Linux操作系統(tǒng)安全

1、Linux操作系統(tǒng)安全Linux操作系統(tǒng)安全18/18Linux操作系統(tǒng)安全貴州大學(xué)實驗報告（小三號，加黑）學(xué)院：計算機科學(xué)與技術(shù)專業(yè)：信息安全班級：121姓名饒永明學(xué)號1208060066實驗組實驗時間5.27指導(dǎo)教師蔣朝惠成績實驗項目Linux操作系統(tǒng)安全名稱實驗經(jīng)過實驗掌握linux操作系統(tǒng)環(huán)境下的用戶管理、進度管理以及文件管理的有關(guān)操目作命令，掌握linux中有關(guān)安全配置方法，成立起linux的基本安全框架。的實驗掌握Linux的操作系統(tǒng)安全的基本配置要求用戶管理：Linux支持以命令行或窗口方式管理用戶和用戶組。它供給了安全的用戶和口令文件保護以及興盛的口令設(shè)置規(guī)則，并對用戶和用戶組

2、的權(quán)限進行細粒度的劃分。文件管理：在Linux中，文件和目錄的權(quán)限依據(jù)其所屬的用戶和用戶組來區(qū)分：文件所屬的用戶，即文件的創(chuàng)立者；文件所屬用戶組的用戶，即文件創(chuàng)立者所在的用戶組實中的其余用戶；其余用戶，即文件所屬用戶組以外的其余用戶。驗插入式身份認證模塊PAM：PAM是插入式身份認證模塊，它供給身份認證功能防備原未受權(quán)用戶的接見，其身份認證功能高度模塊化，可經(jīng)過配置文件進行靈巧配置。在高理版本的Linux中自動啟用了PAM，用戶也能夠自行配置PAM文件。可是，任何很小的錯誤變動都可能致使所合用戶被擁堵，因此在進行有關(guān)文件變動以前，應(yīng)該先備份系統(tǒng)內(nèi)核。記錄系統(tǒng)syslogd：Linux使用了一系

3、列的日記文件，為管理員供給了好多對于系統(tǒng)安全狀態(tài)的信息。Syslogd是一種系統(tǒng)日記捍衛(wèi)進度，它接受系統(tǒng)和應(yīng)用程序、捍衛(wèi)進度以及內(nèi)核供給的信息，并依據(jù)在/etc/syslog.conf文件的配置，對這些信息在不一樣樣日記文件中進行記錄和辦理。絕大多數(shù)內(nèi)部系統(tǒng)工具都會經(jīng)過呼喊syslog接口來供給這些記錄到日記中的信息。系統(tǒng)管理員能夠經(jīng)過設(shè)置/etc/syslog.conf文件來設(shè)置希望記錄的信息種類或希望督查的設(shè)施。實驗安裝redHatLinux9.0操作系統(tǒng)的計算機儀器一、賬戶和安全口令1、查察和增添賬戶增添賬號：查察賬戶列表，并進入用戶查察權(quán)限實驗內(nèi)容和2、增添和改正口令步切換用戶并增添口

4、令：驟3、設(shè)置賬戶管理4、賬戶禁用與恢復(fù)2鎖定賬戶考證，表示鎖定成功檢查用戶的目前狀態(tài)解鎖用戶5、成立用戶組：用以下命令創(chuàng)立新的用戶組：用以下命令改正用戶的名稱：用以下命令將用戶增添進用戶組用下邊的命令將用戶設(shè)置為該用戶組的管理員6、設(shè)置口令規(guī)則用vi命令編寫/etc/login.defs文件37、為賬戶和組有關(guān)系統(tǒng)加上不能夠改正屬性，防備非受權(quán)用戶獲取權(quán)限輸入一下命令為口令文件加上不能夠改正屬性：考證能否成功：考證結(jié)果可用相同的方法鎖定/etc/shadow、/etc/group、/etc/gshadow。去除不能夠改正屬性可用以下命令：考證能否成功：二、文件系統(tǒng)管理及安全1、新建文件夾和文

5、件再用此命令在folder文件下建一個子文件夾：進入folder文件夾下成立一個名為newfile的文件2、編寫文件用vi命令編寫newfile文件，在插入模式下插入;按【ESE】鍵返回命令行格式，輸入“：wq”退出并保留43、查察文件內(nèi)容和有關(guān)信息使用cat命令查察文件有關(guān)內(nèi)容用ll命令查察有關(guān)的文件信息，輸入以下：4、設(shè)置文件的所屬用戶、用戶組合權(quán)限用chmod命令將newfile文件的接見權(quán)限設(shè)置為所屬用戶有讀寫和履行權(quán)限，用戶組有讀寫權(quán)限，其余用戶沒有任何權(quán)限再次查察用戶權(quán)限：分別用root用戶和myusername用戶試一試讀寫操作并記錄試驗結(jié)果用root用戶用myusername用

6、戶：三、查察和改正PAM模塊設(shè)置1、查察用于控制口令選擇和口令時效的PAM模塊設(shè)置查察/etc/pam.d文件夾中的文件列表5翻開文件/etc/pam.d/passwd，查察與用戶口令有關(guān)的PAM設(shè)置查察文件/etc/pam.d/system-auth2、限制su命令的使用用戶查察所需要的用戶組，不存在責創(chuàng)立新建用戶，并將其加入到wheel用戶組中再次查察信息，終端顯示6輸入下邊的命令行，用vi編寫su文件(5)、輸入下邊命令，改正文件權(quán)限，限制只有wheel用戶能夠使用su命令（6）用su命令互相切換用戶成員，發(fā)現(xiàn)權(quán)限不夠四、檢查syslog日記設(shè)置以及日記文件（1）翻開/etc/syslo

7、g.conf文件，查察有關(guān)設(shè)置rao1localhostroot$cat/etc/syslog.confLogallkernelmessagestotheconsole.Loggingmuchelsecluttersupthescreen.#kern.*/dev/consoleLoganything(exceptmail)oflevelinfoorhigher.Dontlogprivateauthenticationmessages!*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages#Theauthprivfi

8、lehasrestrictedaccess.authpriv.*/var/log/secure#Logallthemailmessagesinoneplace.mail.*/var/log/maillog7#Logcronstuffcron.*/var/log/cron#Everybodygetsemergencymessages*.emerg*#Savenewserrorsoflevelcritandhigherinaspecialfile.uucp,news.crit/var/log/spooler#Savebootmessagesalsotoboot.loglocal7.*/var/lo

9、g/boot.lognews.=crit/var/log/news/news.critnews.=err/var/log/news/news.errnews.notice/var/log/news/news.notice2）翻開/var/log/message文件，查察系統(tǒng)有關(guān)的記錄信息，找出用戶身份認證的記錄3）新建用戶user，并以用戶名重復(fù)兩次是失敗的系統(tǒng)登錄4）再次查察/var/log/message文件，查察對于登錄失敗的記錄信息，能夠看到兩次登錄失敗的記錄思慮題：（1）在Linux中，怎樣設(shè)置一個文件夾的接見權(quán)限答：能夠用chmod命令，chmodxxxdirxxx為3位數(shù)字，分別

10、表示文件所有者，文件所有者所在的組，其余用戶的權(quán)限4代表讀權(quán)限，2代表寫權(quán)限，1代表履行權(quán)限，需要那些權(quán)限相加即可，0為不任何權(quán)限dir為要改正權(quán)的文件假如是文件夾帶上遞歸參數(shù)-R，可改變文件內(nèi)所有文件的權(quán)限。（2）怎樣限制其余用戶使用su命令答：用chowd和chmod兩個命令，現(xiàn)改正文件權(quán)限，再限制將su命令限制到某個用戶組，這樣就只好這個用戶能夠用su命令了。（3）怎樣啟用和嚴禁用戶賬戶答：用“passwdl【用戶名】”將用戶鎖住。用“passwdl【用戶名】”將用戶解8鎖。中的Web、Ftp服務(wù)器的安全配置一、Apache服務(wù)器的安全配置1）apache的安裝經(jīng)過下邊命令檢查apach

11、e能否安裝：說明已經(jīng)安裝。假如未安裝，則經(jīng)過mount掛載光盤，進入光盤經(jīng)過rmp命令安裝，最后用unmount卸載光盤。2）apache的啟動用下邊命令查察apache能否啟動：發(fā)現(xiàn)服務(wù)停止，則用下邊命令啟動服務(wù)，并再次考證：用下邊命令查察httpd所有進度：3）apache的配置啟動apache：9用vi命令對apache進行配置：（4）改正主配置文件1、改正主配置文件：2、重啟apache3、在客戶機上接見10（5）認證與受權(quán)1、改正主配置文件2、創(chuàng)立口令文件security，并增添用戶rym，密碼rym，域security3、改口令文件的所有者和用戶組均為apache：4、重啟http

12、d：5、在客戶機登錄，考證：11登錄成功：12（6）日記的管理和統(tǒng)計分析經(jīng)過cat命令查察錯誤日記和接見日記：二、vsftpd服務(wù)器的安全配置1）經(jīng)過以下命令確認vsftpd能否安裝：啟動vsftpd：13（2）獨立FTP服務(wù)器的安全配置：用vi編寫FTP的配置文件/etc/vsftpd/vsftpd.conf1、嚴禁匿名用戶名登岸：2、對當?shù)赜脩舻牡前逗徒右娺M行控制：對當?shù)赜脩舻慕右娺M行控制：3、控制用戶登岸后難呢過切換到自己根目錄以外的目錄：4、設(shè)置日記選項:145、設(shè)置安全選項：6、設(shè)置性能選項：7、獨立模式下和其余認證方式方法的聯(lián)合：客戶端接見ftp：15（3）xinetd方式下FTP

13、服務(wù)器的安全配置1、改正vsftpd.conf配置文件。2、編寫xinetd配置文件，復(fù)制vsftpd：編寫vsftpd文件：3、改正vsftpd的啟動流程刪除獨立vsftpd的啟動項從頭啟動xinetd捍衛(wèi)進度，由xinetd啟動vsftpd：16思慮題：1、在apache配置中，怎樣設(shè)置值贊成一部分IP地點接見？答：在中做以下配置：SetHandleserver-infoOrderdeny,allowAllowfrom【ip地點】/【子網(wǎng)掩碼】Denyfromall配置完后重啟httpd服務(wù)2、在apache配置中，怎樣設(shè)置網(wǎng)站文件夾的可讀寫權(quán)限？答：（1）、改正主配置文件實驗（2）、創(chuàng)立口令文件security，并增添用戶rym，密碼rym，域security總結(jié)（3）、改口令文件的所有者和用戶組均為apache：（4）、假如要設(shè)置可讀寫權(quán)限的操作，可在apache用戶組中增添新用戶，并在security中對此用戶進行權(quán)限設(shè)置。（5）、重啟httpd3、在apache配置中，怎樣保證日記文件的安全性？答：1、對日記文件進行權(quán)限設(shè)置，只贊成規(guī)定用戶接見。、對日記文件進行按期備份，可防備竄改和拋棄。總結(jié)：經(jīng)過本次實驗，初步學(xué)習了