第 19章
Linux安全管理本章内容
安全管理概述
Linux系统安全管理
Linux网络安全管理
19.1 安全管理概述
安全管理的内容
主要的安全威胁
管理员应注意的安全管理事项
19.1.1 安全管理的内容
一个网络信息系统要保证安全,应该具有以下特征:
保密性:指信息不泄漏给非授权的个人、实体和过程或供其使用的特性。
完整性:指信息未经授权不能被修改、破坏、插入、延迟、
乱序和以及不会丢失的特性。
可用性:指合法用户能够访问并能按要求使用信息的特性。
可控性:指授权机构对信息的内容及传播具有控制能力的特性。
可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
19.1.1 安全管理的内容
ISO安全体系结构定义了八大类安全机制,即:
加密机制
数字签名机制
访问控制机制
数据完整性机制
鉴别交换机制
业务填充机制
路由控制机制
公证机制
19.1.2 主要的安全威胁
来自口令的威胁
操作系统及应用程序的漏洞
拒绝服务攻击( DoS)
网络窃听
网络地址欺骗
19.1.3 管理员应注意的安全管理事项
作为系统管理员,至少应当注意以下五个层次的安全性问题:
系统的安全性,包括主机的物理安全
用户的安全性
网络层的安全性
应用程序的安全性
数据的安全性
19.2 Linux系统安全管理
口令的管理
控制 root帐户的使用
数据的安全管理
系统日志管理
19.2.1 用户口令的管理
选择强壮的口令
口令定期更改
使用 chage命令进行设置
正确使用口令
不将口令记录到纸上
输入口令时进行遮盖
不要将多个口令设置成相同
不使用 ftp,telnet等工具
19.2.2 限制 root帐户的使用
限制 root帐户
/etc/securetty
使用 su命令
使用 sudo工具
配置文件,/etc/sudoers
定义格式:
用户范围 主机范围 =(所用用户身份) 命令范围
19.2.3 数据的安全管理
理解文件系统的层次结构
威胁安全的系统文件和目录
/etc/
/bin
/sbin
/boot
/dev
创建权限策略
umask
19.2.4 系统日志管理
考察 syslog.conf文件
常用日志文件考察 syslog.conf文件
Syslog日志通过 syslogd守护进程获取日志记录
根据 /etc/syslog.conf配置文件中的相关指令来对这些记录信息进行处理
syslog.conf的配置语句遵循以下定义:
消息类型,优先级 消息发往位置常用系统日志
默认日志目录:
/var/log
常用日志:
/var/log/wtmp
/var/run/utmp
/var/log/btmp
/var/log/lastlog
/var/log/messages
/var/log/boot.log
本章内容
网络扫描和监视
数据包捕获工具
防火墙
19.3.1 网络扫描和监视
Nmap 是一个端口扫描工具,它提供了多种扫描技术以及多种高级功能
可以扫描一台主机,也可以扫描一个网段。要扫描网段,
可以有几种表示方法:
192.168.1.1/24
192.168.1.*
192.168.1.0-254
还可以扫描特定的一个或多个端口,例如:
20-30
80
6000-
nmap命令用法
nmap 的命令的语法格式如下:
nmap [扫描类型 ] [选项 ] 主机或网络
运行 nmap 后通常会得到一个关于被扫描主机的可用端口列表。 Nmap 总是显示该服务的服务名称,
端口号,状态以及协议。
状态有三种:
Open
filtered
unfiltered
nmap常用扫描类型
-sT,对 TCP的最基本的侦测形式
-sS:,半开,式的扫描
-sP,Ping 扫描,通过向指定的 IP 地址发送
ICMP信息包侦测主机是否开放
-sU,UDP 扫描,用来确定主机上哪个 UDP端口是打开的
nmap使用示例
nmap -v target.hanvic.com
扫描主机 target.hanvic.com 上所有 TCP 端口,-v 表示使用详细模式。
nmap -sS -O 192.168.0.0/24
开始一次 SYN 的半开扫描,针对的目标是一个 C 类子网
nmap -sT -p 22,53,110,143 198.116.*.1-127
扫描 198.116 所在 B类子网的一半范围内,将检测系统是否运行 sshd,DNS,pop3d,imapd等
tcpdump
tcpdump可以将网络中传送的数据包完全截获下来提供分析
语法,tcpdump [ 选项 ] [ -c 数量 ] [ -F 文件名 ] [ -i
网络接口 ] [ -r 文件名 ] [ -s snaplen ] [ -T 类型 ] [ -
w 文件名 ] [表达式 ]
在表达式中一般如下几种类型的关键字:
关于目标类型的关键字
确定传输方向的关键字
协议的关键字
tcpdump命令实例
想要截获所有 192.168.0.2 的主机收到的和发出的所有的数据包:
# tcpdump host 192.168.0.2
想要截获主机 192.168.0.2 和主机 192.168.0.3 或
192.168.0.4的通信,使用命令:
# tcpdump host 192.168.0.2 and (192.168.0.3 or 192.168.0.4 )
如果想要获取主机 192.168.0.2除了和主机 192.168.0.3之外所有主机通信的 ip包,使用命令:
# tcpdump ip host 192.168.0.2 and ! 192.168.0.3
如果想要获取主机 192.168.0.2接收或发出的 telnet包,使用如下命令:
# tcpdump tcp port 23 host 192.168.0.2
19.3.2 防火墙
防火墙技术用于实现内外网之间访问的安全性
防火墙的两种主要类型:
包过滤防火墙
代理服务器(应用防火墙)
Red Hat Enterprise Linux 4安全级别
X Window系统下运行命令:
system-config-securitylevel
或在 shell中使用命令:
lokkit
iptables防火墙
iptables 是建立在 netfilter架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理
Iptables 提供以下三种功能:
包过滤
NAT(网络地址转换)
通用的 pre-route packet mangling
iptables防火墙
iptables 可以操纵 3 个表:
filter 表
nat 表
mangle 表
如果不指定,则默认操作 filter表
每个表由若干,链,( chains)组成
每条链由一条或数条,规则,组成
iptables防火墙
系统缺省的表为,filter”,该表中包含了 3 个链:
INPUT
FORWARD
OUTPUT
每一条规则都是这样定义的:
如果数据包头符合这样的条件,就这样处理这个数据包。
当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件
如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则
如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包
iptables命令
iptables命令的语法一般如下:
Iptables [-flags] [chain] [options[extensions]] [ACTION]
iptables标志项与命令
-t table:制定要操作的表
-A:将一条或多条规则附加到指定链的末尾
-D:从链中删除某个规则
-P:设置链的缺省目标
-L:查看规则设置
-F:清除规则
iptables选项,
-p:指定协议
-d:指定目标地址
-s:指定源地址
iptables命令
iptables选项,
--dport:指定目标端口
--sport:指定源端口
iptables事件项:
ACCEPT
DROP
REJECT
iptables命令实例
iptables -I INPUT 1 -s 192.168.0.88 -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp -s 192.168.0.0/24 --
sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
# iptables -D INPUT --dport 80 -j DROP
# iptables -D INPUT 3
保存防火墙规则
可以使用 iptables-save命令保存防火墙规则:
# iptables-save > iptablesboot
使用 iptables-restore命令将规则集从脚本文件恢复到过滤表
# iptables-restore iptables-script
保存到 /etc/sysconfig/iptables文件可以在系统启动时自动加载本章小结
了解信息安全的一般概念
掌握常用的系统安全管理手段和工具
掌握常用的网络安全管理手段和工具
Linux安全管理本章内容
安全管理概述
Linux系统安全管理
Linux网络安全管理
19.1 安全管理概述
安全管理的内容
主要的安全威胁
管理员应注意的安全管理事项
19.1.1 安全管理的内容
一个网络信息系统要保证安全,应该具有以下特征:
保密性:指信息不泄漏给非授权的个人、实体和过程或供其使用的特性。
完整性:指信息未经授权不能被修改、破坏、插入、延迟、
乱序和以及不会丢失的特性。
可用性:指合法用户能够访问并能按要求使用信息的特性。
可控性:指授权机构对信息的内容及传播具有控制能力的特性。
可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
19.1.1 安全管理的内容
ISO安全体系结构定义了八大类安全机制,即:
加密机制
数字签名机制
访问控制机制
数据完整性机制
鉴别交换机制
业务填充机制
路由控制机制
公证机制
19.1.2 主要的安全威胁
来自口令的威胁
操作系统及应用程序的漏洞
拒绝服务攻击( DoS)
网络窃听
网络地址欺骗
19.1.3 管理员应注意的安全管理事项
作为系统管理员,至少应当注意以下五个层次的安全性问题:
系统的安全性,包括主机的物理安全
用户的安全性
网络层的安全性
应用程序的安全性
数据的安全性
19.2 Linux系统安全管理
口令的管理
控制 root帐户的使用
数据的安全管理
系统日志管理
19.2.1 用户口令的管理
选择强壮的口令
口令定期更改
使用 chage命令进行设置
正确使用口令
不将口令记录到纸上
输入口令时进行遮盖
不要将多个口令设置成相同
不使用 ftp,telnet等工具
19.2.2 限制 root帐户的使用
限制 root帐户
/etc/securetty
使用 su命令
使用 sudo工具
配置文件,/etc/sudoers
定义格式:
用户范围 主机范围 =(所用用户身份) 命令范围
19.2.3 数据的安全管理
理解文件系统的层次结构
威胁安全的系统文件和目录
/etc/
/bin
/sbin
/boot
/dev
创建权限策略
umask
19.2.4 系统日志管理
考察 syslog.conf文件
常用日志文件考察 syslog.conf文件
Syslog日志通过 syslogd守护进程获取日志记录
根据 /etc/syslog.conf配置文件中的相关指令来对这些记录信息进行处理
syslog.conf的配置语句遵循以下定义:
消息类型,优先级 消息发往位置常用系统日志
默认日志目录:
/var/log
常用日志:
/var/log/wtmp
/var/run/utmp
/var/log/btmp
/var/log/lastlog
/var/log/messages
/var/log/boot.log
本章内容
网络扫描和监视
数据包捕获工具
防火墙
19.3.1 网络扫描和监视
Nmap 是一个端口扫描工具,它提供了多种扫描技术以及多种高级功能
可以扫描一台主机,也可以扫描一个网段。要扫描网段,
可以有几种表示方法:
192.168.1.1/24
192.168.1.*
192.168.1.0-254
还可以扫描特定的一个或多个端口,例如:
20-30
80
6000-
nmap命令用法
nmap 的命令的语法格式如下:
nmap [扫描类型 ] [选项 ] 主机或网络
运行 nmap 后通常会得到一个关于被扫描主机的可用端口列表。 Nmap 总是显示该服务的服务名称,
端口号,状态以及协议。
状态有三种:
Open
filtered
unfiltered
nmap常用扫描类型
-sT,对 TCP的最基本的侦测形式
-sS:,半开,式的扫描
-sP,Ping 扫描,通过向指定的 IP 地址发送
ICMP信息包侦测主机是否开放
-sU,UDP 扫描,用来确定主机上哪个 UDP端口是打开的
nmap使用示例
nmap -v target.hanvic.com
扫描主机 target.hanvic.com 上所有 TCP 端口,-v 表示使用详细模式。
nmap -sS -O 192.168.0.0/24
开始一次 SYN 的半开扫描,针对的目标是一个 C 类子网
nmap -sT -p 22,53,110,143 198.116.*.1-127
扫描 198.116 所在 B类子网的一半范围内,将检测系统是否运行 sshd,DNS,pop3d,imapd等
tcpdump
tcpdump可以将网络中传送的数据包完全截获下来提供分析
语法,tcpdump [ 选项 ] [ -c 数量 ] [ -F 文件名 ] [ -i
网络接口 ] [ -r 文件名 ] [ -s snaplen ] [ -T 类型 ] [ -
w 文件名 ] [表达式 ]
在表达式中一般如下几种类型的关键字:
关于目标类型的关键字
确定传输方向的关键字
协议的关键字
tcpdump命令实例
想要截获所有 192.168.0.2 的主机收到的和发出的所有的数据包:
# tcpdump host 192.168.0.2
想要截获主机 192.168.0.2 和主机 192.168.0.3 或
192.168.0.4的通信,使用命令:
# tcpdump host 192.168.0.2 and (192.168.0.3 or 192.168.0.4 )
如果想要获取主机 192.168.0.2除了和主机 192.168.0.3之外所有主机通信的 ip包,使用命令:
# tcpdump ip host 192.168.0.2 and ! 192.168.0.3
如果想要获取主机 192.168.0.2接收或发出的 telnet包,使用如下命令:
# tcpdump tcp port 23 host 192.168.0.2
19.3.2 防火墙
防火墙技术用于实现内外网之间访问的安全性
防火墙的两种主要类型:
包过滤防火墙
代理服务器(应用防火墙)
Red Hat Enterprise Linux 4安全级别
X Window系统下运行命令:
system-config-securitylevel
或在 shell中使用命令:
lokkit
iptables防火墙
iptables 是建立在 netfilter架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理
Iptables 提供以下三种功能:
包过滤
NAT(网络地址转换)
通用的 pre-route packet mangling
iptables防火墙
iptables 可以操纵 3 个表:
filter 表
nat 表
mangle 表
如果不指定,则默认操作 filter表
每个表由若干,链,( chains)组成
每条链由一条或数条,规则,组成
iptables防火墙
系统缺省的表为,filter”,该表中包含了 3 个链:
INPUT
FORWARD
OUTPUT
每一条规则都是这样定义的:
如果数据包头符合这样的条件,就这样处理这个数据包。
当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件
如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则
如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包
iptables命令
iptables命令的语法一般如下:
Iptables [-flags] [chain] [options[extensions]] [ACTION]
iptables标志项与命令
-t table:制定要操作的表
-A:将一条或多条规则附加到指定链的末尾
-D:从链中删除某个规则
-P:设置链的缺省目标
-L:查看规则设置
-F:清除规则
iptables选项,
-p:指定协议
-d:指定目标地址
-s:指定源地址
iptables命令
iptables选项,
--dport:指定目标端口
--sport:指定源端口
iptables事件项:
ACCEPT
DROP
REJECT
iptables命令实例
iptables -I INPUT 1 -s 192.168.0.88 -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp -s 192.168.0.0/24 --
sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
# iptables -D INPUT --dport 80 -j DROP
# iptables -D INPUT 3
保存防火墙规则
可以使用 iptables-save命令保存防火墙规则:
# iptables-save > iptablesboot
使用 iptables-restore命令将规则集从脚本文件恢复到过滤表
# iptables-restore iptables-script
保存到 /etc/sysconfig/iptables文件可以在系统启动时自动加载本章小结
了解信息安全的一般概念
掌握常用的系统安全管理手段和工具
掌握常用的网络安全管理手段和工具
