《网络系统安全运行与维护》课件项目四 任务一 加强Linux主机安全访问权限

项目四Linux桌面系统安全运行与维护【项目描述】Linux操作系统因其自身的开放、免费、多用户、多任务、安全等特点，在企业网络中经常使用。即使这样，对于企业网络来说，网络内部共享资源、互联互通过程中如果不注意网络安全，内部用户缺乏安全意识情况下，也会给企业网络代理安全隐患，造成巨大损失。

本项目主要针对Linux桌面系统部署安全策略，从用户登录、网络访问、文件系统、安全审计方面出发增强Linux操作系统的安全性。某些用户对计算机安全知识不太了解，经常会使用root用户登录，长时间使用同一个系统口令登录系统，给系统带来安全隐患。而有些用户不习惯使用Linux操作系统，还在自己的计算机上安装了Windows操作系统，经常使用两个操作系统引导，双系统的引导会使本地计算机的安全隐患增加。此外还有一些用户经常使用远程登录方式，与其他计算机进行互操作，这都给办公网络中的敏感数据带来安全隐患。为了保证局域网的安全，要采取以下安全措施实施办公网络安全防护。任务一加强Linux主机安全访问权限任务二加强Linux用户网络访问权限的安全控制任务三加强Linux文件系统访问安全任务四使用安全审计加强Linux主机的安全维护【学习目标】能够在Linux系统中加强系统口令能够设置Linux系统中用户访问网络的权限会在Linux系统中安全配置NFS服务会在Linux系统中安全配置Samba服务会在Linux系统中使用安全审计工具项目四Linux桌面系统安全运行与维护项目主要内容：任务一加强Linux主机安全访问权限任务二加强Linux用户网络访问权限的安全控制任务三加强Linux文件系统访问安全任务四使用安全审计加强Linux主机的安全维护任务提出

在Linux系统网络中，通过GRUB技术提供的用户口令保护功能，结合口令安全技术和口令老化设置，防止网内用户安装双系统引导中造成信息泄密，以及长时间只使用一个口令带来的系统风险。为了保障服务器的安全，防止黒客采用字典、暴力破解等方式入侵服务器主机，需要修改口令的老化时间，增强系统的安全性。这样即使网内的用户安全意识较差，也能保障局域网的数据安全，增强局域网内主机安全防御能力。1.用口令保护GRUB通过在Linux系统中测试不设置GRUB口令存在的安全隐患，然后为GRUB设置口令，测试启动系统时必须输入GRUB口令才可以启动。2.设置口令安全为Linux上的用户设置口令，设置屏蔽口令，在影子文件中查看影子口令。3.设置口令老化设置Linux中用户的口令长度、老化时间，并进行测试。任务分析1.用口令保护GRUBGRUB（GrandUnifiedBootloader，大统一引导程序），是一个来自GNU项目的多操作系统启动程序。GRUB是多启动规范的实现，它允许用户可以在计算机内同时拥有多个操作系统，并在计算机启动时选择想要运行的操作系统。GRUB可用于选择操作系统分区上的不同内核，也可用于向这些内核传递启动参数。

通过设置GRUB口令，可以达到以下安全效果：

①防止进入单用户模式。如果攻击者能够引导进入单用户模式，就可以在不输入口令的情况下成为根用户。

②防止进入GRUB控制台。如果计算机使用GRUB作为引导装载程序，攻击者可以使用GRUB编辑界面来改变它的配置或使用cat命令来收集信息。

③防止进入非安全的操作系统。如果它是双引导系统，攻击者可以在引导时选择操作系统，例如DOS，它会忽略存取控制的文件权限。2.设置口令安全

口令是Linux用来校验用户身份的首要方法，保护口令的安全对于用户、工作站及整个网络来说都是极其重要的。

屏蔽口令通过把口令散列值保存在/etc/shadow文件中，使系统免遭黑客攻击。因为该文件只能被根用户读取，网络中的攻击者只能通过使用计算机上的SSH或FTP服务进行远程口令破译。这类破译非常缓慢，并且会留下明显的踪迹，系统文件中会记录上百次失败的登录尝试。

如果在安装中没有选择屏蔽口令，所有的口令就会作为单向散列值被保存在全局可读的/etc/passwd文件中，这使系统非常容易受到离线口令破译攻击。入侵者通过普通用户方式登录计算机，把/etc/passwd文件复制到自己的计算机上，就可以运行各种破译程序来破解口令。Linux系统屏蔽口令的方式有消息摘要算法（MessageDigestAlgorithm，MD5)和数据加密标准（DataEncryptionStandard，DES)两种方式，为了保障安全性，一般采用MD5口令，可以支持15个字符长的密码，支持字母、数字、特殊字符等密码设置方式。如果安装时没有选择使用MD5口令，可以使用传统的DES，该格式把口令限定为8个字母数字字符（不允许使用标点和其他特殊字符)，并且提供了普通的56位级别的加密。3.设置口令老化

口令老化是系统管理员用来防止使用不良口令的另一种技术。口令老化意味着超过了预先设定的时间（通常是90天）后，用户会被提示设置一个新口令。

为了保障系统安全，需要设置不易破解的口令，口令的设置需要遵循以下原则。

①口令长度至少为8个字符。口令越长越好。若使用MD5口令，它应该至少有15个字符。若使用DES口令，使用最大长度（8个字符)。

②大小写字母混用。Linux区分大小写，因此混用大小写会增强口令的健壮性。

③字母和数字混用。在口令中添加数字，特别是在中间添加（不只在开头和结尾处）能够加强口令的健壮性。

④包括字母和数字以外的字符。&、$和>之类的特殊字符可以极大地增强口令的健壮性（若使用DES口令，则不能使用此类字符）。

⑤挑选一个可以记住的口令。如果记不住口令，那么它再好也没有用，可以使用简写或其他记忆方法来帮助记忆口令。任务实施1.用口令保护GRUB操作步骤如下：步骤1：实验准备阶段，根据项目一中任务二知识点，在VMwareWorkstation中部署一台RedHatEnterpriseLinux6.4系统虚拟机PC，PC的IP地址规划如表所示。设备名称设备角色操作系统IP地址PC计算机RedHatLinux6.40/24步骤2：用口令保护GRUB第1步：测试不设置GRUB口令的隐患①启动系统，进入grub界面，如图1所示。图1②选择第一项，按e键，进入GRUB编辑界面，如图2所示。图2③在图2所示界面，按电脑键盘上的向下箭头，滚动内容，会出现linux16开头的行，如图3所示。图3④在linux16开头的地方，按“end”键到该段的最后，如图4所示。⑤在图4中输入rd.break，如图5所示。图5⑥在图5中，按ctrl+x进入单用户模式，如图6所示。图6（7）在switch_root提示符后输入以下命令，如图7所示。注意：在passwd后，当光标停下的时候，即没有白色块出现的时候，输入密码，再次停下的时候，重新输入密码，输入的密码不会显示。图7若使用reboot命令无法重启时，可以在Vmware上进行重启。重启后，新设置的密码生效。（8）通过以上操作，可以知道，系统存在被攻击者修改root用户口令及获取root用户权限的安全隐患，所以需要配置GRUB口令来保护系统口令。⑥

第2步：设置GRUB口令①登录系统，备份grub.cfg和10_linux文件，如下所示。[root@localhost~]#cd/boot/grub2[root@localhostgrub2]#lsdevice.mapfontsgrub.cfggrubenvi386-pclocale[root@localhostgrub2]#cpgrub.cfggrub.cfg.backup[root@localhostgrub2]#cd/etc/grub.d[root@localhostgrub.d]#ls00_header01_users20_linux_xen30_os-prober41_custom00_tuned10_linux20_ppc_terminfo40_customREADME[root@localhostgrub.d]#cp10_linux10_linux.backup②终端中输入以下命令以生成grub加密密码。[root@localhostgrub.d]#grub2-mkpasswd-pbkdf2输入口令：Reenterpassword:PBKDF2hashofyourpasswordisgrub.pbkdf2.sha512.10000.DF3FC205786852EEDC8C87CBE425758280D7298882055B01CA3BCC4DA44624BFD7027E6FCBF32DB46DD2BBBF354793E9C1F0B11B70237E3B7798C30B06717F54.95277B9A5B4CB965A9F80C572B2CD935A75780413DF484B74099EC81526BA56118F4495D2127D0834E8204ADE910D83C72951A0BE8D4272F2265DAE8D2773159

③生成Grub加密密码后，打开“/etc/grub.d/10_linux”文件，并将以下行添加到文件末尾。[root@linuxA桌面]#vim/etc/grub.d/10_linux（4）然后按G键到达“/etc/grub.d/10_linux”文件的最后一行，按下字母i或插入键并将下面内容粘贴到最后行，即在文件末尾添加以下行：cat<<EOFsetsuperusers=”Koromicha”Password_pbkdf2Koromicha'PasteGenerated_encrypted_password'EOF将Koromicha替换为要在grub菜单上使用的用户名以进行登录。如下所示：（5）重新编译生成grub.cfg文件。[root@localhost~]#grub2-mkconfig-o/boot/grub2/grub.cfgGeneratinggrubconfigurationfile...Foundlinuximage:/boot/vmlinuz-3.10.0-693.el7.x86_64Foundinitrdimage:/boot/initramfs-3.10.0-693.el7.x86_64.imgFoundlinuximage:/boot/vmlinuz-0-rescue-15df3328e4f241b5a8b26346d67aca18Foundinitrdimage:/boot/initramfs-0-rescue-15df3328e4f241b5a8b26346d67aca18.imgFoundlinuximage:/boot/vmlinuz-3.10.0-693.el7.x86_64Foundinitrdimage:/boot/initramfs-3.10.0-693.el7.x86_64.imgFoundlinuximage:/boot/vmlinuz-0-rescue-15df3328e4f241b5a8b26346d67aca18Foundinitrdimage:/boot/initramfs-0-rescue-15df3328e4f241b5a8b26346d67aca18.imgdone

第3步：验证测试。①重新启动计算机，在GRUB界面，按E键，提示输入用户名，如图所示。（2）输入root帐户的用户名和密码，按下enter键，系统正常启动。2.设置口令安全步骤3

口令安全Linux中广泛采用影子机制来加强密码安全性,影子口令一般为两部分：密码文件+影子密码文件，redhat中的文件/etc/passwd是默认全部用户可读的，因为加密算法是公开的，密码可能会被人恶意穷举破解。

而/etc/shadow文件正如其名字一样，它是passwd文件的一个影子，/etc/shadow文件中的记录行与/etc/passwd中的一一对应，它由pwconv命令根据/etc/passwd中的数据自动产生。影子机制可以将/etc/passwd上的密文区域上的密文转移到默认只有root可读的/etc/shadow中，/etc/passwd原本密文区域上的内容就会变为一个x，并且只有系统管理员才能够进行修改和查看。第1步：查看用户口令文件①创建用户user1并设置口令[root@linuxA桌面]#useradduser1[root@linuxA桌面]#passwduser1②查看userl的口令文件/etc/passwd和/etc/shadow[root@linuxA桌面]#cat/etc/passwd|grepuser1user1:x:501:501::/home/user1:/bin/bash[root@linuxA桌面]#cat/etc/shadow|grepuser1user1:$6$dbIuakMG$MdHpvUg6gxhE.icZDXwKmUkC0xxNGqSDh6ZXuTHH/L01jp2yIXnERc9ogMa2pKDtc1pQlaP8Cyt/DGSWfcFsQ.:17996:0:99999:7:::第2步：查看用户对口令文件的访问权限①比较文件/etc/passwd和/etc/shadow的权限[root@linuxA~]#ll/etc/passwd-rw-r--r--.1rootroot16614月1106:30/etc/passwd[root@linuxB~]#ll/etc/shadow----------.1rootroot10684月1106:30/etc/shadow

从结果可以看出普通用户可以直接读取passwd文件，而不能读取shadow文件，shadow文件使得口令保护更加安全。②关闭影子口令

在Redhat6中，默认已经开启了影子口令，如果需要关闭影子口令，可以使用如下命令：[root@linuxA~]#pwunconv③启用影子口令[root@linuxA~]#pwconv3.设置口令老化

步骤4

口令老化

第1步：口令安全要求①最短口令长度要求

Linux系统默认最短口令长度为5个字符，这个长度不足以保证口令的健壮性，应该改为最短8个字符。

②口令老化时间

修改口令的最大有效时限为90天，密码最小修改时间为0，密码的最短长度为8，并且在前7天提醒用户修改密码。在Linux系统中可以通过多种方式来实现该配置。第2步：修改和测试配置①修改配置文件[root@linuxA~]#vim/etc/login.defs……#PASS_WARN_AGENumberofdayswarninggivenbeforeapasswordexpires.#PASS_MAX_DAYS90#密码最大有效时限PASS_MIN_DAYS0#密码最小修改时间PASS_MIN_LEN8#密码的最短长度PASS_WARN_AGE7#提醒修改密码的时间##Min/maxvaluesforautomaticuidselectioninuseradd……②创建用户user2③查看用户user2的口令老化时间[root@linuxA~]#useradduser2[root@linuxA~]#chage-luser2Lastpasswordchange:Apr11,2019Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:-1Maximumnumberofdaysbetweenpasswordchange:-1Numberofdaysofwarningbeforepasswordexpires:-1……

第3步：修改原有用户的口令老化时间

通过修改配置文件来实现口令老化功能，只对将来创建的用户生效，对已创建的用户可以使用chage命令修改老化时间。

①查看用户user1的口令老化时间[root@linuxA~]#chage-luser1Lastpasswordchange:Apr11,2019Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:0Maximumnumberofdaysbetweenpasswordchange:99999Numberofdaysofwarningbeforepasswordexpires:7……[root@linuxA~]#chageUsage:chage[options][LOGIN]Options:-d,--lastdayLAST_DAYsetdateoflastpasswordchangetoLAST_DAY-E,--expiredateEXPIRE_DATEsetaccountexpirationdatetoEXPIRE_DATE-h,--helpdisplaythishelpmessageandexit-I,--inactiveINACTIVEsetpasswordinactiveafterexpirationtoINACTIVE-l,--list