linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx
- 文档编号:15943462
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:14
- 大小:53.48KB
linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx
《linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx》由会员分享,可在线阅读,更多相关《linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx(14页珍藏版)》请在冰点文库上搜索。
linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟
《linux网关及安全应用》理论课教案
第5章(漏洞检测和远程访问控制)
《linux网关及安全应用》理论课教案1
一.课程回顾1
二.本章工作任务(问题列表)1
三.本章技能目标2
四.本章重点难点2
4.1课程重点2
4.2课程难点2
五.整章授课思路[100分钟]2
5.1本章授课思路:
2
5.2预习检查、任务、目标部分[10分钟]3
5.3技能点讲解[80分钟]3
5.4总结[6分钟]采用提问方式,注意引导学员回答重点即可!
8
六.布置作业:
[4分钟]8
6.1本章作业8
6.2作业的提交方式与要求8
6.3课后习题答案9
七.习题9
课时:
2学时
授课人:
焦可伟
一.课程回顾
❑普通代理、透明代理的特点和区别在哪里?
❑反向代理的主要作用是什么,如何配置实现?
❑在配置透明代理时,设置的防火墙规则起什么作用?
❑实现squid访问列表控制的2个主要配置项是什么?
二.本章工作任务(问题列表)
1.如何测定指定的Linux服务器是否在正常运行?
2.在Linux命令行管理界面中,如何快速了解局域网内的服务器开放了哪些端口?
3.在Linux管理机上,如何对局域网内的网络数据通讯进行抓包分析?
4.在Linux系统环境中,有哪些工具可以对Linux服务器做安全检测和漏洞检查?
5.在配置SSHD控制远程连接控制时,如何禁止指定的用户登录?
如何限定尝试密码的次数?
6.如何使用密钥认证机制,以更好地保证SSH远程管理的安全性
7.在对Linux服务器的管理中,如何配置SSHD实现更加安全和可靠的远程管理方式?
8.如何设置TCPWrappers策略实现只有特定IP地址才可访问本机的SSHD服务?
9.若需要禁止外部客户端访问网关服务器的某些服务,应如何设置?
三.本章技能目标
❑会构建及使用Nessus漏洞检测系统
❑熟悉NMAP、EtterCap、WireShark等常用工具
❑会构建安全的SSH远程登录服务
❑会使用SSH客户端工具实现远程访问
❑会应用TCPWrappers访问控制机制
四.本章重点难点
4.1课程重点
❑Nessus漏洞检测系统的构建和作用
❑SSH远程登录服务的构建和使用
❑TCPWrappers访问控制机制
4.2课程难点
❑SSH密钥对验证
(强调:
这个知识点即是重点也是难点,需要在课上强调)
五.整章授课思路[100分钟]
5.1本章授课思路:
本章主要讲述漏洞检测和远程访问控制,同时简单介绍了几个安全扫描和嗅探类工具。
❑Nessus系统用于检测服务器的安全性,是本章的一个重点;
❑SSH服务作为最常用的远程管理方式,其使用方法及安全控制也是一个重点;
❑TCPWrappers可以作为服务访问控制的一个辅助内容;
❑NMAP等安全应用工具仅作基本介绍。
5.2预习检查、任务、目标部分[10分钟]
1)预习检查:
(2分钟)
❑Linux常用安全工具都有哪些?
❑Linux系统下实现远程管理的方法?
2)技能目标讲解:
(4分钟)
1.会构建及使用Nessus漏洞检测系统
2.熟悉NMAP、EtterCap、WireShark等常用工具
3.会构建安全的SSH远程登录服务
4.会使用SSH客户端工具实现远程访问
5.会应用TCPWrappers访问控制机制
3)课程结构:
(4分钟)
5.3技能点讲解[80分钟]
1)构建Nessus漏洞检测系统[20分钟]
a)引入:
Linux系统的安全性如何保证?
如何检测系统存在的漏洞和安全隐患,我们首先介绍Nessus的特点和组成,然后分别演示服务器端的安装设置、客户端的登录及执行扫描、查看检测结果。
b)讲解要点:
Nessus漏洞检测系统:
❑Nessus是什么
强大的网络弱点(漏洞)扫描与分析工具
美国TenableNetworkSecurity,Inc公司出品
官方站点:
http:
//www.nessus.org/
❑Nessus系统的组成
服务器端:
nessusd
用户端(客户端):
NessusClient
安装Nessus漏洞检测系统
❑安装Nessus服务端
❑安装Nessus用户端
❑服务端程序位于/opt/nessus/sbin/目录,客户端程序位于/opt/nessus/bin/目录
❑可分别调整环境变量PATH和MANPATH,以方便执行nessus相关程序及查看帮助
❑启动nessusd服务器程序
❑添加扫描用户
❑使用NessusClient用户端:
在RHEL5的图形桌面环境中,在“终端”窗口中执行“NessusClient&”命令,或者按Alt+F2键调出“运行”,输入“NessusClient”也可以打开该程序
c)课堂案例:
d)小结采用提问方式,注意引导学员回答重点即可!
2)其他常用扫描及分析工具[20分钟]
•a)引入:
首先对这3款工具的作用等进行整体的介绍,从下一页开始分别讲解并简单演示使用方法。
b)讲解要点:
NMAP扫描工具
主要用于网络/主机扫描探测的命令行软件;
简单讲解nmap软件包的安装及使用格式,介绍其较常用的几种扫描类型、扫描选项,并对相关的扫描用法进行简单演示。
EtterCAP网络嗅探工具
主要针对用户名/密码等敏感信息的嗅探抓包工具;
简单讲解ettercap软件安装过程中的注意事项;
ettercap-NG软件包使用标准的“./configure&&make&&makeinstall”编译安装过程即可
若教员的授课速度相对较为缓慢,可以省略安装过程的演示,但是需要向学员讲清楚需要安装的软件包及其顺序;
WireShark协议分析器
抓取网络数据包并进行逐层分解的协议分析软件;
简单讲解wireshark软件包的安装过程(依赖软件包与EtterCAP软件的相同,这里可以省略);
wireshark软件包同样使用标准的“./configure&&make&&makeinstall”编译安装过程;
c)课堂案例:
案例一:
安装Nessus服务端
案例二:
安装Nessus用户端
案例三:
nmap软件包的安装
案例四:
ettercap软件安装
案例五:
wireshark软件包的安装
d)小结采用提问方式,注意引导学员回答重点即可!
1.Nessus漏洞检测系统的用户端程序是什么?
2.在添加用于漏洞扫描的用户时如何限制扫描权限?
3.NMAP、EtterCAP和WireShark工具各自的用途和特点是什么?
3)构建SSH远程登录系统[20分钟]
•a)引入:
通过远程管理命令telnet引出linux系统下远程管理的工具Openssh。
讲述SSH的含义、作用,可以对比较早的telnet、rsh等工具体现其优势,SSH是目前应用最为广泛的服务器远程管理方式。
b)讲解要点:
OpenSSH服务端安全控制
1.SSH(SecureShell,安全的命令解释器)
→为客户机提供安全的Shell环境,用于远程管理
→默认端口:
TCP22
2.OpenSSH
→官方站点:
→主要软件包:
openssh-server、openssh-clients
→服务名:
sshd
→服务端主程序:
/usr/sbin/sshd
→客户端主程序:
/usr/bin/ssh
→服务端配置文件:
/etc/ssh/sshd_config
→客户端配置文件:
/etc/ssh/ssh_config
3.用户远程登录安全控制
4.SSH登录的用户验证方式
SSH客户端应用
❑使用ssh命令远程登录
❑使用scp命令远程复制文件/目录
❑使用sftp命令从服务器下载文件
❑使用图形客户端软件PuttyCN
❑使用图形客户端软件WinSCP
构建密钥对验证的SSH登录体系
第一步:
创建密钥对私钥文件:
id_rsa公钥文件:
id_rsa.pub
第二步:
上传公钥文件id_rsa.pub
第三步:
将公钥信息导入公钥数据库数据库文件:
~/.ssh/authorized_keys
第四步:
再次登录时将通过密钥对验证
c)课堂案例:
案例一:
构建密钥对验证的SSH登录体系
基本实现步骤
1.在客户机创建密钥对
ssh-keygen命令
2.将公钥文件上传至服务器
3.设置服务器
将公钥信息导入到服务器中用户的公钥数据库
禁用密码验证、启用密钥对验证,并重启sshd服务
4.在客户机远程登录进行验证
4)使用TCPWrappers机制[20分钟]
a)引入:
简单概述TCPWrappers机制的“包袱”保护原理,其作用有点类似于机关的“传达室”、大型理发店的“服务台”等,例如:
在一些规模较大的理发店中,会设置有服务台(前台)直接面向顾客。
顾客需要指定的理发师提供服务时,需要通过前台进行预约;而当生意清淡没有顾客的时候,理发师们可能在后边休息呢,并不需要一致在前台等待。
对于少数高级的理发师来说,可能只为特定人群提供服务(如专做婴幼儿理发、女士发型等),而是否拒绝顾客的预约要求则由服务台完成。
b)讲解要点:
使用TCPWrappers机制
→使用RHEL5系统自带的tcp_wrappers软件包;
→使用方式1时需要运行tcpd主程序,而使用方式2时无需运行tcpd主程序(例如vsftpd、sshd、xinetd等),方式2更为常用;
→这里可以简单介绍以下xinetd超级服务器的用途和配置目录“/etc/xinetd.d/”,xinetd可能需要从RHEL5光盘中另行安装;
→介绍TCPWrappers机制的两个主要配置文件的位置、用途,接下来讲解这两个配置文件中的配置格式;
TCPWrappers的访问控制原则:
❑首先检查hosts.allow文件,若找到相匹配的策略,则允许访问
❑否则继续检查hosts.deny文件,若找到相匹配的策略,则拒绝访问
❑如果两个文件中都没有相匹配的策略,则允许访问
c)课堂案例:
案例一:
仅允许地址为61.63.65.67或176.16.16.10~19以及192.168.2.0/24网段的客户机访问sshd服务
5.4总结[6分钟]采用提问方式,注意引导学员回答重点即可!
提问:
(一)nessus漏洞扫描系统的应用机制/过程是怎样的?
(二)NMAP、EtterCAP和WireShark工具的用途分别是什么,各有什么优点?
(三)sshd服务器的默认配置文件是什么?
(四)在配置sshd服务器时,如何禁止root用户进行远程登录?
(五)配置sshd双密钥认证的过程是怎样的?
六.布置作业:
[4分钟]
6.1本章作业
a)课后选择题:
P132
b)课后简答题:
P137题1、2、3、4、5
c)抄写和背诵本章单词列表
d)完成本章实验案例一、案例二
6.2作业的提交方式与要求
a)课后选择题:
把答案写在课本上
b)课后简答题:
作业写在作业本上,下次上课提交
c)抄写和背诵本章单词列表:
写在作业本上,至少5遍
d)完成本章实验案例一和案例二:
提交实验报告
6.3课后习题答案
1.AC
2.B
3.C
4.B
5.BC
七.习题
1.在安装好Nessus服务器端后,需要启动服务器程序,可以使用的命令是()
A./etc/init.d/nessusdstart
B.nessusdstart
C.servicenessusdstart
D.servicenessusstart
正确答案:
AC
考点:
安装及配置Nessusd服务[★★]
2.Nessus用户端程序需要在X-window图形环境中运行,运行命令是()
A.nessusclient
B.nessusclient&
C.servicenessusclientstart
D.servicenessuscltstart
正确答案:
B
考点:
使用NessusClient进行漏洞检测[★★★]
3.NMAP是一个经典的端口扫描工具,如果想探测192.168.1.0/24网段中各主机开启了那些服务?
可以()
A.nmap-sS-p21192.168.1.0/24
B.nmap-sT-P0192.168.1.0/24
C.nmap-sS192.168.1.0/24
D.nmap-sP-n192.168.1.0/24
正确答案:
C
考点:
使用NMAP工具进行端口扫描[★★]
4.安装EtterCAP软件时,需要从RHEL5光盘上安装依赖的软件包是()
A.libnet
B.ettercap
C.libpcap
D.libpcap-devel
正确答案:
CD
考点:
使用EtterCAP进行网络嗅探[★]
5.Wireshark是linux系统安全领域中注明的网络协议分析工具,其功能有些相似于我们在前面所学的windows下的()工具
A.MBSA
B.sniffer
C.spotlight
D.hgod
正确答案:
B
考点:
使用WireShark进行抓包分析[★]
6.在配置SSH服务器端时,如果希望root管理员账户不能通过ssh远程连接,需要在配置文件sshd_config中修改哪个参数来实现()
A.permitemptypassword
B.denyusers
C.denyroot
D.permitrootlogin
正确答案:
D
考点:
设置sshd远程登录服务[★★★]
7.管理员想通过用户账户benet身份远程连接到ssh服务器,使用ssh命令远程登录的格式可以是()(选择两项)
A.sshbenet@服务器IP
B.ssh-lbenet服务器IP
C.ssh服务器IP
D.sshbenet服务器IP
正确答案:
AB
考点:
使用ssh客户端命令[★★★]
8.常见的ssh客户端工具,不包括()
A.PuTTY
B.SSHSecureShellClient
C.SecureCRT
D.telnet
正确答案:
D
考点:
使用Putty图形客户端工具[★]
9.构建密钥对验证的SSH登录服务器时,需要将客户端创建的公钥文件发送给openssh服务器,并保存到服务器的授权密钥库中,传递公钥文件,可以()(选择三项)
A.FTP
B.SAMAB
C.SCP
D.BT
正确答案:
ABC
考点:
设置密钥验证的sshd远程登录系统[★★★]
10.使用TCPWrappers机制设置访问控制策略,格式为服务程序列表:
客户机地址列表。
那么客户机地址列表可以是()(选择三项)
A.单个IP地址
B.网段地址
C.不能是所有地址
D.以逗号分隔的多个地址
正确答案:
ABD
考点:
TcpWrapper机制的原理[★★]
11.当使用TCPWrappers机制进行访问控制时,若在hosts.allow文件中已经设置sshd:
192.168.1.1,而在hosts.deny中也有相同的设置项,那么192.168.1.1是否可以访问SSH服务器。
()
A.允许访问
B.禁止访问
C.允许访问,不过需要重启服务
D.禁止访问,重启系统后可以
正确答案:
A
考点:
设置TcpWrapper服务访问控制[★★★]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 网关 安全 应用 漏洞 检测 远程 访问 控制 理论 教案 焦可伟