Linux实用技能教程——基于Fedora和RHEL5 教学课件 作者 孙永道 电子课件 第19章 Linux安全基础.ppt

* 第18章 流媒体服务配置管理 主要内容 1 Linux系统的安全策略 6 用Iptables实现NAT 4 用Iptables保护Linux 2 RHEL 5基本的安全配置 5 Iptables举例 3 TCP_wrapper实现系统安全 19.1 Linux系统的安全策略 1.建立安全的文件系统 2.及时备份重要的数据 3.建立安全的日志服务器 4.建立入侵检测和反入侵系统 5.通过防火墙来保护系统 返回 19.2 RHEL 5基本的安全配置 1.设置安全的BIOS密码 2.设置强健的用户口令 3.保护口令文件 #chattr +i /etc/passwd #chattr +i /etc/shadow #chattr +i /etc/group #chattr +i /etc/gshadow 4.禁止Ctrl+Alt+delete重新启 #chmod -R 700 /etc/rc.d/init.d/* 19.2 RHEL 5基本的安全配置 5.限制su命令 auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=super #usermod -G super admin 6.删除登录提示信息 echo “” /etc/issue //从本地登录显示的信息文件 echo “” /etc/ //从网络登录显示信息的文件 19.2 RHEL 5基本的安全配置 7.登录终端设置 # tty2 # tty3 # tty4 # tty5 # tty6 8.阻止ping echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 9.防止IP欺骗 order bind , hosts multi off nospoof on 返回 19.3 TCP_wrapper实现系统安全 1.服务列表 服务列表是要支持的服务的名 ，telnetd vsftpd或telnetd，vsftpd ALL EXCEPT telnetd ALL EXCEPT telnetd vsftpd 2.主机列表 （1）单个主机 域名表示：如 IP地址表示：如 19.3 TCP_wrapper实现系统安全 （2）一批主机 IP地址：如172.12. 表示所有IP开始为172.16的主 机，如 域名：如.表示所有域的主 机，如 网络：如/251.255，表示172.18子网的所 有机器 （3）NIS组 vsftpd : 140.119. ..tw .tw : ALLOW 19.3 TCP_wrapper实现系统安全 3.选项说明 ALLOW：接受连接请求 DENY：拒绝连接请求 ALL: .bad.domain: DENY fingerd: unknown@all : DENY ALL: ALL@ALL:ALLOW vsftpd:172.12.:banners /usr/vsftpd/mesg:deny //不允许123.12.X.X主机访问vsftpd telnetd:all@all:banners/usr/telnetd/mesg:allow //允许所有主机访问telnet 返回 19.4用Iptables保护Linux 1.Ipbables的基本原理 19.4用Iptables保护Linux 2. iptables命令参数 iptables [-t table] command [options] [match] [-jtarget/jump] nat 有PREROUNTING、POSTROUNTING和OUTPUT三个链，主要用于IP地址转换（SNAT、DNAT、PNAT）。 mangle 有PREROUNTING、FORWARD、INPUT、OUTPUT和POSTROUNTING五个链。 主要用户数据包的特殊修改，如修改TTL、TOS或设置MARK。 filter 默认表，有 INPUT、FORWARD 和 OUTPUT 三个链，用来进行包过滤的处理：DROP、 LOG、 ACCEPT 或 REJECT，基本防火墙规则都建立在此表中。 19.4用Iptables保护Linux (2) command参数说明 选项 -x或--exact，使--list输出中的计数器显示准确的数值，而不用K、M、G等估值。注意此选项只能和--list连用。 适用的命令 --list 选项 -n, --numeric，使输出中的IP地址和端口以数值的形式显示，而不是默认的