(rèn)只有root可讀的/etc/shadow中，/etc/passwd原本密文區(qū)域上的內(nèi)容就會(huì)變?yōu)橐粋€(gè)x，并且只有系統(tǒng)管理員才能夠進(jìn)行修改和查看。第1步：查看用戶口令文件①創(chuàng)建用戶user1并設(shè)置口令[root@linuxA桌面]#useradduser1[root@linuxA桌面]#passwduser1②查看userl的口令文件/etc/passwd和/etc/shadow[root@linuxA桌面]#cat/etc/passwd|grepuser1user1:x:501:501::/home/user1:/bin/bash[root@linuxA桌面]#cat/etc/shadow|grepuser1user1:$6$dbIuakMG$MdHpvUg6gxhE.icZDXwKmUkC0xxNGqSDh6ZXuTHH/L01jp2yIXnERc9ogMa2pKDtc1pQlaP8Cyt/DGSWfcFsQ.:17996:0:99999:7:::第2步：查看用戶對口令文件的訪問權(quán)限①比較文件/etc/passwd和/etc/shadow的權(quán)限[root@linuxA~]#ll/etc/passwd-rw-r--r--.1rootroot16614月1106:30/etc/passwd[root@linuxB~]#ll/etc/shadow----------.1rootroot10684月1106:30/etc/shadow

從結(jié)果可以看出普通用戶可以直接讀取passwd文件，而不能讀取shadow文件，shadow文件使得口令保護(hù)更加安全。②關(guān)閉影子口令

在Redhat6中，默認(rèn)已經(jīng)開啟了影子口令，如果需要關(guān)閉影子口令，可以使用如下命令：[root@linuxA~]#pwunconv③啟用影子口令[root@linuxA~]#pwconv3.設(shè)置口令老化

步驟4

口令老化

第1步：口令安全要求①最短口令長度要求

Linux系統(tǒng)默認(rèn)最短口令長度為5個(gè)字符，這個(gè)長度不足以保證口令的健壯性，應(yīng)該改為最短8個(gè)字符。

②口令老化時(shí)間

修改口令的最大有效時(shí)限為90天，密碼最小修改時(shí)間為0，密碼的最短長度為8，并且在前7天提醒用戶修改密碼。在Linux系統(tǒng)中可以通過多種方式來實(shí)現(xiàn)該配置。第2步：修改和測試配置①修改配置文件[root@linuxA~]#vim/etc/login.defs……#PASS_WARN_AGENumberofdayswarninggivenbeforeapasswordexpires.#PASS_MAX_DAYS90#密碼最大有效時(shí)限PASS_MIN_DAYS0#密碼最小修改時(shí)間PASS_MIN_LEN8#密碼的最短長度PASS_WARN_AGE7#提醒修改密碼的時(shí)間##Min/maxvaluesforautomaticuidselectioninuseradd……②創(chuàng)建用戶user2③查看用戶user2的口令老化時(shí)間[root@linuxA~]#useradduser2[root@linuxA~]#chage-luser2Lastpasswordchange:Apr11,2019Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:-1Maximumnumberofdaysbetweenpasswordchange:-1Numberofdaysofwarningbeforepasswordexpires:-1……

第3步：修改原有用戶的口令老化時(shí)間

通過修改配置文件來實(shí)現(xiàn)口令老化功能，只對將來創(chuàng)建的用戶生效，對已創(chuàng)建的用戶可以使用chage命令修改老化時(shí)間。

①查看用戶user1的口令老化時(shí)間[root@linuxA~]#chage-luser1Lastpasswordchange:Apr11,2019Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:0Maximumnumberofdaysbetweenpasswordchange:99999Numberofdaysofwarningbeforepasswordexpires:7……[root@linuxA~]#chageUsage:chage[options][LOGIN]Options:-d,--lastdayLAST_DAYsetdateoflastpasswordchangetoLAST_DAY-E,--expiredateEXPIRE_DATEsetaccountexpirationdatetoEXPIRE_DATE-h,--helpdisplaythishelpmessageandexit-I,--inactiveINACTIVEsetpasswordinactiveafterexpirationtoINACTIVE-l,--list