網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教案17

鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁序號(hào)：17授課班級(jí)信息安全22A1信息安全22A2授課日期出勤情況全勤課程名稱網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：搭建FTP服務(wù)器禁止根shell引入新課：M6-2加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制能力（二）教學(xué)目標(biāo)學(xué)生通過該能力模塊的學(xué)習(xí)，能夠獨(dú)立完成和熟練掌握通過shell、PAM、SSH實(shí)現(xiàn)主機(jī)的安全管理能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：禁止根登錄禁止根用戶SSH登錄使用PAM禁用根權(quán)限限制根存取權(quán)限教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容引入本節(jié)內(nèi)容任務(wù)實(shí)施分5個(gè)實(shí)驗(yàn)步驟，完成根用戶權(quán)限的配置和PAM模塊的設(shè)置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：禁止根登錄禁止根用戶SSH登錄使用PAM禁用根權(quán)限限制根存取權(quán)限難點(diǎn)：使用PAM禁用根權(quán)限：在使用PAM模塊時(shí)，首先需要了解PAM模塊及其如何正確使用PAM模塊。解決方法：演示+上機(jī)操作課后作業(yè)在虛擬機(jī)上實(shí)現(xiàn)使用PAM禁用根權(quán)限課后總結(jié)Linux的安全設(shè)置后均需要進(jìn)行驗(yàn)證，而有時(shí)驗(yàn)證中會(huì)出現(xiàn)各種問題，需要一個(gè)個(gè)耐心解決鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第17-PAGE1頁加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制（二）教學(xué)過程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)搭建FTP服務(wù)器禁止根shell教師講授，學(xué)生回憶5分鐘任務(wù)引入為了保證服務(wù)器的安全，防止黑客利用鍵盤記憶和抓包工具竊取根用戶口令，所以需要禁止根用戶登錄。為了保證服務(wù)器的安全，防止黑客利用抓包工具竊取根用戶口令，所以需要禁止根用戶SSH登錄，也可以使用PAM靈活限制用戶登錄。教師講授5分鐘知識(shí)講授一、什么是Linux-PAM為安全起見，計(jì)算機(jī)系統(tǒng)只有經(jīng)過授權(quán)的合法用戶才能訪問，在這里如何正確鑒別用戶的真實(shí)身份是一個(gè)關(guān)鍵的問題。所謂用戶鑒別，就是用戶向系統(tǒng)以一種安全的方式提交自己的身份證明，然后由系統(tǒng)確認(rèn)用戶的身份是否屬實(shí)的過程。換句話說，用戶鑒別是系統(tǒng)的門戶，每個(gè)用戶進(jìn)入到系統(tǒng)中都必須經(jīng)過鑒別這一道關(guān)。最初，Linux系統(tǒng)的用戶鑒別過程就像各種Unix系統(tǒng)的一樣：系統(tǒng)管理員為用戶建立一個(gè)帳號(hào)并為其指定一個(gè)口令，用戶用此指定的口令登錄后重新設(shè)置自己的口令，這樣用戶就具有了一個(gè)只有他自己知道的秘密口令。一般情況下，用戶的口令經(jīng)過加密處理后存放于/etc/passwd文件中。用戶登錄時(shí)，登錄服務(wù)程序提示用戶輸入其用戶名和口令，然后將口令加密并與/etc/passwd文件中對(duì)應(yīng)帳號(hào)的加密口令進(jìn)行比較，如果口令相匹配，說明用戶的身份屬實(shí)并允許此用戶訪問系統(tǒng)。這種思想基于只有用戶自己知道他的口令，所以輸入的口令是正確的話，那么系統(tǒng)就認(rèn)定他是所聲稱的那個(gè)人。后來，還采用了許多其他的鑒別用戶的方法，如用于網(wǎng)絡(luò)環(huán)境的Kerberos以及基于智能卡的鑒別系統(tǒng)等。但是這些鑒別方案有一個(gè)通?。簩?shí)現(xiàn)鑒別功能的代碼通常作為應(yīng)用程序的一部分而一起編譯,這樣問題就來了如果發(fā)現(xiàn)所用算法存在某些缺陷或想采用另一種鑒別方法時(shí)，用戶不得不重寫（修改或替換）然后重新編譯原程序。很明顯，我們?cè)鹊蔫b別方案缺乏靈活性，這里的牽一發(fā)而動(dòng)全身的情形很是讓人惱火。鑒于以上原因，人們開始尋找一種更佳的替代方案：一方面，將鑒別功能從應(yīng)用中獨(dú)立出來，單獨(dú)進(jìn)行模塊化設(shè)計(jì)，實(shí)現(xiàn)和維護(hù)；另一方面，為這些鑒別模塊建立標(biāo)準(zhǔn)API，以便各應(yīng)用程序能方便的使用它們提供的各種功能；同時(shí)，鑒別機(jī)制對(duì)其上層用戶（包括應(yīng)用程序和最終用戶）是透明的。直到1995年，SUN的研究人員提出了一種滿足以上需求的方案--插件式鑒別模塊（PAM）機(jī)制并首次在其操作系統(tǒng)Solaris2.3上部分實(shí)現(xiàn)。插件式鑒別模塊（PAM）機(jī)制采用模塊化設(shè)計(jì)和插件功能，使得我們可以輕易地在應(yīng)用程序中插入新的鑒別模塊或替換原先的組件,而不必對(duì)應(yīng)用程序做任何修改，從而使軟件的定制、維持和升級(jí)更加輕松--因?yàn)殍b別機(jī)制與應(yīng)用程序之間相對(duì)獨(dú)立。應(yīng)用程序可以通過PAMAPI方便的使用PAM提供的各種鑒別功能，而不必了解太多的底層細(xì)節(jié)。此外，PAM的易用性也較強(qiáng)，主要表現(xiàn)在它對(duì)上層屏蔽了鑒別的具體細(xì)節(jié)，所以用戶不必被迫學(xué)習(xí)各種各樣的鑒別方式，也不必記住多個(gè)口令；又由于它實(shí)現(xiàn)了多鑒別機(jī)制的集成問題，所以單個(gè)程序可以輕易集成多種鑒別機(jī)制如Kerberos鑒別機(jī)制和Diffie-Hellman鑒別機(jī)制等，但用戶仍可以用同一個(gè)口令登錄而感覺不到采取了各種不同鑒別方法。在廣大開發(fā)人員的努力下，各版本的UNIX系統(tǒng)陸續(xù)提供對(duì)PAM的支持。其中，Linux-PAM是專門為Linux機(jī)器實(shí)現(xiàn)的，包括Caldera1.3、2.2、Debian2.2、TurboLinux3.6、RedHat5.0以及SuSE6.2及它們的后續(xù)版本都提供對(duì)PAM的支持。FreeBSD從3.1版開始支持PAM。需要注意的是，除了具體實(shí)現(xiàn)不同外，各種版本Unix系統(tǒng)上的PAM的框架是相同的，所以我們?cè)谶@里介紹的Linux-PAM框架知識(shí)具有普遍性。因此在下文介紹其框架的過程中可以看到，我們并沒有刻意區(qū)分PAM與Linux－PAM這兩個(gè)術(shù)語。二、PAM的分層體系結(jié)構(gòu)PAM為了實(shí)現(xiàn)其插件功能和易用性，它采取了分層設(shè)計(jì)思想：讓各鑒別模塊從應(yīng)用程序中獨(dú)立出來，然后通過PAMAPI作為兩者聯(lián)系的紐帶，這樣應(yīng)用程序就可以根據(jù)需要靈活地在其中"插入"所需鑒別功能模塊，從而真正實(shí)現(xiàn)了"鑒別功能，隨需應(yīng)變"。實(shí)際上，這一思路非常符合軟件設(shè)計(jì)中的"高內(nèi)聚，低耦合"這一重要思想，PAM的體系如下簡圖所示：從上圖可以看出，PAMAPI起著承上啟下的作用，它是應(yīng)用程序和鑒別模塊之間聯(lián)系的紐帶：當(dāng)應(yīng)用程序調(diào)用PAMAPI時(shí),應(yīng)用接口層按照配置文件pam.conf的規(guī)定，加載相應(yīng)的鑒別模塊。然后把請(qǐng)求（即從應(yīng)用程序那里得到的參數(shù)）傳遞給底層的鑒別模塊,這時(shí)鑒別模塊就可以根據(jù)要求執(zhí)行具體的鑒別操作了。當(dāng)鑒別模塊執(zhí)行完相應(yīng)操作后，將結(jié)果返回給應(yīng)用接口層，然后由接口層根據(jù)配置的具體情況將來自鑒別模塊的應(yīng)答返回給應(yīng)用程序?，F(xiàn)以下面的配置文件為例講解口令映射：在這里login程序集成了三種鑒別方式：傳統(tǒng)UNIX口令鑒別、Kerberos和RSA鑒別，但通常情況下用戶僅輸入一次口令便能通過鑒別了。當(dāng)程序調(diào)用pam_unix.so模塊時(shí)，PAM提示用戶輸入他們的UNIX口令，然后由pam_kerb.so模塊對(duì)用戶輸入的UNIX口令進(jìn)行鑒別。繼而調(diào)用pam_kerb.so模塊，由于該模塊的選項(xiàng)為use_mapped_pass，它將利用口令映射機(jī)制進(jìn)行認(rèn)證，也就是說，如果UNIX口令鑒別通過的話，就將其作為pam_kerb.so模塊的主口令來解密其對(duì)應(yīng)的映射口令從而進(jìn)行Kerberos鑒別。如果pam_unix.so模塊所需口令沒能通過驗(yàn)證，則無法進(jìn)行口令映射，那么PAM將直接調(diào)用下一鑒別模塊而不提示用戶輸入其Kerberos口令。最后一個(gè)模塊的選項(xiàng)為use_first_pass，所以pam_rsa.so模塊將使用前邊輸入的主口令來鑒別用戶，如果口令錯(cuò)誤也不提示用戶輸入RSA口令。所以，只要第一次輸入的口令是正確的，并且映射口令存在，則一個(gè)口令便足以通過鑒別。教師講授35分鐘任務(wù)實(shí)施第一步：本地登錄服務(wù)器root用戶可以使用終端登錄linux系統(tǒng)，使用命令cat/etc/securetty查看，如下所示：[root@LAB3~]#cat/etc/securettyconsolevc/1vc/2vc/3vc/4vc/5vc/6vc/7vc/8vc/9vc/10vc/11tty1tty2tty3tty4tty5tty6tty7tty8tty9tty10tty11上面所示root用戶可以通過11個(gè)終端進(jìn)行登錄，可以使用Alt+F1~11，如下所示：[root@LAB3~]#w16:27:21up6:18,7users,loadaverage:0.00,0.00,0.00USERTTYFROMLOGIN@IDLEJCPUPCPUWHATroottty1-16:261:080.01s0.01s-bashroottty2-15:4245:150.02s0.02s-bashroottty3-16:2657.00s0.01s0.01s-bashroottty4-16:2649.00s0.01s0.01s-bashroottty6-16:2623.00s0.01s0.01s-bashrootpts/05416:130.00s0.03s0.00swrootpts/15411:041:02m0.04s0.04s-bash通過上面的顯示可以看到，這樣是極為不安全的。第二步：禁用根登錄通過編輯配置文件/etc/securetty，可以禁止根登錄，如下所示： echo>/etc/securetty 將配置文件內(nèi)容清空就可以了。注意：千萬不要?jiǎng)h除此文件，如刪除此文件表示允許所有。第三步：驗(yàn)證測(cè)試使用根用戶進(jìn)行登錄。登錄禁止根用戶SSH登錄第一步：根用戶使用SSH登錄遠(yuǎn)程服務(wù)器[root@LAB2~]#ssh-lroot10.1.1root@'spassword:Lastlogin:MonJan1416:36:092008from[root@LAB3~]#第二步：竊取SSH密碼[root@LAB3~]#tcpdump-ieth0-Xdstandsrcanddstport22tcpdump:verboseoutputsuppressed,use-vor-vvforfullprotocol第四步：禁用根SSH登錄 修改配置文件/etc/ssh/sshd_config，將 #PermitRootLoginyes改成 PermitRootLoginno如下所示： [root@LAB3~]#vi/etc/ssh/sshd_config#$OpenBSD:sshd_config,v1.692004/05/2323:59:53dtuckerExp$#Thisisthesshdserversystem-wideconfigurationfile.See#sshd_config(5)formoreinformation.使用PAM禁用根權(quán)限第一步：啟用VSFTP服務(wù)在Linux系統(tǒng)安裝完成后，系統(tǒng)會(huì)默認(rèn)安裝VsFTP服務(wù)器，可以通過以下命令來查詢FTP服務(wù)器是否安裝：[root@LAB3~]#rpm-qa|grepvsftpdvsftpd-2.0.1-5[root@LAB3~]#如上顯示說明系統(tǒng)已經(jīng)安裝了VsFTP服務(wù)器了。系統(tǒng)默認(rèn)的情況下是不會(huì)啟動(dòng)FTP服務(wù)的，所以要使用如下命令來啟動(dòng)FTP服務(wù)：[root@LAB3~]#servicevsftpdstart為vsftpd啟動(dòng)vsftpd：[確定][root@LAB3~]#也可以使用如下命令來查看FTP服務(wù)是否運(yùn)行：[root@LAB3~]#servicevsftpdstatusvsftpd(pid3000)正在運(yùn)行...[root@LAB3~]#第二步：配置PAM模塊 FTP服務(wù)器允許user1登錄，而user2和user3不允許登錄。 修改配置文件/etc/vsftpd.ftpusers，在其配置文件加入 user2 user3 如下所示： [root@LAB3~]#vi/etc/vsftpd.ftpusers#Usersthatarenotallowedtologinviaftprootbindaemonadmlpsyncshutdownhaltmailnewsuucpoperatorgamesnobodyuser2user3 保存后，需要重新啟動(dòng)FTP服務(wù)器，如下所示： [root@LAB3~]#servicevsftpdrestart關(guān)閉vsftpd：[確定]為vsftpd啟動(dòng)vsftpd：[確定][root@LAB3~]# 第三步：驗(yàn)證測(cè)試使用用戶user1登錄FTP服務(wù)器，如下所示： [root@LAB2~]#ftpConnectedto.220(vsFTPd2.0.1)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(10,1,1,1,237,14)150Herecomesthedirectorylisting.drwxr-xr-x25005004096Jan1406:28Desktop226DirectorysendOK.ftp> 使用用戶user2和user3登錄服務(wù)器，如下所示： [root@LAB2~]#ftpConnectedto.220(vsFTPd2.0.1)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(:root):user2331Pleasespecifythepassword.Password:530Loginincorrect.Loginfailed.ftp>[root@LAB2~]#ftpConnectedto.220(vsFTPd2.0.1)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(:root):user3331Pleasespecifythepassword.Password:530Loginincorrect.Loginfailed.ftp>限制根存取權(quán)限第一步：禁止根登錄通過編輯配置文件/etc/securetty，可以禁止根登錄，如下所示：echo>/etc/securetty將配置文件內(nèi)容清空就可以了。注意：千萬不要?jiǎng)h除此文件，如刪除此文件表示允許所有。第二步：使用su命令實(shí)現(xiàn)根登錄用user1登錄，然后使用命令su，提示輸入根口令，輸入正確則根登錄成功。登錄第三步：將user1加入到wheel組中wheel的特殊管理組群，將允許使用su命令的用戶加入到這個(gè)組中，可以使用usermod命令來實(shí)現(xiàn)，但必須是根用