加强Linux用户网络访问权限的安全控制能力

1、加强 Linux 用户网络访问权限的安全控制能力1.1 场景描述1.1.1 学习目的学生通过该能力模块的学习 ,能够独立完成和熟练把握安全设置 NFS 和 SAMBA 服务，从而实现文件安全访咨询的能力。 。1.1.2 学习要求明白得:NFS和SAMBA差不多概念。把握:NFS与SAMBA安全配置。1.1.3 学习重点和难点1.学习重点安全设置 NFS安全设置 SAMBA2.学习难点安全设置SAMBA :明白得SAMBA服务器安全访咨询级不。1.2 知识预备1.2.1 NFSNFS是分布式运算机系统的一个组成部分，可实现在异构网络上共享 和装配远程文件系统。NFS简介NFS由SUN公司开发，目

2、前差不多成为文件服务的一种标准(RFC19 04，RFC1813)。其最大功能是能够通过网络让不同操作系统的运算机能够 共享数据，因此也能够将其看做是一台文件服务器，如图 1-1 所示。 NFS 提供了除Samba之外，Windows与Linux及UNIX与Linux之间通信的方 法。客户端PC能够挂载NFS服务器所提供的名目同时挂载之后那个名目 看起来如同本地的磁盘分区一样，能够使用 cp、cd、mv、rm 及 df 等与磁 盘有关的命令。NFS有属于自己的协议与使用的端口号，然而在传送资料 或者其他有关信息时候， NFS 服务器使用一个称为 "远程过程调用 "( Rem

3、ot e Procedure Call，RPC)的协议来协助 NFS服务器本身的运行。为何使用 NFSNFS的目标是使运算机共享资源，在其进展过程中（即20世纪80年代），运算机工业飞速进展，廉价 CPU及客户端/服务器技术促进了分布式 运算环境的进展。然而当处理器价格下降时，大容量的储备系统相对而言 价格仍居高不下。因此必须采纳某种机制在充分发挥单个处理器性能的同 时使运算机可共享储备资源和数据，因此 NFS应运而生。NFS协议使用NFS,客户端能够透亮地访咨询服务器中的文件系统，这不同于 提供文件传输的FTP协议。FTP会产生文件一个完整的副本；NFS只访咨 询一个进程引用文件部分,同时一

4、个目的确实是使得这种访咨询透亮。这 就意味着任何能够访咨询一个本地文件的客户端程序不需要做任何修改, 就应该能够访咨询一个NFS文件。NFS是一个使用SunRPC构造的客户端/服务器应用程序，其客户端通 过向一台NFS服务器发送RPC要求来访咨询其中的文件。尽管这一工作能 够使用一样的用户进程来实现，即 NFS客户端能够是一个用户进程，对服 务器进行显式调用,而服务器也能够是一个用户进程。因为两个理由, NF S 一样不如此实现。第一访咨询一个NFS文件必须对客户端透亮，因此NF S 的客户端调用是由客户端操作系统代表用户进程来完成的； 其次,出于效 率的考虑，NFS服务器在服务器操作系统中实

5、现。如果 NFS服务器是一个 用户进程,每个客户端要求和服务器应答（包括读和写的数据）将不得不 在内核和用户进程之间进行切换，那个代价太大。第3版的NFS协议在1993 年公布。（ 1）访咨询一个本地文件依旧一个 NFS 文件关于客户端来讲是透亮 的,当文件被打开时,由内核决定这一点。文件被打开之后,内核将本地 文件的所有引用传递给名为”本地文件访咨询”的框中，而将一个NFS文件 的所有引用传递给名为"NFS客户端"的框中。（2）NFS客户端通过其TCP/IP模块向NFS服务器发送RPC要求，NFS要紧使用UDP，最新的实现也能够使用 TCP(3) NFS服务器在端口 20

6、49接收作为UDP数据包的客户端要求，尽 管 NFS 能够被实现为使用端口映射器，承诺服务器使用一个临时端口，然 而大多数实现差不多上直截了当指定 UDP 端口 2049。( 4)当 NFS 服务器收到一个客户端要求时， 它将那个要求传递给本地 文件访咨询例程，然后访咨询服务器主机上的一个本地的磁盘文件。(5) NFS服务器需要花一定的时刻来处理一个客户端的要求，访咨询本地文件系统一样也需要一部分时刻。在这段时刻间隔内，服务器不应该 阻止其他客户端要求。为了实现这一功能，大多数的NFS服务器差不多上多线程的-服务器的内核中实际上有多个 NFS服务器在NFS本身的加锁治 理程序中运行，具体实现依

7、靠于不同的操作系统。既然大多数 UNIX 内核 不是多线程的， 一个共同的技术确实是启动一个用户进程 (常被称为 "nfsd" ) 的多个实例。那个实例执行一个系统调用，使其作为一个内核进程保留在 操作系统的内核中。(6) 在客户端主机上，NFS客户端需要花一定的时刻来处理一个用户 进程的要求。NFS客户端向服务器主机发出一个 RPC调用，然后等待服务 器的应答。为了给使用NFS的客户端主机上的用户进程提供更多的并发性， 在客户端内核中一样运行着多个 NFS客户端，同样具体实现也依靠于操作 系统。NFS服务器面临的安全隐患因为 NFS 在网络上明文传输所有信息，按照默认设置

8、， NFS 共享把根 用户改成用户nfsnobody，它是一个不具备特权的用户账号。如此，所有根 用户创建的文件都会被用户 nfsnobody所有，从而防止了设置setuid的程序 被上传到系统。如果使用了 no_root_squash远程用户就能够改变共享文件 系统上的任何文件，把设置了特洛伊木马的程序留给其他用户，在无意中 执行。NFS服务器安全策略( 1)使用 TCP_Wrappersportmap和rpc.nfsd结合起来，使NFS服务器上的文件即使没有任何权 限也能容易得到。能够使用访咨询操纵保证网络安全，在使用NFS时最好结合TCP_Wrappers来限制使用范畴。（2）注意配置文

9、件语法错误NFS服务器通过/etc/exports文件来决定要导出哪些文件系统，以及把 这些名目导出到哪些主机上。编辑那个文件的时候要专门小心，不要添加 额外的空格。/tmp/nfs/使用 showmount 命令来校验哪些名目被共享，从而检查 NFS 共享配 置是一个好适应。showmou nt格式为：showmount -e（3）使用iptables防火墙因为NFS在网络上明文传输所有信息，因此让NFS服务器在防火墙后、 在一个分段的安全网络上运行就专门重要。不管何时在不安全的网络上传 递 NFS 信息都有被截取的危险。从那个角度讲，慎重制定网络打算就有助 于防备重要的安全破坏。限制 RC

10、P服务访咨询的方法一样是使用防火墙， 除了 TCP-Wrapper还有ipchians和iptalbes的防火墙。在全面使用 Linux 2. 4或更高版本内核的今天，了解iptables这种防火墙方法也就足够了。缺省的状态下，portmap使用111端口，而NFS使用2049端口，能够通过iptab les 来限制对该端口的访咨询：iptables -t filter -A INPUT -p udp -d -dport 111 -j DROPiptables -t filter -A INPUT -p udp -d -dport 2049 -j DRO

11、 Piptables -t filter -A INPUT -p udp -s trusted_client -d this_server_ip -dport 2049 - jACCEPTiptables -t filter -A INPUT -p udp -s not_trusted_client -d th is_server_ip - dport 2049 -j DROP（ 4）把开放名目限制为只读权限能够在 /etc/exports 文件中设定权限选项 ro ，通常需要把 NFS 服务器对 客户开放的任何名目或文件系统设置为只读访咨询：（5）禁止对某些名目的访咨询 当开放一个完整的文件

12、系统或者一个名目时，缺省情形下它的子名目 会自动开放访咨询权限。 如果期望限制对其子名目的访咨询能够使用 noacc ess访咨询选项，例如期望开放/pub名目权限然而禁止访咨询/pub/staff-only 子名目：注意： “？”代表任意字符。（6）root squashing访咨询咨询题按照默认设置，root用户的用户ID和组群ID差不多上0。root权限压 缩（Root squashing把用户ID0和组群ID0映射为匿名的用户和组群ID， 因此客户上的根用户就可不能在 NFS 服务器上具备根特权。如果那个选项 被选，root用户就可不能被映射为匿名用户，客户上的root用户就会对导出的

13、名目拥有根特权。选择那个选项会大大降低系统的安全性。除非绝对 必要，请不要选择它。为了明确执行该规则，能够修改文件/etc/exports：如此如果客户端的UID0（ root）用户想要访咨询（读、写、删除）一 个NFS文件系统，服务器端会用UID代替服务器的nobody账户。如此客 户端的root用户不能修改和访咨询服务器端root用户才能访咨询和修改的 文件。（7）使用 no suid 禾口 no exec 选项SUID（Set User ID ）或 SGID（Set Group ID）程序能够让一般用户 以超过自己权限的形式执行。专门多 SUID/SGID 可执行程序是必须的，例 如上面

14、提到的 passwd。 SUID/SGID 程序会被一些恶意的本地用户利用，猎 取本不应有的权限。运行以下命令能够找到所有具有这一属性的程序：#find / （ -perm -4000 -o -perm -2000 ）使用者必须查看这一列表，尽量减少那些所有者是 root或是在root组 中却拥有 SUID/SGID 属性的文件，删除或对其属性进行更换。使用 nosuid 选项禁止set-UID程序在NFS服务器上运行，能够修改文件/etc/exports加 入一行：NFS是专门重要的网络协议，许多企业通过 NFS协议共享硬盘和其它 设备。把能登录NFS名目设置为只读访咨询、提升portmap

15、服务的安全性、 squashing root访咨询、使用on set-UID和non executable文件设置能够提 升NFS服务器的安全。1.2.2 SAMBASamba 简介Samba（SMB 是其缩写） 是一个网络服务器，用于 Linux 和 Windows 共享文件之用； Samba 即能够用于 Windows 和 Linux 之间的共享文件，也 一样用于 Linux 和 Linux 之间的共享文件； 只是关于 Linux 和 Linux 之间共 享文件有更好的网络文件系统 NFS, NFS也是需要架设服务器的；大伙儿明白在 Windows 网络中的每台机器即能够是文件共享的服务

16、器,也能够同是客户机； Samba 也一样能行,例如一台 Linux 的机器,如 果架了 Samba Server 后,它能充当共享服务器,同时也能做为客户机来访 咨询其它网络中的 Windows共享文件系统，或其它Linux的Sabmba服务 器；我们在 Windows 网络中,看到共享文件功能明白,我们直截了当就能 够把共享文件夹当做本地硬盘来使用。在 Linux 的中,确实是通过 Samba 的向网络中的机器提供共享文件系统,也能够把网络中其它机器的共享挂 载在本地机上使用；这在一定意义上讲和 FTP 是不一样的。Samba用的netbios协议，如果您用 Samba不成功，Linux

17、与 Windows 、 Linux 和 LinuxSamba 功能和应用范畴Samba 应该范畴要紧是 Windows 和 Linux 系统共存的网络中使用； 如 果一个网络环境差不多上Linux或Unix类的系统，没有必要用 Samba,应 该用NFS更好一点；那 Samba 能为我们提供点什么服务呢？要紧是共享文件和共享打印 机；1.3 注意事项在配置 SAMBA 时，先备份其配置文件。1.4 操作步骤1.4.1安全配置NFS服务第一步：创建文件夹 第一创建三个文件夹，如下所示：rootLAB3 # cd /home/rootLAB3 home# mkdir newfilerootLAB3

18、 home# mkdir newfile1 rootLAB3 home# mkdir newfile2 给文件夹分配权限：rootLAB3 home# chmod 777 newfile rootLAB3 home# chmod 777 newfile1 rootLAB3 home# chmod 777 newfile2 查看文件夹权限：rootLAB3 home# ll 总用量 48drwxrwxrwx2rootroot40961月1512:55newfiledrwxrwxrwx2rootroot40961月1512:56newfile1drwxrwxrwx2rootroot40961月15

19、12:56newfile2drwx13user1 user1 40961月1414:49user1drwx 13user2 user2 40961月1415:35user2drwx2user3 user3 40961月1419:26user3第二步：启用 NFS 服务Linux 系统系统默认安装了 NFS 组件，能够使用命令 rpm 来验证是否 安装，如下所示：rootLAB3 # rpm -qa |grep nfs nfs-utils-1.0.6-46system-config-nfs-1.2.8-1rootLAB3 #系统默认没有启动NFS服务，这时需要使用service命令启动NFS服

20、务，如下所示：rootLAB3 # service nfs start 启动 NFS 服务： 确定 关掉 NFS 配额： 确定 启动 NFS 守护进程： 确定 启动 NFS mountd： 确定 使用命令来验证服务是否启动，如下所示： rootLAB3 # service nfs status rpc.mountd (pid 3445) 正在运行 .nfsd (pid 3441 3440 3439 3438 3437 3436 3435 3434) 正在运行 . rpc.rquotad (pid 3425) 正在运行 .rootLAB3 # service portmap statusport

21、map (pid 1894) 正在运行 .rootLAB3 #第三步：配置/etc/exports文件修改/etc/exports配置文件，在文件中加入如下内容，如下所示：rootLAB3 # vi /etc/exports/home/newfile (ro,anonuid=65534,anongid=65534)/home/newfile1 /24(ro,anonuid=65534,anongid=65534)/home/newfile2 (rw,anonuid=65534,anongid=65534)配置完成后，需要重新启动 nfs 服务，如

22、下所示：rootLAB3 # service nfs restart 关闭 NFS mountd： 确定 关闭 NFS 守护进程： 确定 关闭 NFS quotas： 确定 关闭 NFS 服务： 确定 启动 NFS 服务： 确定 关掉 NFS 配额： 确定 启动 NFS 守护进程： 确定 启动 NFS mountd： 确定 rootLAB3 #第四步：使用防火墙保证安全因为 NFS 有三个守护进程， 其中 rpc.nfsd 是用来治理 client pc 登录主 机的权限，Rpc.mountd是用来治理NFS的文件系统，portmap进行端口映 射，因此需要在防火墙中打开基于 TCP和UDP协

23、议的111端口和2049两 个端口，如下所示：rootLAB3 # iptables -A INPUT -p udp -s /24 -dport 11 1 -d -j ACCEPTrootLAB3 # iptables -A OUTPUT -p udp -s -sport 204 9 -d /24 -j ACCEPTrootLAB3 # iptables -A INPUT -p udp -s /24 -dport 20 49 -d -j ACCEPTrootLAB3 # iptables -A

24、 OUTPUT -p udp -s -sport 111 -d /24 -j ACCEPTrootLAB3 # iptables -A INPUT -p tcp -s /24 -dport 111 -d -j ACCEPTrootLAB3 # iptables -A OUTPUT -p tcp -s -sport 204 9 -d /24 -j ACCEPTrootLAB3 # iptables -A INPUT -p tcp -s /24 -dport 204 9 -d 10

25、.1.1.1 -j ACCEPTrootLAB3 # iptables -A OUTPUT -p tcp -s -sport 111 -d /24 -j ACCEPT第五步：修改/etc/hosts.allow和/etc/hosts.deny文件，限制客户端在/etc/hosts.allow 中加入 portmap: / : allow 如下 所示：rootLAB3 # vi /etc/hosts.allow# hosts.allow This file describes the names of the hosts

26、 which are# allowed to use the local INET services, as decided# by the '/usr/sbin/tcpd' server.#portmap: / : allowrootLAB3 #在/etc/hosts.deny中加入 portmap:ALL : deny 如下所示：rootLAB3 # vi/etc/hosts.deny# hosts.deny This file describes the names of the hosts which are# *not* al

27、lowed to use the local INET services, as d ecided# by the '/usr/sbin/tcpd' server.# The portmap line is redundant, but it is left to remind you that# the new secure portmap uses hosts.deny and hosts.allow. In partic ular# you should know that NFS uses portmap!portmap: ALL : denyrootLAB3 #第六步

28、：验证测试在 client A 上挂载文件系统，如下所示：rootLAB2 # mount -t nfs :/home/newfile /root/arootLAB2 # mount -t nfs :/home/newfile1 /root/brootLAB2 # mount -t nfs :/home/newfile2 /root/cmount: :/home/newfile2 failed, reason given by server: 权限不 够rootLAB2 # dfFilesystem1K-块已用可用 已用 % 挂载

29、点八、/dev/sda158032362530228297822046% /shmnone:/home/newfile12802001280200%/dev/a:/home/newfile158032642531264297718446%/root58032642531264297718446%/root/brootLAB2 #在 client B 上挂载文件系统，如下所示：rootLAB1 # mount -t nfs :/home/newfile /root/amount: :/home/newfile failed, rea

30、son given by server: 权限不够rootLAB1 # mount -t nfs :/home/newfile1 /root/brootLAB1 # mount -t nfs :/home/newfile2 /root/crootLAB1 # dfFilesystem1K-块已用可用 已用 % 挂载点八、/dev/sda158032362528556297989246% /shmnone:/home/newfile112802001280200%/dev/b:/home/newfile258032642531296

31、297718446%/root58032642531296297718446%/root/crootLAB1 #在 client A 上测试读写权限，如下所示：rootLAB2 a# touch test1 touch: cannot touch test1' : 权限不够 rootLAB2 a# cd /root/b rootLAB2 b# touch test2 touch: cannot touch test2' : 权限不够 rootLAB2 b# 在 client B 上测试读写权限，如下所示：rootLAB1 # cd /root/b/rootLAB1 b# tou

32、ch test1touch: cannot touch test1' : 权限不够rootLAB1 a# cd /root/crootLAB1 c# touch test2rootLAB1 c# ll总用量 28-rw-r-r- 1 nfsnobody nfsnobody 0 1 月 15 15:54 123-rw-r-r- 1 rootroot20373 1 月 15 13:05 filetestrootLAB1 c#禁止使用no_root_squash如果使用了 no_root_squash远程根用户就 能够改变共享文件系统上的任何文件，从而能够使设置了特洛伊木马的程 序被执行。注

33、意在编辑/etc/exports文件时，在和(ro,all_squash之间是没有 空格的，如有空格，则给全局以读权限。防火的配置如下所示：rootLAB3 # iptables -LChain INPUT (policy DROP)targetprot optsourcedestinationACCEPTtcp -anywhereanywheretcp dpt:sshACCEPTtcp -/24tcp dpt:sunrpcACCEPTtcp -/24tcp dpt:nfsACCEPTudp -/2

34、4udp dpt:sunrpcACCEPTudp -/24udp dpt:nfsChainFORWARD(policy DROP)targetprot optsourcedestinationChainOUTPUT (policy DROP)targetprot optsourcedestinationACCEPTtcp -anywhereanywheretcp spt:sshACCEPTtcp -/24tcp spt:sunrpcACCEPTtcp -/24tcp spt:nfsA

35、CCEPTudp -/24udp spt:nfsACCEPTudp -/24udp spt:sunrpcrootLAB3 #1.4.2 安全配置 SAMBA 服务 第一步：创建用户和组rootLAB3# groupadd techrootLAB3# groupadd marketrootLAB3# useradd -g tech seek -s /bin/falserootLAB3#useradd -g tech len -s /bin/falserootLAB3#useradd -g tech gao -s /bin/false

36、rootLAB3# useradd -gmarket jake -s /bin/falserootLAB3# useradd -gmarket joe -s /bin/falserootLAB3# smbpasswd -a seekNew SMB password:Retype new SMB password:startsmbfilepwent_internal: file /etc/samba/smbpasswddid not exist. Fil e successfully created.Added user seek.rootLAB3 # smbpasswd -a lenNew S

37、MB password:Retype new SMB password:Added user len.rootLAB3 # smbpasswd -a gaoNew SMB password:Retype new SMB password:Added user gao.rootLAB3 # smbpasswd -a jakeNew SMB password:Retype new SMB password:Added user jake.rootLAB3 # smbpasswd -a joeNew SMB password:Retype new SMB password:Added user jo

38、e.rootLAB3 # useradd ceorootLAB3 # useradd financerootLAB3 # smbpasswd -a ceoNew SMB password:Retype new SMB password:Added user ceo.rootLAB3 # smbpasswd -a financeNew SMB password:Retype new SMB password:Added user finance.rootLAB3 #第二步：建立共享名目rootLAB3 # mkdir /home/tech /home/market rootLAB3 # ls -

39、ld /home/tech /home/market drwxr-xr-x 2 root root 4096 5 月 11 22:59 /home/market drwxr-xr-x 2 root root 4096 5 月 11 22:59 /home/techrootLAB3# chgrp tech /home/techrootLAB3# chgrp market /home/market/rootLAB3# chmod 3770 /home/tech/rootLAB3# chmod 3770 /home/market/rootLAB3# ls -ld /home/tech /home/m

40、arketdrwxrws-T2 root market 4096 5 月 11 22:59 /home/marketdrwxrws-T2 root tech 4096 5 月 11 22:59 /home/techrootLAB3# mkdir /softwarerootLAB3# mkdir /tmpuploadrootLAB3# chmod 777 /tmpupload/rootLAB3# chmod a+t /tmpupload/rootLAB3# ls -ld /tmpupload/drwxrwxrwt2 root root 4096 5 月 11 23:02 /tmpupload/r

41、ootLAB3#第三步：添加共享名目在/etc/samba/smb.co n仗件，在文件最后面加入共享文件夹名目，如下 所示：techcomment = tech's filespath = /home/tech public = no valid users = tech write list = tech create mask = 0770 market comment = market's files path = /home/market public = no valid users = market wirte list = market create mask

42、= 0770 software comment = share software path = /software public = yes read only = yes tempcomment = temp files path = /tmpupload public = yes writable = yes第四步：安全设置修改/etc/samba/smb.c on仗件，将修改如下几个项目，如下所示:将;hosts allow = 192.168.1. 192.1682 127改为hosts allow = 10.1.1. 127.将安全级不为默认选项，如下所示:security = us

43、er将;en crypt passwords = yes 改为en crypt passwords = yesjnetbios-ssn?l2£l12dfll TU.第五步：验证测试注意：在有防火墙的情形下，如需要打开如下几个端口:n etbios -ns137/tcpn etbios -ns137/udpn etbios-dgm138/tcpn etbios-dgm138/udpn etbios-ss n139/tcp39/udp正磺用用户1 seek和len用户来访咨询共享文件夹，在运行菜单中输入服务器地址。密码世：斗ill|wm|厂北荘我的密码(1)、' /I 彳&quo

44、t;TWlo. 1.1.1这是会提示输入用户名和口令。I '按索文件夹实图6- 2登录地址 0) i Y10 1 1.1备注I二murksV s. filei用户seek会打开文件夹，tech文件承诺写入，而market不承诺访咨询, & softitfareshare softwaresofwaif文件夹只有读权限，:temp文件夹有读写权限。”2打印机拥传真显示安装的打印机和苦其打.图6- 3共享登录囂在文件夹.te.mp中，使用用户'seek仓建seek.bmp文件，使用用户len母户去删除I !使用用户去删除seekbmp文件。大小1类型修改日期R1F團惬?0f

45、tR-S-l2.1:26:.bmp* 吗?m 无法册除 seek. 访问被拒绝° 解-5鞭除文件語运融这是会弹出错误提示，无法删图6- 6警告信息1. 5拓展知识1.爱护NIS的安全NIS代表网络信息服务(Network In formation Service)。它是叫做 yp serv的RPC服务，和portmap以及其它有关服务一起使用，被用来为属 于NIS域内的运算机间分发关于用户名、口令、以及其它保密信息的映射 表。NIS服务器包括几个应用程序。它们是：/usr/sbin/rpc.yppasswdd 又称yppasswdd服务，该守护进程承诺用 户改变他们的NIS 口令。/usr/sbin/rpc.ypxfrd 又称ypxfrd服务，该守护进程负责在网络上传 输