r05.yeslabrhce rhca6與實(shí)驗(yàn)手冊(cè)linux安全securitychap05-v1

1、BENET3.0第二學(xué)期課程第五章 漏洞檢測(cè)和遠(yuǎn)程訪問(wèn)控制 理論部分2課程回顧普通代理、透明代理的特點(diǎn)和區(qū)別在哪里？反向代理的主要作用是什么，如何配置實(shí)現(xiàn)？在配置透明代理時(shí)，設(shè)置的防火墻規(guī)則起什么作用？實(shí)現(xiàn)squid訪問(wèn)列表控制的2個(gè)主要配置項(xiàng)是什么？3技能展示會(huì)構(gòu)建及使用Nessus漏洞檢測(cè)系統(tǒng)熟悉NMAP、EtterCap、WireShark等常用工具會(huì)構(gòu)建安全的SSH遠(yuǎn)程登錄服務(wù)會(huì)使用SSH客戶端工具實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)會(huì)應(yīng)用TCP Wrappers訪問(wèn)控制機(jī)制4本章結(jié)構(gòu)構(gòu)建Nessus漏洞檢測(cè)系統(tǒng)漏洞檢測(cè)和遠(yuǎn)程訪問(wèn)控制其他常用掃描及分析工具構(gòu)建SSH遠(yuǎn)程登錄系統(tǒng)使用TCP Wrappers機(jī)制

2、安裝Nessus漏洞檢測(cè)系統(tǒng) 使用NessusClient用戶端配置nessusd服務(wù)端 OpenSSH服務(wù)端安全控制構(gòu)建密鑰對(duì)驗(yàn)證的SSH登錄體系SSH客戶端安全應(yīng)用NMAP、EtterCAP、WireShark 5構(gòu)建Nessus漏洞檢測(cè)系統(tǒng)Nessus是什么強(qiáng)大的網(wǎng)絡(luò)弱點(diǎn)（漏洞）掃描與分析工具美國(guó) Tenable Network Security,Inc 公司出品 官方站點(diǎn)： Nessus系統(tǒng)的組成服務(wù)器端：nessusd用戶端（客戶端）：NessusClient 6安裝Nessus漏洞檢測(cè)系統(tǒng)安裝Nessus服務(wù)端下載文件： Nessus-3.2.1-es5.i386.rpm默認(rèn)安裝路

3、徑： /opt/nessus/安裝Nessus用戶端下載文件： NessusClient-3.2.1-es5.i386.rpm默認(rèn)安裝路徑： /opt/nessus/rootlocalhost # vi /.bash_profileexport PATH=/opt/nessus/sbin:/opt/nessus/bin:$PATHexport MANPATH=/opt/nessus/man:manpathrootlocalhost # source /.bash_profile調(diào)整PATH變量7配置Nessus服務(wù)器端啟動(dòng)nessusd服務(wù)器程序方法1： /etc/init.d/nessusd

4、 start方法2：service nessusd start添加掃描用戶nessus-adduser 腳本設(shè)置掃描權(quán)限accept /24accept /24default deny教員演示操作過(guò)程掃描權(quán)限限制8使用NessusClient用戶端啟動(dòng)用戶端程序在圖形界面中執(zhí)行 NessusClient &連接并登錄到nessusd服務(wù)器添加掃描目標(biāo)例如：IP地址為 0 的服務(wù)器主機(jī)執(zhí)行掃描教員演示操作過(guò)程9使用NessusClient用戶端查看掃描結(jié)果報(bào)告10其他常用掃描及分析工具NMAP掃描工具主要用于網(wǎng)絡(luò)/主機(jī)掃描探測(cè)的命令行軟件官方站點(diǎn)： EtterCAP網(wǎng)絡(luò)嗅探工具主要針對(duì)用戶名/密

5、碼等敏感信息的嗅探抓包工具官方站點(diǎn)： WireShark協(xié)議分析器抓取網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行逐層分解的協(xié)議分析軟件官方站點(diǎn)： 11NMAP掃描工具的使用安裝nmap程序從RHEL5系統(tǒng)光盤(pán)中安裝 nmap-4.11-1.1.i386.rpm掃描方法nmap 掃描類(lèi)型 選項(xiàng) 掃描目標(biāo) 常用的掃描類(lèi)型 -sSTCP SYN掃描 -sTTCP連接掃描 -P0 忽略ping測(cè)試反饋結(jié)果 -sU UDP掃描 -O 嘗試探測(cè)操作系統(tǒng)類(lèi)型常用的命令選項(xiàng) -p 指定掃描的目標(biāo)端口 -n 不進(jìn)行反向DNS解析教員演示操作過(guò)程12EtterCAP嗅探工具的使用安裝EtterCAP軟件從RHEL5光盤(pán)安裝依賴(lài)軟件包： l

6、ibpcap、libpcap-devel需下載并依次安裝下列軟件包 libnet-2.2.el5.rf.i386.rpm ettercap-NG-0.7.3.tar.gz13EtterCAP嗅探工具的使用嗅探方法在圖形模式中執(zhí)行 ettercap -G & 打開(kāi)程序指定用于嗅探數(shù)據(jù)的網(wǎng)卡添加嗅探目標(biāo)例如嗅探本機(jī)（）與0間的通信執(zhí)行嗅探查看嗅探結(jié)果教員演示操作過(guò)程14WireShark協(xié)議分析工具的使用安裝WireShark軟件從RHEL5光盤(pán)安裝依賴(lài)軟件包： libpcap、libpcap-devel需下載安裝的軟件包 wireshark-1.0.2.tar.gz 15WireShark協(xié)議分

7、析工具的使用協(xié)議分析方法在圖形模式中執(zhí)行 wireshark & 打開(kāi)程序指定用于抓包的網(wǎng)卡執(zhí)行數(shù)據(jù)包抓?。呻S時(shí)暫停）過(guò)濾抓取的數(shù)據(jù)包查看數(shù)據(jù)包信息教員演示操作過(guò)程16小結(jié)請(qǐng)思考：Nessus漏洞檢測(cè)系統(tǒng)的用戶端程序是什么？在添加用于漏洞掃描的用戶時(shí)如何限制掃描權(quán)限？NMAP、EtterCAP和WireShark工具各自的用途和特點(diǎn)是什么？17構(gòu)建SSH遠(yuǎn)程登錄系統(tǒng)SSH（Secure Shell，安全的命令解釋器）為客戶機(jī)提供安全的Shell環(huán)境，用于遠(yuǎn)程管理默認(rèn)端口：TCP 22OpenSSH官方站點(diǎn)： 主要軟件包：openssh-server、openssh-clients服務(wù)名：ss

8、hd服務(wù)端主程序：/usr/sbin/sshd客戶端主程序：/usr/bin/ssh服務(wù)端配置文件：/etc/ssh/sshd_config客戶端配置文件：/etc/ssh/ssh_config18OpenSSH服務(wù)端安全控制用戶遠(yuǎn)程登錄安全控制Port 22ListenAddress PermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 DenyUsers zhangsan lisiAllowUsers jerry admin519OpenSSH服務(wù)端安全控制SSH登錄使用的用戶名服務(wù)器中的本地系統(tǒng)用

9、戶的帳號(hào)名SSH登錄的用戶驗(yàn)證方式密碼驗(yàn)證：使用服務(wù)器中系統(tǒng)帳號(hào)對(duì)應(yīng)的密碼密鑰對(duì)驗(yàn)證：使用客戶機(jī)中生成的公鑰、私鑰PasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys20SSH客戶端應(yīng)用使用ssh命令遠(yuǎn)程登錄方式1： ssh 用戶名服務(wù)器地址方式2： ssh -l 用戶名 服務(wù)器地址方式3： ssh 服務(wù)器地址使用scp命令遠(yuǎn)程復(fù)制文件/目錄方式1： scp 用戶名服務(wù)器地址:源文件 目標(biāo)路徑方式2： scp 本地文件 用戶名服務(wù)器地址:目標(biāo)路徑若復(fù)制的是目錄，則需添加

10、“-r”選項(xiàng)使用sftp命令從服務(wù)器下載文件教員演示操作過(guò)程21SSH客戶端應(yīng)用使用圖形客戶端軟件 PuttyCN主要用途：基于SSH協(xié)議遠(yuǎn)程登錄以便管理服務(wù)器下載地址： 使用圖形客戶端軟件 WinSCP主要用途：基于sftp、scp或ftp的方式下載/上傳數(shù)據(jù)下載地址： 22SSH客戶端應(yīng)用23構(gòu)建密鑰對(duì)驗(yàn)證的SSH登錄體系第一步：創(chuàng)建密鑰對(duì) 私鑰文件：id_rsa 公鑰文件：id_rsa.pubSSH客戶機(jī)SSH服務(wù)器第二步：上傳公鑰文件 id_rsa.pub第三步：將公鑰信息導(dǎo)入公鑰數(shù)據(jù)庫(kù) 數(shù)據(jù)庫(kù)文件：/.ssh/authorized_keys第四步：再次登錄時(shí)將通過(guò)密鑰對(duì)驗(yàn)證以用戶zh

11、angsan在客戶機(jī)本地登錄，并創(chuàng)建密鑰對(duì)導(dǎo)入到服務(wù)器中用戶lisi的公鑰數(shù)據(jù)庫(kù)以服務(wù)器中用戶lisi的身份進(jìn)行SSH遠(yuǎn)程登錄24構(gòu)建密鑰對(duì)驗(yàn)證的SSH登錄體系基本實(shí)現(xiàn)步驟1.在客戶機(jī)創(chuàng)建密鑰對(duì) ssh-keygen命令2.將公鑰文件上傳至服務(wù)器3.設(shè)置服務(wù)器 將公鑰信息導(dǎo)入到服務(wù)器中用戶的公鑰數(shù)據(jù)庫(kù) 禁用密碼驗(yàn)證、啟用密鑰對(duì)驗(yàn)證，并重啟sshd服務(wù)4.在客戶機(jī)遠(yuǎn)程登錄進(jìn)行驗(yàn)證zhangsanlocalhost $ ssh lisiEnter passphrase for key /home/zhangsan/.ssh/id_rsa: Last login: Fri Aug 15 14:02:

12、44 2008 from 34lisilocalhost $ 教員演示操作過(guò)程25使用TCP Wrappers機(jī)制TCP Wrappers的作用原理TCP Wrappers代為監(jiān)聽(tīng)端口21代為監(jiān)聽(tīng)端口23代為監(jiān)聽(tīng)端口110代為監(jiān)聽(tīng)端口143客戶機(jī)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求對(duì)訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾控制vsftpdtelnetipop3imap調(diào)用相應(yīng)的網(wǎng)絡(luò)程序26使用TCP Wrappers機(jī)制軟件包tcp_wrappers-7.6-40.2.1.i386.rpm保護(hù)機(jī)制的實(shí)現(xiàn)方式方式1：通過(guò)tcpd主程序?qū)ζ渌?wù)程序進(jìn)行包裝方式2：由其他網(wǎng)絡(luò)服務(wù)程序調(diào)用libwrap.so.*鏈接庫(kù)主要配置文件/etc/ho

13、sts.allow/etc/hosts.deny27使用TCP Wrappers機(jī)制設(shè)置訪問(wèn)控制策略配置格式：服務(wù)程序列表:客戶機(jī)地址列表服務(wù)程序列表 單個(gè)服務(wù)程序名 以逗號(hào)“,”分隔多個(gè)服務(wù)程序名 ALL表示所有服務(wù)程序客戶機(jī)地址列表 單個(gè)IP地址 網(wǎng)段地址，“192.168.4.”或“/” 使用通配符 ? 和 * 以逗號(hào)“,”分隔多個(gè)地址 ALL表示所有地址28使用TCP Wrappers機(jī)制TCP Wrappers的訪問(wèn)控制原則首先檢查 hosts.allow 文件，若找到相匹配的策略，則允許訪問(wèn)否則繼續(xù)檢查 hosts.deny 文件，若找到相匹配的策略，則拒絕訪問(wèn)如果兩個(gè)文件中都沒(méi)有

14、相匹配的策略，則允許訪問(wèn)29使用TCP Wrappers機(jī)制應(yīng)用示例：僅允許地址為 7 或 019 以及 /24 網(wǎng)段的客戶機(jī)訪問(wèn)sshd服務(wù)rootlocalhost # vi /etc/hosts.allowsshd:7,192.168.2.*,?rootlocalhost # vi /etc/hosts.denysshd:ALL教員演示操作過(guò)程30本章總結(jié)構(gòu)建Nessus漏洞檢測(cè)系統(tǒng)漏洞檢測(cè)和遠(yuǎn)程訪問(wèn)控制其他常用掃描及分析工具構(gòu)建SSH遠(yuǎn)程登錄系統(tǒng)使用TCP Wrappers機(jī)制安裝Nessus漏洞檢測(cè)系統(tǒng) 使用NessusClient用戶端配置nessusd服務(wù)端 OpenSSH服務(wù)端

15、安全控制構(gòu)建密鑰對(duì)驗(yàn)證的SSH登錄體系SSH客戶端安全應(yīng)用NMAP、EtterCAP、WireShark BENET3.0第二學(xué)期課程第五章 漏洞檢測(cè)和遠(yuǎn)程訪問(wèn)控制 上機(jī)部分32實(shí)驗(yàn)案例1：搭建Nessus漏洞檢測(cè)系統(tǒng)需求描述安裝NessusD服務(wù)器端軟件安裝Nessus客戶端軟件對(duì)掃描用戶的權(quán)限進(jìn)行控制，僅允許對(duì)服務(wù)器、進(jìn)行掃描對(duì)服務(wù)器進(jìn)行漏洞檢測(cè)，保存掃描結(jié)果33實(shí)驗(yàn)案例1：搭建Nessus漏洞檢測(cè)系統(tǒng)實(shí)現(xiàn)思路安裝Nessues服務(wù)器端軟件，添加掃描用戶 安裝Nessus服務(wù)端 添加掃描用戶，設(shè)置掃描權(quán)限安裝Nessus客戶端軟件服務(wù)器漏洞檢測(cè) 連接Nessus服務(wù)器 設(shè)定目標(biāo)主機(jī)為，進(jìn)行

16、漏洞檢測(cè) 查看及保存掃描報(bào)告(.html網(wǎng)頁(yè)格式)34實(shí)驗(yàn)案例1：搭建Nessus漏洞檢測(cè)系統(tǒng)學(xué)員練習(xí)30分鐘內(nèi)完成35實(shí)驗(yàn)案例2：搭建安全的SSH登錄服務(wù)器需求描述允許網(wǎng)站管理員webmaster從任何客戶端遠(yuǎn)程登錄Web服務(wù)器，并采用密鑰對(duì)的方式進(jìn)行身份驗(yàn)證允許jacky從局域網(wǎng)內(nèi)的網(wǎng)管工作站10遠(yuǎn)程登錄Web服務(wù)器禁止其他用戶遠(yuǎn)程登錄Web服務(wù)器 36實(shí)驗(yàn)案例2：搭建安全的SSH登錄服務(wù)器Internet網(wǎng)站服務(wù)器/24網(wǎng)管工作站10/24eth1: /24eth0: 1/24Linux網(wǎng)關(guān)服務(wù)器遠(yuǎn)程管理工作機(jī)18/2437實(shí)驗(yàn)案例2：搭建安全的SSH登錄服務(wù)器實(shí)現(xiàn)思路準(zhǔn)備測(cè)試機(jī)及Web服務(wù)器、網(wǎng)管服務(wù)器