实验2Linux操作系统安全.docx

1、实验2Linux操作系统安全贵州大学实验报告学院：计算机科学与技术学院 专业：信息安全 班级：姓名学号实验组实验时间2015.05.27指导教师蒋朝惠成绩实验项目名称实验二 Linux操作系统安全实验目的（一）通过实验掌握Linux操作系统环境下的用户管理、进程管理以及文件管理的相关操作命令，掌握Linux中的相关安全配置方法，建立起Linux的基本安全框架。（二）Apache是在Linux下发布的Web应用程序的主要软件包。通过本实验的学习，了解Apache服务器的基本配置、访问控制、认证与授权的配置以及日志管理与分析方法。掌握vsftpd服务器的安装和安全配置方法。实验要求掌握Linux操

2、作系统的一些基本的安全配置和Web、FTP服务器的安全配置。实验原理（一） Linux操作系统中的安全配置：1. 用户管理：Linux 支持以命令行或窗口方式管理用户和用户组。它提供了安全的用户和口令文件保 护以及强大的口令设置规则，并对用户和用户组的权限进行了细粒度的划分。Linux 的 用 户 和 用 户 组 的 信 息 分 别 保 存 在/etc/shadow 、 /etc/passwd 、 /etc/group 和 /etc/gshadow 等几个文件中，为这些文件设置较高的安全权限是完全必要的。在较高安 全要求的系统中，可以将这些文件设置为不可更改。Linux 中也带有一些常用的口令

3、字 典，以便在用户设置的口令不太安全时及时提醒用户。2. 文件管理：在 linux 中，文件和目录的权限根据其所属的用户或用户组来划分：1) 文件所属的用户，即文件的创建者；2) 文件所属用户组的用户，即文件创建者所在的用户组中的其他用户；3) 其他用户，即文件所属用户组之外的其他用户。每个文件或者目录的拥有者以及管理员root用户，可为以上三种用户或者用户组设置读，写或者可执行的权限。用户也可以通过改变文件所属的用户或者用户组改变3类用户的去权限。对文件夹设置SGID权限，任何在该文件所属的用户和子目录都将与其父目录属于同样的用户组。这种管理有时是必要的，有时会带来一些安全的问题，因此在建立

4、文件时要特别小心文件夹的SGID权限。另一个容易带来安全问题的文件是/home/*/.bash_history(*表示某用户名)。为了便于重复输入很长的命令，该文件保存了此用户经常使用的一组参数（默认为500或1000）的命令。这样就保留了一些重要的信息，例如文件的路径，一些与用户有关的密码等，为攻击的黑客留下了可乘之机。可以通过/etc/profile文件中的参数设置，减少保留的，命名数目。3. 插入式身份认证模板PAM：PAM(pluggable authentication modules)是插入式身份认证模块，它提供身份认证功能防止未授权的用户访问，其身份认证功能高度模块化，可以通过配

5、置文件进行灵活的配置。在高版本的linux中自动启用了PAM，用户也可以自行配置PAM文件。但是，任何很小的错误改动都可能导致所以用户被阻塞，所以在进行相关的文件改动之前，应当先备份系统内核。4. 记录系统syslogd：Linux使用了一系列的日子文件，为管理提供了很多关于系统安全状态的信息。Syslogd是一种系统日子守护进程，它接受系统和应用程序，守护进程以及内核提供的信息，并根据在/etc/syslog.conf文件中的配置，对这些信息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫syslogd接口来提供这些记录到日志中的消息。 系统管理员可以通过设置/etc/sys

6、logd.conf文件来设置希望记录的信息的类型或者希望监视的设备。（二） Linux中Web、FTP服务器的安全配置：1. Apache服务器的安全配置：1) Apache 的配置文件/etc/httpd/conf/httpd.conf2) 访问控制3) 认证与授权4) 日志管理配置与日志的统计分析2. FTP服务器的安全配置：FTP 为文件传输协议，主要用于网络间的文件传输。FTP 服务器的特点是采用双端口工 作方式，通常 FTP 服务器开放 21 端口与客户端进行 FTP 控制命令传输，这称为 FTP 的 数据连接。实验仪器(一) Linux中的安全配置:安装 red hat linux

7、9.0 操作系统的计算机(二) Linux中Web、FTP服务器的安全配置：一台安装 Windows XP/Server 2003 操作系统的 计算机，磁盘格式配置为 NTFS,预装 MBSA 工具实验步骤、内容、数据（一） Linux 中的安全配置：1. 账户和安全口令：（1） 查看和添加账户1) 使用系统管理员账户 root 登录文本模式，输入下面的命令行：rootlocalhost root# useradd myusername使用useradd命令新建名为myusername的新账户。2）使用 cat 命令查看账户列表，输入下列命令:rootlocalhost root# cat /

8、etc/shadow得出列表最后的信息为：gdm:!:14893:0:99999:7:desktop:!:14893:0:99999:7:bitpx:$1$k3ZeCzGg$67UDnyWYtRKiXMKLjTjTk1:14893:0:99999:7:myusername:!:16583:0:99999:7:用如下命令切换到 myusername 账户，然后在使用 cat 命令查看账户列表，如果刚才的账户添加成功，那么普通用户 myusername 不能查看该文件的权限，提示如下：rootlocalhost root# su myusernamemyusernamelocalhost root

9、$ cat /etc/shadowcat: /etc/shadow: 权限不够（2） 添加和更改口令切换到 root 用户，添加 myusername 的口令：rootlocalhost root# passwd myusername输入以上命令后，一次出现一下提示：rootlocalhost root# passwd myusernameChanging password for user myusername.New password:BAD PASSWORD: it is based on a dictionary wordRetype new password:passwd: all

10、authentication tokens updated successfully.（3） 设置账户管理输入命令行rootlocalhost root#chage m 0 M 90 E 0 W 10 myusername,此命令强制用户 myusername 首次登陆时必须更改口令， 同时还强制该用户以后每 90 天更改 一次口令，并提前 10 天提示。（4） 账户禁用与恢复1） 输入下列命令行，以管理员身份锁定新建的 myusername 账户， 并出现锁定成功的提示：rootlocalhost root# passwd -l myusernameLocking password for

11、user myusername.passwd: Success表明锁定成功2） 输入以下命令行，检查用户 nyusername 的当前状态：rootlocalhost root# passwd -S myusernamePassword locked.3） 如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示：rootlocalhost root# passwd -u myusernameUnlocking password for user myusername.passwd: Success.（5） 建立用户组，将指定的用户添加到用户组中1） 输入以下命令，建立名为 mygroup

12、的用户组：rootlocalhost root# groupadd mygroup2） 如果要修改用户组的名称，使用如下命令行：rootlocalhost root# groupmod -n mygroup1 mygroup将新建的用户组更名为 mygroup13） 输入以下命令，将用户 myusername 加入到新建的组 mygroup1 中并显示提示：rootlocalhost root# gpasswd -a myusername mygroup1Adding user myusername to group mygroup14） 用下面的命令将 myusername 设置为该用户组的

13、管理员：rootlocalhost root# gpasswd -A myusername mygroup1（6） 设置口令规则使用命令rootlocalhost root#vi /etc/login.defs 编辑/etc/login.defs 文件：将 PASS_MIN_LEN_参数改为 8，PASS_MAX_DAYS 参数改为 90 天。如图：（7） 为账户和组相关系统文件加上不可更改属性，防止非授权用户获得权限1） 输入下列口令为口令文件加上不可更改属性：rootlocalhost root# chattr +i /etc/passwd此刻若使用如下命令新建账户：rootlocalho

14、st root# chattr +i /etc/passwd出现不可更改提示：rootlocalhost root# useradd ymmuseradd: unable to open password file2） 可用同样的方法锁定/etc/shadow、/etc/group 以及/etc/gshadow3） 如果要去除文件的不可修改属性，则输入以下命令：rootlocalhost root# chattr -i /etc/passwd（8） 删除用户和用户组1） 输入以下命令，删除新建的用户：rootlocalhost root# userdel myusername2） 输入以下命令

15、，删除新建的用户组：rootlocalhost root# groupdel mygroup12. 文件系统管理及安全（1） 新建文件夹和文件1） 在终端输入下列命令行：rootlocalhost root# mkdir folder将在root目录下新建名为folder的文件夹2） 用 mkdir 命令在 folder 文件夹下建立一个名为 childfolder 的子文件夹rootlocalhost root# mkdir folder/childfolder3） 用 cd 命令进入 child 文件夹下，并建立一个名为 newfile 的文件rootlocalhost root# cd

16、folderrootlocalhost folder# touch newfile（2） 编辑文件1） 用 vi 命令编辑 newfile 文件，在插入模式下插入 This is a newfile2） 按Esc键返回命令行格式，输入“：wq” ，保存退出（3） 查看文件内容和相关信息1） 使用 cat 命令查看文件内容：rootlocalhost folder# cat newfileThis is a newfile.2） 用 ll 命令查看相关文件的信息，输入如下代码：rootlocalhost folder# ll newfile系统回显：-rw-r-r- 1 root root 19

17、 5月 29 01:39 newfile（4） 设置文件的所属用户，用户组和权限1） 用 chmod 命令将 newfile 文件的访问权限设置为所属用户有读写和执行的权限， 用户组有读写的权限，其他用户没有任何权限，命令行如下：rootlocalhost folder# chmod 750 newfile再次查看并记录用户权限;-rwxr-x- 1 root root 19 5月 29 01:39 newfile2） 分别使用 root 和 myusername 用户，尝试读写操作并记录实验结果 使用 root 用户：rootlocalhost root# cat /root/folder/

18、newfileThis is a newfile.使用 myusername 用户：myusernamelocalhost root$ cat /root/folder/newfilecat: /root/folder/newfile: 权限不够3. 查看和更改 PAM 模块设置（1） 查看用于控制口令选择和口令时效的 PAM 模块设置1) 查看/etc/pam.d 文件夹中的文件列表，如图：2) 打开文件/etc/pam.d/passwd,查看与用户口令有关的 PAM 设置rootlocalhost root# cat /etc/pam.d/passwd#%PAM-1.0auth requi

19、red pam_stack.so service=system-authaccount required pam_stack.so service=system-authpassword required pam_stack.so service=system-auth3) 查看文件/etc/pam.d/system-authrootlocalhost root# cat /etc/pam.d/system-auth显示结果如下：#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next ti

20、me authconfig is run.auth required /lib/security/$ISA/pam_env.soauth sufficient /lib/security/$ISA/pam_unix.so likeauth nullokauth required /lib/security/$ISA/pam_deny.so account required /lib/security/$ISA/pam_unix.so password required /lib/security/$ISA/pam_cracklib.so retry=3 type=password suffic

21、ient /lib/security/$ISA/pam_unix.so nullok use_authtok md5shadowpassword required /lib/security/$ISA/pam_deny.so session required /lib/security/$ISA/pam_limits.sosession required /lib/security/$ISA/pam_unix.so（2） 限制 su 命令的使用用户1) 输入下面的命令行，用 cat 命令查看系统中是否存在名为 wheel 的用户组，如 果不存在，则新建该用户：root:x:0:rootkmem

22、:x:9:wheel:x:10:rootmail:x:12:mailmyusername:x:501:显然存在wheel用户组2) 新建用户 newuser，并将其加入到 wheel 组中rootlocalhost root# useradd newuserrootlocalhost root# gpasswd -a newuser wheelAdding user newuser to group wheel3) 再次查看组信息，终端显示root:x:0:rootkmem:x:9:wheel:x:10:root,newusermail:x:12:mailnewuser:x:502:4) 输入

23、下面的命令，用vi编辑su文件（/etc/pam.d/su）：rootlocalhost root# vi /etc/pam.d/su在文件的头部加入如下的一行，然后保存退出：auth required /lib/security/$ISA/pam_wheel.so group=wheel5) 输入下面的命令行，更改文件权限，限制只有wheel用户组的成员可以使用su命令：rootlocalhost root# chown root:wheel /bin/surootlocalhost root# chmod 4750 /bin/su6) 用su命令在wheel用户成员root、newuser

24、以及普通用户myusername之间互相切换，可以看到如下myusername用户被限制使用su命令的结果：rootlocalhost root# su newusernewuserlocalhost root$ su myusernamePassword:myusernamelocalhost root$ su rootbash: /bin/su: 权限不够4. 检查 sysogr 日志设置以及日志文件（1） 打开/etc/syslog.conf 文件，查看 syslog 日志的相关设置myusernamelocalhost root# cat /etc/syslog.conf显示信息如下：

25、# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console # Log anything (except mail) of level info or higher.# Dont log private authentication messages!*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restri

26、cted access.authpriv.* /var/log/secure # Log all the mail messages in one place.mail.* /var/log/maillog # Log cron stuffcron.* /var/log/cron # Everybody gets emergency messages*.emerg * # Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler # Save boot messages

27、 also to boot.loglocal7.* /var/log/boot.log # INN#news.=crit /var/log/news/news.critnews.=err /var/log/news/news.errnews.notice /var/log/news/news.noticerootlocalhost root# clear rootlocalhost root# cat /etc/syslog.conf# Log all kernel messages to the console.# Logging much else clutters up the scre

28、en.#kern.* /dev/console # Log anything (except mail) of level info or higher.# Dont log private authentication messages!*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access.authpriv.* /var/log/secure # Log all the mail messages in one place.m

29、ail.* /var/log/maillog # Log cron stuffcron.* /var/log/cron # Everybody gets emergency messages*.emerg * # Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler # Save boot messages also to boot.loglocal7.* /var/log/boot.log # INN#news.=crit /var/log/news/news.c

30、ritnews.=err /var/log/news/news.errnews.notice /var/log/news/news.notice（2） 打开/var/log/message文件，查看系统的相关记录消息，找出用户身份认证的记录（3） 新建用户user，并以该用户名重复2次失败的系统登录。（4） 再次查看/var/log/message文件，可以查看到关于失败登录的记录消息（二） Linux中Web、FTP服务器的安全配置：1. Apache服务器的安全配置（1） Apache的安装通过下面的命令查看是否安装了 Apache：rootlocalhost root# rpm -qa|grep httpd如果回显如下内容，则说明已经安装了 Apache：httpd-manual-2.0.40-21httpd-2.0.40-21redhat-config-httpd-1.0.1-18（2） Apache的启动用下面命令查看 Apache 是否启动rootlocalhost root# service httpd status如果出现以下信息：httpd (pid 10800 1079