项目2Linux系统下常用网络服务的安全配置.docx

1、项目2Linux系统下常用网络服务的安全配置项目2 L i nux系统下常用网络服务的安全配Window图形界面，而是采用文本命令行的方式进行安装和配置，并在文本模式运行网络应用服务。本项目主要实现校园网内部网络服务器的安全管理问题。一、项目简介在校园网本部（如图2所示）中心机房內假定有数台服务器，服 务器安装的操作系统均为Linux,配置的常用服务有DHCP、DNS、邮件服务、Web. FTP、Samba、NFS等。本项目需要在服务器上设置安全的服务，以保证网络服务 器的安全，并测试网络服务的安全性。二、实训环境1、 硬件环境数台（服务器的数目根据要求来定）服务器和数台测试客户机。2、 软件

2、环境Linux系统使用CentOS5、6,客户机使用Windows XP、Windows7或者Linux系统。本项目计划学 时18学时（含评讲）。任务1 DHCP服务安全（2学时）安全管理需求DHCP服 务是当前网络常用的服务，它实现了 IP地址的分配管理，大大降低了网络管理 员的负担。因此，DHCP服务的安全直接关系到用户以及Linux系统的安全。为 了实现安全的DHCP服务器，需要使用chroot “牢笼“技术。任务描述配置DHCP服务并利用“牢笼”技术来保证DHCP服务的安全。使 用该技术的前提是需要所有程序、配置文件和库文件都必须事先安装到chroot 目录中，如果在这个目录中运行服务

3、，用户将根本看不到Linux文件系统中那个 真正的目录。步骤提示1、 默认情况下CentOS系统并没有安装DHCP组件。需要自己安装。2、 配制DHCP服务。3、 编译安装jail软件包。jail软件可在http：/sourceforge, net/projects/jai 1/上下载，用于实现chrooto jail软件包提供了几个Perl 脚本作为其核心命令,包括 mkja订env、addjailuser 和 addjailsw。mkjai.lenv： 创建chroot目录，并且从真实文件系统中拷贝基本的软件环境。addjailsw：从 真实文件系统中拷贝二进制可执行文件及其相关的其它文件

4、（包括库文件、辅助 性文件和设备文件)到该chroot目录中。add jailuser：创建新的chroot用户。4、使用命令创建chroot目录，假定目录为/root/chroot/o如图2T所示。rootlocalhost src# mkjailenv /root/chroot/mkjailenvA component of Jail (version1.9 for 1 inux)http：/www、gsyc、inf、uc3m、es/assman/jai1/Juan 仁 Casillas Making chrooted environment into /root/chroot/ Doin

5、g preinstall ()Doing special devices()Doing gen template_password()Doing post install ()Done 图 2T 建立 chroot 牢笼”目录5、 为牢笼”添加dhcpd程序。如图2-2所示。rootlocalhost chroot# addjailsw /root/chroot/2 为牢宠添加 dhcpd程序6、 将dhcpd的相关文件复制到牢宠”的相关目录中，目录结构如下：#mkdirp /chroot/dhcp/var/state/dhcp# touch /chroot/dhcp/var/state/dh

6、cp/dhcp、 leases7、重启dhcpd,进行测试。(1)使用命令ps检查dhcpd进程，如图2-3所示。rootlocalhost 、# /root/chroot/usr/sbin/dhcpdlnternet SystemsConsortium DHCP Server V3、0、5-RedHatCopyrigh12004-xx Internet Systems Consortium. All rights reserved . For info, please visit http：/ww、 isc、 org/sw/dhcp/WARNING： Host declarations ar

7、e globalThey are not limited to the scope you declared them in、Wrote 0 deleted host decls to leases file、Wrote 0 new dynamic host decls to leases file. Wrote 1 leases to leases file、 Listening on LPF/ethO/OO：0c：29：la：8d：4a/192、168、 10/24Sending on LPF/ethO/OO：0c：29：la：8d：4a/l92、168、10/24Sending on S

8、ocket/fallback/fallback-netrootlocalhostps3在“牢笼”中的dhcpd进程启动及查看（2）客户端wir）dows7系统获得的 IP地址如图2-4所示。图2-4客户端获取IP地址示意图任务2安全的DNS服 务器配置（4学时）安全管理需求DNS服务是当前网络中非常重要的服务，它 实现了 IP地址与域名的转换，使得人们能通过简单好记的域名来代替IP地址访 问网络。因此髙效管理及使用DNS服务器是网络管理员的一个非常重要的问题。任务描述配置DNS服务器并利用DNS提供的chroot机制实现安全的DNS 服务。使用辅助域名服务器实现冗余备份，与DHCP服务器配合实

9、现DDNS功能。 拓扑图如下所示（图2-5）0 LAN2： 192、168、20、 0/24FQDN： dns1、 gdsspt、 netIP：192、168、20、 5DNS： 192、168、10、 4GATEWAY：192、168、20、 254 LAN1： 192、168、10、 0/24FQDN： dns、 gdsspt. netIP：192、110、 4DNS： 192、168、10、 4GATEWAY：192、168、10、254因特网图2-5网络实现DNS与DHCP拓扑图图2-5中，LAN1中配置 了一台DHCP服务器和一台DNS服务器，LAN2中一台辅助DNS服务器并启动DH

10、CP 中继代理。要求如下：1、 LAN1和LAN2内客户端自动获取IP地址、子网掩码、默认网关及DNS 后缀（gdsspt、net ）o LAN1可用地址为192、168、10、 20192、168、10、100 和 192、168、10、 120192、168、10、250, LAN2可用IP地址为192、168、20、 20192、168、20、 250。2、 网络的主DNS服务器为192、168、10、4,为了提高网段192、168、20、0/24DNS客户端的解析速度需要dns1、gdsspt. net中建立一个辅助区域。3、 网络需要向内网及外网客户端提供web服务、邮件服务的名称解

11、析，内 网用户访问www、gdsspt、net及ma订、gdsspt、net被DNS解析为192、168、10、4,外网用户访问 www、gdsspt. net 及 ma 订、gdsspt、net 被 DMS 解析 为 202、 103、 0、 10o4、 由于客户端数量众多所以需要使用DDTS,减轻DNS的维护工作量。5、 内网用户可以通过本地的DNS服务解析到公网的FQDNo步骤提示1、在主机 dns、gdssptx net 和 dns1、 gdsspt、net上安装DHCP服务。（注：主机名的修改需要在 /etc/sysconf ig/network 和/etc/hosts 中进行）2、

12、 在主机 dns、gdsspt、net 和 dns1、gdsspt、net 上安装 DNS 组件。CentOS5、6提供的组件如下:bindTibs-9、 3、 6-16、P1, el5bind9、 3、 6-16、P1、 el5bind-chroot-9、 3、 6-16、P1、 el5bind-utils-9、 3、 6-16、P1、 el5caching-nameserver-9、 3、 6-16、P1、el5、x8664、rpm （非必需的，BIND配置例子，如果对BIND比较熟悉，可以不安装 该组件。）3、 开启DNS服务器的路由功能，使用如下命令完成。echol /proc/sys

13、/net/ipv4/ip_forward4、 为了更好地显示编辑的当前目录信息（提示符信息），可以修改PS1变量的选项,通过修改文件/etc/bashrc,将里面的”$PS1 ” = ”s-v$ & PSl=Kuh W$ 下的大写的W改成小写的w （表示完整显示目录信息）。 重新进入系统即可显示当前完整的编辑目录。类似于如下图（图2-6）所示： rootlocalhost cd /var/named/chroot/rootlocalhost/var/named/chroot#图26完整显示当前编辑目录示意图5、 在dns、gdsspt net主机上创建DDNS密钥，通过cat查看并记下生成 的

14、密钥注：TSIG （Transaction Signature,事务签名）使用加密验证DNS信 息。TSIG是以加密算法的方式，认证DNS服务器之间的数据传输。首先必须在 主要区域所在服务器上生成加密证书，之后将此证书传递给辅助区域所在服务 器，经过配置后由辅助区域所在服务器以加密方式送往主要区域所在服务器的区 域传输请求。同时提供加密的DDNSo TSIG功能确认DNS之信息是由某特定DNS 服务器提供，并且大多数应用于DNS之间区域传输，确保辅助区域从主要区域复 制得到的数据不会由其他假的DNS服务器提供或被篡改截取。使用命令 dnssec-keygen可以产生加密密钥（该命令的详细内容可

15、参见其帮助文档）。女口图2-7所示。rootdns # cd /var/named/chroot/rootdns /var/named/chroot# dnsseckeygenMD5n USER gdssptdnsKgdssptdns. +157+33084 图 2-7 为 DDNS 创建密钥示意图6、 在dns、gdsspt、net主机上创建TSIG密钥，用于主机区域DMS传送， 通过cat查看并记下生成的密钥。如图2-8所示。rootdns # cd /var/named/chroot/rootdns/var/named/chroot#dnssec-keygenMD5n HOST rndc

16、-key Krndc-key 、+ 157+60882图2-8为主机客户端创建密钥示意图7、 在 dns、gdsspt、net 上使用/usr/share/doc/dhcp-3、Ox 5/dhcpd. con、sample 覆盖/etc/dhcpd. conf,并修改其内容。如 图 2-9 所示。ddns-update-style interim； ignore client-updates；option domain-name gdsspt. net，r；key gdssptdns algorithm hmac-md5； secret ()4gItWAab+aWoBjm9C7Fqw=；:zo

17、ne gdsspt. net、 primaryl92、168、10、 4； key gdssptdns；zone10、168、192、 in-addr. arpa primaryl92、168、10、 4； key gdssptdns；zone20、168、192. in-addr. arpa primaryl92、110、 4； key gdssptdns；shared-network gdsspt subnet!92、168、10、 0 netmask255、255、255、 0 option routersl92、168、10、 254； option subnet-mask255、25

18、5、255、 0； option domain-name-serversi92、168、10、 4,192、168、20、5； option time-offsetbootp192、168、10、 20192、168、10、 100； range dynamic-bootpl92、168、10、 120192、110、250； default-lease-time21600； maxTease-time43200； subnet 192、168、20、 0 netmask255、255、255、0 option routers 192、168、20、 254； option subnet-ma

19、sk255、255、255、 0； option domain-name-serversl92、168、20、 5,192、168、10、 4； option time-offsetbootpl92、168、20、 20192、168、20、 250； default-lease-time21600； max-lease-time43200； 图 2-9 dhcpd配置文件设置示意图8、在dns、gdsspt. net上配置BIND全局配置文件。(1)复制全局配置文 件模板，使用命令：cp - p /var/namedchroot/etc/named. caching-nameserver、

20、conf named、conf (2)修改 named, conf 文件，內容如图 2T0 所示。options listen-on port53 any； ； listen-on-v6 port53 ： ： 1 ； ； directory /var/named”； dump-file *7 var/named/data/cachedump 、 db；statistics-file h/var/named/data/namedstats、 txt”； memstatistics-file/var/named/data/named mem stats 、 txt”； query-source p

21、ort53； query-source-v6 port53； al low-query any； ； #202、103、24、 68 is ISPs DNS Server、 forwarders 202、 103、24、 68； ； forward first；key gdsspttransfer algorithm hmac-md5； secret4iWdKDIHv5108I5Wp9LMLA=；serverl92、168、20、5 keys gdsspttransfer； ； ； key gdssptdns algorithm hmac-md5; secret 04gItWAab+aWoBj

22、m9C7Fqw=；） ； logging channel default_debug file data/named 、 runH: severity dynamic； ；view gdsspt LANresolver match-clients 192、168、10. 0/16； ； match-destinations any； ； recursion yes； include /etc/named lan 、 zones:view gdsspt WANresolver match-clients any； ； match-destinations any； ； recursion yes

23、； include ，r/etc/named wan. zones；图 2T0 named. conf 文件配置示意图9、在dns、gdsspt. net上配置BIND主配置文件（1）复制主配置文件模 板。cp - p /var/named/chroot/etc/named. rfcl912、zones named lan. zonescp - p /var/named/chroot/etc/named、rfcl912、zones named wanzones （2）修改添加 named lan. zones 文件，内容 如图 211 所示。zone gdsspt. netn IN type

24、master； file Mgdsspt. net、 lan zero”； allow-update key gdssptdns； ； allow-transfer key gdsspttransfer； ；zone 10、192. in-addr. arpar IN type master； file 10、168、192、 local； allow-update key gdssptdns； ； allow-transfer key gdsspttransfer； ；zone 20、168、192、in-addr. arpaf IN type master； file 20、168、192

25、. local； al low-update key gdssptdns； ； al low-transfer key gdsspttransfer； ；图2T1主配置文件示意图(1) (3)修改添加named wan, zones 文件，内容如图 2T2 所示。zone gdsspt、net IN type master； file gdsspt、net、wan zero; al low-update none； ;图 212 主配置文件 示意图(2)10、在dns、gdsspt. net上配置BIND区域文件。(1)复制正向解析及反向 解析文件模板，命令如下所示 cp - p /var/n

26、amed/chroot/var/named/named. zero gdsspt. net、lan. zerocp - p /var/named/chroot/var/named/named. zero gdsspt、net、wan、zerocp - p /var/named/chroot/var/named/nanied. local10、168、192、 localcp - p /var/named/chroot/var/named/named. local20、168、192、local (2)修改文件 gdsspt、net、lan. zero,如图 2-13 所示$TTL86400 I

27、N SOA dns、gdsspt、net. root、gdsspt、net. (42 ； serial (d、 adams)3H ； refresh15M ； retrylW ； expirylD )；minimum IN NS dns. gdsspt、net. IN MX 10 dns、gdsspt、net. dns INA192、168、10、 4www IN CNAME dns、gdsspt、net. mail IN CNAME dns. gdsspt、net. 图2T3正向区域文件配置(1) (3)修改文件gdsspt、net、wan、zero,如图 2T4 所示。$TTL86400

28、IN SOA dns. gdsspt. net. root、gdsspt. net、(42； serial (d、 adams)3H ； refresh15M ； retrylW ； expirylD )；mini mum IN NS dns、gdsspt. net. IN MX 10 dns、gdsspt、n et、dns IN A202、103、0、lOwww INCNAME dnsgdsspt、net. mail INCNAME dns、gdsspt、 net、图2-14正向区域文件配置(2) (4)修改文件10、168、192、local,如图 2-15 所示。$TTL86400 IN

29、 SOA dns. gdsspt. net、root gdsspt、 net. (1997022700 ； Serial28800 ； Refreshl4400 ； Retry3600000 ； Expire86400 )；Minimum IN NS dns、gdsspt. net、4 IN PTR dns、gdsspt、net、图 2-15 反向区域文件配置(1)(5)修改文件20、168、192、local,如图 2-16 所示。$TTL86400 IN SOA dns、gdsspt、net、root、 gdsspt、net、 (1997022700 ； Serial28800 ； Ref

30、resh 14400 ； Retry3600000 ； Expire86400 )；Minimum IN NS dns、gdsspt、net、图 2T6 反向区域文件配置(2)11、 在 dns、gdsspt. net 上修改/var/named/chroot/var/named 系统权限。命令如 F: chownnameserver. conf named. conf (2)修改 namedconf 文件， 如图 2T7 所示。options listen-on port53 any； ； listen-on-v6 port53 : ： 1; ; directory w/var/named； dump-file ,r/var/named/data/cache_dump db； statistics-file H/var/named/data/named stats 、 txt；memstatistics-file H/var/named/data/named mem stats、txt”； query-source port53； query-sourcev6 port53； allow-query any； ；logging channel default_debug file Kdata/named