《网络系统安全运行与维护》课件项目四 任务三 加强Linux文件系统访问安全_第1页
《网络系统安全运行与维护》课件项目四 任务三 加强Linux文件系统访问安全_第2页
《网络系统安全运行与维护》课件项目四 任务三 加强Linux文件系统访问安全_第3页
《网络系统安全运行与维护》课件项目四 任务三 加强Linux文件系统访问安全_第4页
《网络系统安全运行与维护》课件项目四 任务三 加强Linux文件系统访问安全_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

项目四Linux桌面系统安全运行与维护项目主要内容:任务一加强Linux主机安全访问权限任务二加强Linux用户网络访问权限的安全控制任务三加强Linux文件系统访问安全任务四使用安全审计加强Linux主机的安全维护任务提出

在局域网中,Linux用户经常使用NFS或Samba进行共享文件的传输,这给数据传输带来很大的风险。因此,Linux用户需要对NFS和Samba两项服务进行安全配置,以保证局域网内部文件的安全传输和共享。1.安全配置NFS服务

在RedHatEnterpriseLinux6.4系统服务器端安装和启用NFS服务,通过配置文件,限制客户端访问。2.安全配置Samba服务

在RedHatEnterpriseLinux6.4系统服务器端为用户设置Samba密码,配置共享文件,安全配置Samba服务,设置允许访问的主机,使得主机对规定的文件夹具有不同的访问权限。任务分析1.安全配置NFS服务NFS(NetworkFileSystem,网络文件系统)是FreeBSD支持的文件系统中的一种。它允许网络中的计算机之间通过TCP/IP网络共享目录和文件资源。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。

在Linux系统网络应用中,使用NFS可以节省系统资源,如节省本地存储空间、只需要在NFS服务器上创建home目录、减少整个网络中可移动介质设备的数量等。由于NFS在网络上使用明文传输所有信息,信息存在被截取的危险,所以需要对NFS进行安全配置以保护文件系统安全。

对NFS安全配置的具体要求和目的:创建filel、file2和file3三个文件夹,filel文件夹只允许IP地址为0的Linux客户端具有只读访问权限,file2文件夹允许网络/24中的所有主机具有只读访问权限,file3允许IP地址为0的Linux客户端具有读写权限,并且所有访问都以匿名用户nfsnobody身份登录。2.安全配置Samba服务Samba是在Linux和UNIX系统上实现SMB(ServerMessageBlock)协议的一个免费软件,由服务器及客户端程序构成。Samba是一个工具套件,通过SMB协议实现。SMB协议通常被Windows系列用来实现磁盘和打印机共享。通常Samba是把SMB绑定到TCP/IP上实现的,Samba只在IP子网内广播,因此在Windows上与Samba通信既要安装NetBEUI协议,也要安装TCP/IP协议。对Samba软件进行安全配置的具体要求如下:1.所有员工在公司都能移动办公,都能把自己的文件保存到Samba服务器上。2.同一个部门的人拥有一个共享目录,其他部门的人只能访问服务器上自己的home录。3.所有用户都不允许使用服务器上的shell,只能通过Samba访问服务器。4.提供一个软件共享目录,存放一些常用软件,供公司员工使用。5.提供临时文件目录,任何用户都可以对其进行读写。根据以上任务的需求,需要对user用户实现其安全访问。任务实施1.安全配置NFS服务操作步骤如下:步骤1实验准备阶段,根据项目一中任务一和任务二知识点,在VMwareWorkstation中部署两台RedHatEnterpriseLinux6.4系统虚拟机Server和PC1,以及一台WindowsServer2008R2虚拟机PC2,各虚拟机的IP地址规划如表所示,并将三台虚拟机实现网络连通。设备名称设备角色操作系统IP地址ServerNFS服务器RedHatLinux6.4/24PC1Linux客户端RedHatLinux6.40/24PC2Windows客户端WindowsServer2008R2/24步骤2

在Server上搭建FTP服务。参见项目四任务二,在Server上搭建并启动FTP服务,保证FTP服务可以正常运行。步骤3

安全配置NFS服务。(1)在Server上创建文件夹。①创建3个文件夹,如下所示。[root@linuxA桌面]#cd/home[root@linuxAhome]#mkdirfile1[root@linuxAhome]#mkdirfile2[root@linuxAhome]#mkdirfile3②给新建的3个文件夹分配权限。[root@linuxAhome]#chmod777file1[root@linuxAhome]#chmod777file2[root@linuxAhome]#chmod777file3③查看文件夹权限。(2)在Server上启用NFS服务。①Linux系统默认安装了NFS组件,可以使用命令rpm来验证是否安装,如下所示。[root@linuxAhome]#ll总用量32……drwxrwxrwx2rootroot40965月710:22file1drwxrwxrwx2rootroot40965月710:22file2drwxrwxrwx2rootroot40965月710:22file3……[root@linuxAhome]#rpm-qa|grepnfsnfs-utils-lib-1.1.5-6.el6.i686nfs4-acl-tools-0.3.3-6.el6.i686nfs-utils-1.2.3-36.el6.i686②Linux系统默认没有启动NFS服务,需要使用service命令启动NFS服务,如下所示。③查看NFS服务运行状态。由于NFS服务依赖于portmap服务,所以还需要查看portmap服务运行状态,portmap服务在linux6版本中已经更名为rpcbind,所以在查看时需要查看rpcbind服务运行状态,如下所示。[root@linuxAhome]#systemctlstartnfs[root@linuxAhome]#ps-ef|grepnfsd[root@linuxAhome]#ps-ef|greprpcbind(3)在Server上配置/etc/exports文件。①在文本界面下,修改/etc/exports配置文件,在文件中加入如下内容。[root@linuxAhome]#vim/etc/exports/home/file10(ro,all_squash,anonuid=65534,anongid=65534)/home/file2/24(ro,anonuid=65534,anongid=65534)/home/file30/24(rw,anonuid=65534,anongid=65534)②配置完成后,需要重新启动NFS服务,如下所示。

[root@linuxAhome]#systemctlrestartnfs(4)在Server上关闭防火墙。①关闭防火墙。②清空防火墙列表。(5)在Server上限制客户端访问。①在/etc/hosts.allow中加入“portmap:/:allow”语句,允许网络中的主机访问NFS服务,如下所示。②在/etc/hosts.deny中加入“portmap:ALL:deny”语句,拒绝所有除网络以外的主机访问NFS服务,如下所示。[root@linuxAhome]#systemctlstopfirewalld[root@linuxAhome]#iptables-F[root@linuxAhome]#vim/etc/hosts.allow……portmap:/:allow[root@linuxAhome]#vim/etc/hosts.deny……portmap:ALL:deny(6)验证测试。①登录PC1,将NFS服务器端的文件夹挂载到PC1端,如下所示。[root@linuxB桌面]#mkdir/root/a/root/b/root/c[root@linuxB桌面]#mount-tnfs:/home/file1/root/a[root@linuxB桌面]#mount-tnfs:/home/file2/root/b[root@linuxB桌面]#mount-tnfs:/home/file3/root/c[root@linuxBb]#df文件系统 1K-块

已用

可用

已用%挂载点/dev/mapper/vg_linuxb-lv_root1603780833811761184194023%/tmpfs9690842249688601%/dev/shm/dev/sda1495844361924340528%/boot/dev/sr0308078230807820100%/media/RHEL_6.4i386Disc1:/home/file11603788830325761219046420%/root/a:/home/file21603788830325761219046420%/root/b:/home/file31603788830325761219046420%/root/c②在PC1上,测试读写权限,如下所示。验证结果表明,0客户端对file1和file2均具有只读权限,而对file3具有读写权限,与第3步中对配置文件权限的设置一致。[root@linuxB桌面]#cd/root/a[root@linuxBa]#touchtest1touch:无法创建"test1":只读文件系统[root@linuxBa]#cd/root/b[root@linuxBb]#touchtest2touch:无法创建"test2":只读文件系统[root@linuxBb]#cd/root/c[root@linuxBc]#touchtest3[root@linuxBc]#ll总用量0-rw-r--r--1nfsnobodynfsnobody05月716:11test32.安全配置Samba服务步骤4安全配置Samba服务。(1)在Server上创建用户和组。①创建group1和group2组。②创建用户usera、userb、userc、userd、usere,将用户usera、userb、userc加入group1组,将用户userd和usere加入到group2组。[root@linuxA~]#groupaddgroup1[root@linuxA~]#groupaddgroup2[root@linuxA~]#useraddusera-ggroup1-s/bin/false[root@linuxA~]#useradduserb-ggroup1-s/bin/false[root@linuxA~]#useradduserc-ggroup1-s/bin/false[root@linuxA~]#useradduserd-ggroup2-s/bin/false[root@linuxA~]#useraddusere-ggroup2-s/bin/false(2)设置用户的Samba密码。①查看用户存储后台。查看结果表明samba使用数据库文件创建用户数据库,该数据库文件是位于/etc/samba目录中的passdb.tdb文件。(2)安装Samba[root@linuxA~]#vim/etc/samba/smb.conf……passdbbackend=tdbsam……[root@localhosthome]#yumlist|grepsamba[root@localhosthome]#yum-yinstallsamba[root@localhosthome]#systemctlstartsmb//启动samba[root@localhosthome]#ps-ef|grepsmb//查看samba运行状态②设置所有用户的Samba密码。③查看Samba用户[root@linuxA~]#smbpasswd-ausera[root@linuxA~]#smbpasswd-auserb[root@linuxA~]#smbpasswd-auserc[root@linuxA~]#smbpasswd-auserd[root@linuxA~]#smbpasswd-ausere[root@linuxA~]#pdbedit-Lusera:504:userc:506:usere:508:userb:505:userd:507:(3)在Server上建立共享目录。①创建目录group1和group2。②更改目录group1和group2所属组和权限。[root@linuxA~]#mkdir/home/group1/home/group2[root@linuxA~]#touch/home/group1/group1.txt/home/group2/group2.txt[root@linuxA~]#chgrpgroup1/home/group1[root@linuxA~]#chgrpgroup2/home/group2[root@linuxA~]#chmod3770/home/group1/[root@linuxA~]#chmod3770/home/group2/[root@linuxA~]#mkdir/home/software/home/tmpupload[root@linuxA~]#touch/home/software/software.txt/home/tmpupload/tmpupload.txt[root@linuxA~]#chmod777/home/tmpupload/[root@linuxA~]#chmoda+t/home/tmpupload/[root@linuxA~]#ll/home总用量68……drwxrws--T2rootgroup140965月810:34group1drwxrws--T2rootgroup240965月810:34group2drwxr-xr-x2rootroot40965月811:02softwaredrwxrwxrwt2rootroot40965月811:02tmpupload……③创建目录software和/tmpupload,并设置目录权限。

以上结果表明:a.用户对group1和group2目录文件的权限分别为:所属用户root对本文件可读(r)、可写(w)、可执行(x),属于同一组的用户对本文件可读(r)、可写(w)、以root帐户身份执行(s),其他用户的权限为不可读(-)、不可写(-)、只有所属用户和root才可以删除文件(T)。b.用户对software目录文件的权限为:所属用户root对本文件可读(r)、可写(w)、可执行(x),属于同一组的用户对本文件可读(r)、不可写(-)、可执行(x),其他用户的权限为可读(r)、不可写(-)、可执行(x)。c.用户对tmpupload目录文件的权限为:所属用户root对本文件可读(r)、可写(w)、可执行(x),属于同一组的用户对本文件可读(r)、可写(w)、可执行(x),其他用户的权限为可读(r)、可写(w)、只有所属用户和root才可以删除文件(t)。(4)配置共享文件。打开/etc/samba/smb.conf文件,在文件最后面加入共享文件夹目录,如下所示。[root@linuxA~]#vim/etc/samba/smb.conf……[group1]comment=group1'sfilespath=/home/group1public=novalidusers=@group1writelist=@group1createmask=0770[group2]comment=group2'sfilespath=/home/group2public=novalidusers=@group2writelist=@group2createmask=0770[software]comment=sharesoftwarepath=/home/softwarepublic=yesreadonly=yes[temp]comment=tempfilespath=/home/tmpuploadpublic=yeswriteable=yes(5)在Server上安全设置samba服务。在Server上修改/etc/samba/smb.conf文件,设置samba服务。①设置允许访问的主机。②将安全级别设置为默认选项。[root@linuxA桌面]#vim/etc/samba/smb.confhostsallow=/24security=user

(6)验证测试。①在PC1上验证测试。

使用用户usera登录,group1目录允许写入,而group2目录不允许访问,software目录只读,对temp目录可读写,并在目录temp中,创建usera.bmp文件。注意:在测试之前,需在客户端先安装samba-client.x86_64软件,然后才可以使用smbclient命令。[root@linuxB桌面]#touchusera.bmp[root@linuxB桌面]#smbclient///group1-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]smb:\>ls.D0WedMay810:34:082019..D0WedMay811:02:032019group1.txt0WedMay810:34:082019 62647blocksofsize262144.47533blocksavailablesmb:\>putusera.bmpputtingfileusera.bmpas\usera.bmp(0.0kb/s)(average0.0kb/s)smb:\>ls.D0WedMay815:44:492019..D0WedMay811:02:032019usera.bmpA0WedMay815:44:492019group1.txt0WedMay810:34:082019 62647blocksofsize262144.47532blocksavailablesmb:\>exit[root@linuxB桌面]#smbclient///group2-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]treeconnectfailed:NT_STATUS_ACCESS_DENIED[root@linuxB桌面]#smbclient///software-UuseraEnterusera'spassword:Domain=[MYGROUP]OS=[Unix]Server=[Samba3.6.9-151.el6]smb:\>ls.D0WedMay811:02:532019..D0WedMay811:02:032019software.txt0WedMay811:02:532019 62647blocksofsize262144.47532blocksavailablesmb:\>putusera.bmpNT_STATUS_ACCESS_DENIEDopeningremotefile\usera.bmpsmb:\>exit[root@linuxB桌面]#smbclient///temp-UuseraEnt

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论