linux網關及安全應用-第1章(系統(tǒng)安全常規(guī)優(yōu)化)理論課教案-焦可偉

《linux網關及安全應用》理論課教案第1章（系統(tǒng)安全常規(guī)優(yōu)化)《linux網關及安全應用》理論課教案 1一. 課程目標 1二. 課程結構 1三.本章工作任務(問題列表) 2四.本章技能目標 2五.本章重點難點 25.1課程重點 25.2課程難點 2六.整章授課思路[100分鐘] 36.1本章授課思路： 36.2預習檢查、任務、目標部分[10分鐘] 36.3技能點講解[80分鐘] 36.4總結[6分鐘]采用提問方式，注意引導學員回答重點即可！ 7七.布置作業(yè)：[4分鐘] 77.1本章作業(yè) 77.2作業(yè)的提交方式與要求 77.3課后習題答案 7八．習題 8課時：2學時授課人：焦可偉課程目標針對Linux服務器操作系統(tǒng)進行常規(guī)安全加固通過部署防火墻、代理等應用構建Linux網關系統(tǒng)檢測服務器的安全漏洞，實施遠程訪問控制監(jiān)測服務器運行性能、局域網主機的網絡流量課程結構第一部分第二部分第三部分優(yōu)化服務器系統(tǒng)安全用戶帳號安全管理、文件及文件系統(tǒng)權限安全、進程/程序安全的使用、系統(tǒng)引導和終端登錄安全構建Linux網關iptables防火墻的過濾策略、網關應用策略、squid代理服務器及用戶上網控制網絡安全應用與監(jiān)測常用掃描和嗅探工具的使用、服務器漏洞檢測、遠程登錄管理及訪問控制、監(jiān)控服務器性能和流量、監(jiān)控局域網流量第1章第2～4章第5～6章三.本章工作任務(問題列表)1、 在Linux系統(tǒng)中，為了保證用戶賬號密碼的持續(xù)安全性，如何設置可以強制用戶定期更新密碼？2、 在Linux系統(tǒng)中，如何設置可以強制用戶下次登錄必須更改密碼？3、 如何限制Linux系統(tǒng)用戶密碼的最小長度？4、 管理員希望在每次注銷登錄后，系統(tǒng)能自動刪除命令歷史記錄，應如何實現？5、 公司希望指定的幾個用戶可以通過su命令切換到root用戶身份，以便執(zhí)行管理任務，同時要防止其他無關用戶使用su切換為root，應如何配置實現？6、 Linux服務器管理員為減少工作量，希望把創(chuàng)建、刪除及更改用戶的權限下放給Account用戶組的成員，如何設置才能使Account用戶組的一個普通用戶賬號能執(zhí)行創(chuàng)建、刪除及更改用戶的命令？7、 如何使用戶郵箱所在分區(qū)上的可執(zhí)行文件失效，以避免運行病毒、木馬等執(zhí)行程序的風險？8、 管理員希望將一些靜態(tài)的系統(tǒng)配置文件通過i節(jié)點鎖定的方式加以保護，應如何實現，需要更新對應文件時，如何解除鎖定？9、 管理員使用useradd命令添加新用戶時，系統(tǒng)提示”useradd：無法打開密碼文件”，應如何解決？10、 一些特殊執(zhí)行程序若被設置了set_uid位等權限，將會給系統(tǒng)帶來很大的風險，如何快速找出系統(tǒng)中設置了指定權限位的文件？11、 在Linux命令行終端，可以按ctrl+alt+del組合鍵重啟系統(tǒng)，如何能禁用該項功能？12、 Linux放在公用機房內或公用辦公室內，非授權用戶可以接觸到，如何防止無關人員通過單用戶模式更改root密碼？13、 如何為GRUB設置密碼以加強服務器系統(tǒng)的安全性？14、 如何禁止Linux系統(tǒng)中的所有普通用戶登錄系統(tǒng)?15、 如何隱藏Linux系統(tǒng)登錄界面的系統(tǒng)版本信息，以降低安全風險？四.本章技能目標會加強用戶帳號安全的常見措施會加強文件系統(tǒng)安全的常見措施會加強系統(tǒng)引導和登錄安全的常見措施五.本章重點難點5.1課程重點用戶賬戶安全優(yōu)化文件和文件系統(tǒng)安全優(yōu)化5.2課程難點配置sudo權限切換使用pam_access控制用戶登錄地點(強調：這個知識點即是重點也是難點，需要在課上強調)六.整章授課思路[100分鐘]6.1本章授課思路： 簡述服務器系統(tǒng)安全時，應著力培養(yǎng)學員的安全意識。如：可以以安全領域的”木桶法則”為例(木桶能盛水多少，取決于最短的那塊木板，而不是最長的那塊)。 給學員強調安全的信息系統(tǒng)必然是全方位、多角度的安全強化，任何一個環(huán)節(jié)的弱點、漏洞都可能導致整個信息系統(tǒng)不堪一擊，絕對的安全時不存在的。 本章內容可以分別從用戶賬戶、文件系統(tǒng)、引導和登錄三個方面進行講解，重點和難點內容應先講解其作用，然后再做演示。著重講解和演示的至少應包括以下內容：Su切換用戶，sudo配置Mount的noexec選項、使用chattr鎖定文件查找設置了suid位的文件Ntsysv優(yōu)化系統(tǒng)服務設置grub加密密碼使用pam_access控制用戶登錄6.2預習檢查、任務、目標部分[10分鐘]1)預習檢查：(2分鐘)2）技能目標講解：(4分鐘)3)課程結構：(4分鐘)6.3技能點講解[80分鐘]1) 用戶賬戶安全優(yōu)化[20分鐘]a) 引入：通過一個基本用戶賬戶的創(chuàng)建，來說明用戶賬戶的一些安全隱患，引出要進行講解的賬號安全基本措施。b) 講解要點：帳號安全基本措施：2) 使用su、sudo控制用戶賬戶權限[30分鐘]a) 引入：簡單介紹切換用戶身份的應用場合，引出su命令并介紹其用途、命令格式。b) 講解要點：su命令用途：SubstituteUser，切換為新的替換用戶身份格式：su[-][用戶名]Sudo機制指出su命令切換用戶身份時的局限性（需要知道目標用戶的密碼），引出sudo命令并講解其用途，介紹命令的基本使用格式要想正常使用sudo命令，需要有目標用戶的授權（由管理員設置），就好比交通協警需要獲得交通局的授權才能在街上協助指揮交通、房屋中介需要獲得業(yè)主授權才能替顧客出售房子一樣用途：以可替換的其他用戶身份執(zhí)行命令，若未指定目標用戶，默認將視為root用戶格式：sudo[-u用戶名]命令操作配置文件：/etc/sudoers授權哪些用戶可以通過sudo方式執(zhí)行哪些命令以下2種方法都可以編輯sudoers文件visudovi/etc/sudoers在sudoers文件中的基本配置格式：用戶主機名列表=命令程序列表為sudo配置項定義別名：關鍵字：User_Alias、Host_Alias、Cmnd_Alias在sudo配置行中，可以調用已經定義的別名c) 課堂案例：案例一：需求描述：允許用戶mikey通過sudo執(zhí)行/sbin、/usr/bin目錄下的所有命令，但是禁止調用ifconfig、vim命令授權wheel組的用戶不需驗證密碼即可執(zhí)行所有命令為sudo機制增加日志功能案例二：需求描述：設立組帳號“managers”，授權組內的各成員用戶可以添加、刪除、更改用戶帳號d)小結采用提問方式，注意引導學員回答重點即可！如何使系統(tǒng)用戶定期（如3個月）修改密碼？使用su命令時，是否帶“-”選項有何區(qū)別？sudo配置記錄的基本格式是什么？如何通過sudo調用被授權執(zhí)行的命令？3) 文件和文件系統(tǒng)安全優(yōu)化[20分鐘]a) 引入：講解作為服務器使用時的Linux系統(tǒng)分區(qū)規(guī)劃。b) 講解要點：合理規(guī)劃系統(tǒng)分區(qū)/boot、/home、/var、/opt等建議單獨分區(qū)文件系統(tǒng)（分區(qū)）的掛載選項mount命令的-onosuid、-onoexec選項鎖定文件的i節(jié)點chattr命令、lsattr命令去除程序文件中非必需的set位權限setuid、setgid的用途？有何隱患？如何找出設置了set位權限的文件?c) 課堂案例：案例一：需求描述監(jiān)控系統(tǒng)中新增了哪些使用set位權限的文件4) 為系統(tǒng)引導和登錄提供安全加固[30分鐘]a) 引入：講解linux系統(tǒng)引導過程，簡單介紹開關機安全的基本措施，BIOS設置、禁用重啟熱鍵的操作可以進行演示。b) 講解要點：開關機安全控制：服務器的物理安全控制調整BIOS引導設置修改啟動順序設置管理密碼禁用Ctrl+Alt+Del重啟熱鍵修改/etc/inittab文件，并執(zhí)行“initq”重載配置GRUB引導菜單加密加密引導菜單的作用修改啟動參數時需要驗證密碼進入所選擇的系統(tǒng)前需要驗證密碼在grub.conf文件中設置密碼的方式password明文密碼串password--md5加密密碼串密碼設置行的位置全局部分（第一個“title”之前）系統(tǒng)引導參數部分（每個“title”部分之后）本地終端及登錄控制立即禁止普通用戶登錄/etc/nologin設置啟用哪些tty終端/etc/inittab控制允許root用戶登錄的終端/etc/securetty更改系統(tǒng)登錄提示，隱藏系統(tǒng)版本信息/etc/issue、/etc/pam_access認證控制配置文件：/etc/pam.d/loginaccountrequiredpam_access.so配置文件：/etc/security/access.conf權限用戶來源6.4總結[6分鐘]采用提問方式，注意引導學員回答重點即可！提問：1.對于使用chattr命令鎖定的文件，如何去除鎖定？2.通過su、sudo機制都可以使普通用戶獲得root用戶的權限，二者有何區(qū)別？3.如果忘記了GRUB菜單的密碼，無法進入系統(tǒng)怎么辦？七.布置作業(yè)：[4分鐘]7.1本章作業(yè)a) 課后選擇題：P25b) 課后簡答題：P31題1、2、3、4、5、6c) 抄寫和背誦本章單詞列表d) 完成本章實驗案例一、案例二7.2作業(yè)的提交方式與要求a) 課后選擇題：把答案寫在課本上b) 課后簡答題：作業(yè)寫在作業(yè)本上，下次上課提交c) 抄寫和背誦本章單詞列表：寫在作業(yè)本上，至少5遍d) 完成本章實驗案例一和案例二：提交實驗報告7.3課后習題答案CBCAB八．習題為了保證Linux系統(tǒng)的安全性，我們經常要使用各種系統(tǒng)安全設置和優(yōu)化，下列哪項不是增強用戶帳戶安全的常見措施()刪除不適用的賬戶、禁用暫時不適用的賬戶強制用戶定期修改密碼(設置密碼有效期)重新設置用戶賬戶的搜索路徑(設置環(huán)境變量PATH)減少記錄命令歷史的條數(設置環(huán)境變量HISTSIZE)正確答案：C考點：增強用戶帳戶安全的常見措施[★★]Linux系統(tǒng)為了保證文件系統(tǒng)的安全性，有多種方法，其中鎖定文件的i節(jié)點，使用的命令是()lsattrchmodchownchattr正確答案：D考點：增強文件系統(tǒng)安全的常見措施[★★]設置linux引導程序grub引導菜單加密有兩種加密方法：明文加密和密文加密，其中密文加密需要在grub.conf配置文件中設置的參數是()password密碼串password--md5密碼串password加密密碼串password--md5加密密碼串正確答案：D考點：增強系統(tǒng)引導和登錄安全的常見措施[★★]su命令可以方便進行用戶身份的切換，假設要切換到benet用戶，執(zhí)行su-benet與subenet的區(qū)別是()是一樣的沒有區(qū)別su-要比