项目2Linux系统下常用网络服务的安全配置文档格式.docx
- 文档编号:5679494
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:17
- 大小:22.74KB
项目2Linux系统下常用网络服务的安全配置文档格式.docx
《项目2Linux系统下常用网络服务的安全配置文档格式.docx》由会员分享,可在线阅读,更多相关《项目2Linux系统下常用网络服务的安全配置文档格式.docx(17页珍藏版)》请在冰点文库上搜索。
4、使用命令创建chroot目录,假定目录为/root/chroot/o如图2T所示。
[root@localhostsrc]#mkjailenv/root/chroot/mkjailenvAcomponentofJail(version
1.9for1inux)http:
//www、gsyc、inf、uc3m、es/^assman/jai1/Juan\仁CasillasMakingchrootedenvironmentinto/root/chroot/Doingpreinstall()
Doingspecialdevices()
Doinggentemplate_password()
Doingpostinstall()Done^图2T建立chroot"
牢笼”目录
5、为"
牢笼”添加dhcpd程序。
如图2-2所示。
[root@localhostchroot]#addjailsw/root/chroot/2为"
牢宠"
添加dhcpd程序
6、将dhcpd的相关文件复制到'
'
牢宠”的相关目录中,目录结构如下:
#
mkdirp/chroot/dhcp/var/state/dhcp#touch/chroot/dhcp/var/state/dhcp/dhcp、leases
7、重启dhcpd,进行测试。
(1)使用命令ps检查dhcpd进程,如图2-3
所示。
[root@localhost、]#/root/chroot/usr/sbin/dhcpdlnternetSystems
ConsortiumDHCPServerV
3、0、5-RedHatCopyrigh12004-xxInternetSystemsConsortium.Allrightsreserved.Forinfo,pleasevisithttp:
//ww、isc、org/sw/dhcp/WARNING:
HostdeclarationsareglobalTheyarenotlimitedtothescopeyoudeclaredthemin、Wrote0deletedhostdeclstoleasesfile、Wrote0newdynamichostdeclstoleasesfile.Wrote1leasestoleasesfile、ListeningonLPF/ethO/OO:
0c:
29:
la:
8d:
4a/1
92、1
68、10/24SendingonLPF/ethO/OO:
4a/l
68、10/24SendingonSocket/fallback/fallback-net[root@localhost
ps3在“牢笼”中的dhcpd进程启动及查看
(2)客户端wir)dows7系统获得的IP地址如图2-4所示。
图2-4客户端获取IP地址示意图任务2安全的DNS服务器配置(4学时)[安全管理需求]DNS服务是当前网络中非常重要的服务,它实现了IP地址与域名的转换,使得人们能通过简单好记的域名来代替IP地址访问网络。
因此髙效管理及使用DNS服务器是网络管理员的一个非常重要的问题。
[任务描述]配置DNS服务器并利用DNS提供的chroot机制实现安全的DNS服务。
使用辅助域名服务器实现冗余备份,与DHCP服务器配合实现DDNS功能。
拓扑图如下所示(图2-5)0LAN2:
1
68、
20、0/24FQDN:
dns
1、gdsspt、netIP:
1
20、5DNS:
10、4GATEWAY:
20、254LAN1:
10、0/24FQDN:
dns、gdsspt.netIP:
10、4DNS:
10、254因特网图2-5网络实现DNS与DHCP拓扑图图2-5中,LAN1中配置了一台DHCP服务器和一台DNS服务器,LAN2中一台辅助DNS服务器并启动DHCP中继代理。
要求如下:
1、LAN1和LAN2内客户端自动获取IP地址、子网掩码、默认网关及DNS后缀(gdsspt、net)oLAN1可用地址为1
10、20~1
10、100和1
10、120~1
10、250,LAN2可用IP地址为1
20、20~1
20、250。
2、网络的主DNS服务器为1
10、4,为了提高网段1
20、0/24DNS客户端的解析速度需要dns
1、gdsspt.net中建立一个辅助区域。
3、网络需要向内网及外网客户端提供web服务、邮件服务的名称解析,内网用户访问www、gdsspt、net及ma订、gdsspt、net被DNS解析为1
10、4,外网用户访问www、gdsspt.net及ma订、gdsspt、net被DMS解析为202、103、0、10o
4、由于客户端数量众多所以需要使用DDTS,减轻DNS的维护工作量。
5、内网用户可以通过本地的DNS服务解析到公网的FQDNo
1、在主机dns、gdssptxnet和dns
1、gdsspt、net上安装DHCP服务。
(注:
主机名的修改需要在/etc/sysconfig/network和/etc/hosts中进行)
2、在主机dns、gdsspt、net和dns
1、gdsspt、net上安装DNS组件。
CentOS
5、6提供的组件如下:
bindTibs-
9、3、6-
16、P
1,el5bind~
1、el5bind-chroot-
1、el5bind-utils-
1、el5caching-nameserver-
1、el
5、x86
64、rpm(非必需的,BIND配置例子,如果对BIND比较熟悉,可以不安装该组件。
)
3、开启DNS服务器的路由功能,使用如下命令完成。
echol>
/proc/sys/net/ipv4/ip_forward
4、为了更好地显示编辑的当前目录信息(提示符信息),可以修改PS1变
量的选项,通过修改文件/etc/bashrc,将里面的”$PS1”=”\\s-\\v\\\$"
]&
&
PSl=K[\u@\h\W]\\$"
下的大写的W改成小写的w(表示完整显示目录信息)。
重新进入系统即可显示当前完整的编辑目录。
类似于如下图(图2-6)所示:
[root@localhostcd/var/named/chroot/[root®
localhost
/var/named/chroot]#图2~6完整显示当前编辑目录示意图
5、在dns、gdsspt^net主机上创建DDNS密钥,通过cat查看并记下生成的密钥°
注:
TSIG(TransactionSignature,事务签名)使用加密验证DNS信息。
TSIG是以加密算法的方式,认证DNS服务器之间的数据传输。
首先必须在主要区域所在服务器上生成加密证书,之后将此证书传递给辅助区域所在服务器,经过配置后由辅助区域所在服务器以加密方式送往主要区域所在服务器的区域传输请求。
同时提供加密的DDNSoTSIG功能确认DNS之信息是由某特定DNS服务器提供,并且大多数应用于DNS之间区域传输,确保辅助区域从主要区域复制得到的数据不会由其他假的DNS服务器提供或被篡改截取。
使用命令dnssec-keygen可以产生加密密钥(该命令的详细内容可参见其帮助文档)。
女口
图2-7所示。
[root@dns~]#cd/var/named/chroot/[root@dns/var/named/chroot]#dnssec~keygenMD5nUSERgdssptdnsKgdssptdns.+157+33084图2-7为DDNS创建密钥示意图
6、在dns、gdsspt、net主机上创建TSIG密钥,用于主机区域DMS传送,通过cat查看并记下生成的密钥。
如图2-8所示。
[root@dns#cd/var/named/chroot/[root@dns
/var/named/chroot]#dnssec-keygenMD5nHOSTrndc-keyKrndc-key、
+157+60882图2-8为主机客户端创建密钥示意图
7、在dns、gdsspt、net上使用/usr/share/doc/dhcp-
3、Ox5/dhcpd.con、sample覆盖/etc/dhcpd.conf,并修改其内容。
如图2-9所示。
ddns-update-styleinterim;
ignoreclient-updates;
optiondomain-name"
gdsspt.net,r;
keygdssptdns{algorithmhmac-md5;
secret()4gItWAab+aWoBjm9C7Fqw==;
:
}zonegdsspt.net、{primaryl
10、4;
keygdssptdns;
}zone
10、1
68、1
92、in-addr.arpa^{primaryl
20、1
92.in-addr.arpa^{primaryl
}shared-networkgdsspt{subnet!
10、0netmask2
55、2
55、0{optionroutersl
10、254;
optionsubnet-mask2
55、0;
optiondomain-name-serversi
10、4,1
20、5;
optiontime-offsetbootp1
10、201
10、100;
rangedynamic-bootpl
10、1201
10、250;
default-lease-time21600;
maxTease-time43200;
}subnet1
20、0netmask2
55、0{optionrouters1
20、254;
optiondomain-name-serversl
20、5,1
optiontime-offsetbootpl
20、201
20、250;
max-lease-time43200;
}}图2-9dhcpd配置文件设置示意图
8、在dns、gdsspt.net上配置BIND全局配置文件。
(1)复制全局配置文件模板,使用命令:
cp-p/var/namedchroot/etc/named.caching-nameserver、confnamed、conf
(2)修改named,conf文件,內容如图2T0所示。
options
{listen-onport53{any;
};
listen-on-v6port53{:
:
1;
};
directory"
/var/named”;
dump-file*7var/named/data/cachedump、db"
;
statistics-fileh/var/named/data/namedstats、txt”;
memstatistics-file
/var/named/data/namedmemstats、txt”;
query-sourceport53;
query-source-v6port53;
allow-query{any;
#202、103、
24、68isISPsDNSServer、forwarders{202、103、
24、68;
forwardfirst;
};
keygdsspttransfer{algorithmhmac-md5;
secret4iWdKDIHv5108I5Wp9LMLA==;
serverl
20、5{keys{gdsspttransfer;
};
keygdssptdns{algorithmhmac-md5;
secret04gItWAab+aWoBjm9C7Fqw==;
);
logging{channeldefault_debug{file^data/named、runH:
severitydynamic;
viewgdssptLANresolver{match-clients{1
10.0/16;
match-destinations{any;
recursionyes;
include^/etc/namedlan、zones}:
viewgdssptWANresolver{match-clients{any;
include,r/etc/namedwan.zones"
图2T0named.conf文件配置示意图
9、在dns、gdsspt.net上配置BIND主配置文件
(1)复制主配置文件模板。
cp-p/var/named/chroot/etc/named.rfcl9
12、zonesnamedlan.zonescp-p/var/named/chroot/etc/named、rfcl9
12、zonesnamedwanzones
(2)修改添加namedlan.zones文件,内容如图2~11所示。
zone°
gdsspt.netnIN{typemaster;
fileMgdsspt.net、lanzero”;
allow-update{keygdssptdns;
allow-transfer{keygdsspttransfer;
zone"
92.in-addr.arpa'
rIN{typemaster;
file"
92、local"
92、in-addr.arpa'
fIN{typemaster;
92.local;
allow-update{keygdssptdns;
allow-transfer{keygdsspttransfer;
图2T1主配置文件示意图
(1)(3)修改添加namedwan,zones文件,内容如图2T2所示。
gdsspt、net"
IN{typemaster;
gdsspt、net、wan>
zero"
;
allow-update{none;
};
};
图2~12主配置文件示意图
(2)
10、在dns、gdsspt.net上配置BIND区域文件。
(1)复制正向解析及反向解析文件模板,命令如下所示°
cp-p/var/named/chroot/var/named/named.zerogdsspt.net、lan.zerocp-p/var/named/chroot/var/named/named.zerogdsspt、net、wan、zerocp-p/var/named/chroot/var/named/nanied.local
92、localcp-p/var/named/chroot/var/named/named.local
92、local
(2)修改文件gdsspt、net、lan.zero,如图2-13所示°
$TTL86400@INSOAdns、gdsspt、net.root、gdsspt、net.(42;
serial(d、adams)
3H;
refresh15M;
retrylW;
expirylD)
minimumINNSdns.gdsspt、net.INMX10dns、gdsspt、net.dnsIN
A1
10、4wwwINCNAMEdns、gdsspt、net.mailINCNAMEdns.gdsspt、net.图2T3正向区域文件配置
(1)(3)修改文件gdsspt、net、wan、zero,如图2T4所示。
$TTL86400@INSOAdns.gdsspt.net.root、gdsspt.net、(42;
minimumINNSdns、gdsspt.net.INMX10dns、gdsspt、net、dnsINA202、103、0、lOwwwINCNAMEdnsgdsspt、net.mailINCNAMEdns、gdsspt、net、图2-14正向区域文件配置
(2)(4)修改文件
92、local,如图2-15所示。
$TTL86400@INSOAdns.gdsspt.net、rootgdsspt、net.(1997022700;
Serial28800;
Refreshl4400;
Retry3600000;
Expire86400)
MinimumINNSdns、gdsspt.net、4INPTRdns、gdsspt、net、图2-15反向区域文件配置
(1)(5)修改文件
92、local,如图2-16所示。
$TTL86400@INSOAdns、gdsspt、net、root、gdsspt、net、(1997022700;
Refresh14400;
MinimumINNSdns、gdsspt、net、图2T6反向区域文件配置
(2)
11、在dns、gdsspt.net上修改/var/named/chroot/var/named系统权限。
命令如F:
chownnameserver.confnamed.conf
(2)修改namedconf文件,如图2T7所示。
options{listen-onport53{any;
listen-on-v6port53{:
1;
directoryw/var/named"
dump-file,r/var/named/data/cache_dumpdb"
statistics-fileH/var/named/data/namedstats、txt"
memstatistics-fileH/var/named/data/namedmemstats、txt”;
query-source~v6port53;
allow-query{any;
logging{channeldefault_debug{fileKdata/named
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 项目 Linux 系统 常用 网络服务 安全 配置