Linux操作系统安全配置全套教学课件

单击此处编辑母版标题样式

网络协议概述全套可编辑PPT课件学习内容概述0102作用与要求03网络体系结构04IP地址概述1网络协议：计算机网络进行数据交换而建立的规则、标准或约定的集合。定义概述12.网络三要素：（语法、语义、时序）

(1)

语义（表示要做什么：语义是解释控制信息每个部分的意义。它规定了需要发出何种控制信息，以及完成的动作与做出什么样的响应。(2)

语法：语法是用户数据与控制信息的结构与格式，以及数据出现的顺序。(3)

时序：时序是对事件发生顺序的详细说明。（也可称为“同步”）定义作用与要求2网络上的不同计算机、所有设备（网络服务器、计算机及交换机、路由器、防火墙等）必须使用相同的网络协议；

设备间、主机之间传输的信息必须采用的相同协议；

接收方和发送方同层的协议必须一致。网络体系结构3网络体系结构3OSI网络模型TCP/IP模型对应网络协议应用层（Application）应用层HTTP、TFTP,

FTP,NFS,WAIS、SMTP表示层（Presentation）Telnet,Rlogin,SNMP,Gopher会话层（Session）SMTP,DNS传输层（Transport）传输层TCP,UDP网络层（Network）网络层IP,ICMP,ARP,RARP,AKP,UUCP数据链路层（DataLink）网络接口层FDDI,Ethernet,Arpanet,PDN,SLIP,PPP物理层（Physical）IEEE802.1A,IEEE802.2到IEEE802.11

IP地址4每一个网络和每一台主机分配一个逻辑地址、必须使用相同的网络协议；点分十进制法。

IP地址4公有地址（Publicaddress）：注册地址，InterNIC（InternetNetworkInformationCenter因特网信息中心）负责分配，可直接访问因特网。私有地址（Privateaddress）：属于非注册地址，专门为组织机构内部使用，因特网上不能直接被访问。常用私有地址 A类--55 B类--55 C类--55

IP地址4地址段起始地址结束地址备注/855A类私网地址/1055运营商级NAT使用的私有地址。处于A类地址中/855本机回环地址。处于A类地址中/1655Windows获取不到DHCP地址时，自动分配此类地址。处于B类地址中/1255B类私网地址/1655C类私网地址55/32

广播地址

IP地址4

IP地址4类别IP地址范围默认掩码私有IP地址范围A-55-55B-55-55C-55-55单击此处编辑母版标题样式

通过命令配置网络信息学习内容企业需求0102用nmcli命令配置网络03用ip/ifconfig命令配置网络04总结企业需求1某公司需要给服务器配置IP地址等网络信息，具体要求如下：

（1）服务器IP地址为0/24

（2）网关地址为54

（3）DNS地址为企业需求1

需求分析：此处需要为服务器配置网络信息，Linux中可以实现该功能的常用命令有三条：

（1）nmcli

（2）ip

（3）ifconfig用nmcli命令配置网络21.nmcli命令介绍

在CentOS7版本中默认使用NetworkManager守护进程来监控和管理网络设置。nmcli是命令行管理NetworkManager的工具，会自动把配置写到/etc/sysconfig/network-scripts/目录下面。

在centOS7中对网络的配置，是基于会话(connection)的，一个网卡可以有多个会话，但是同时只允许一个会话处于激活（active）状态。用nmcli命令配置网络22.配置过程[root@server~]#nmcliconnectionaddcon-nameautoifnameens33typeethernetipv4.methodauto用nmcli命令配置网络22.配置过程[root@server~]#nmcliconnectionaddcon-namestaticifnameens33typeethernetipv4.addresses07/24ipv4.methodmanualipv4.gatewayipv4.dns14说明：connection：会话，可以简写为con。add：添加一个会话。con-name：会话名。用nmcli命令配置网络22.配置过程ifname：接口名，即网卡名，如果有多张网卡，可以在此处选择，按两次TAB键会有提示。type：类型，上例中是ethernet，根据网络类型的不同可以选择，按两次TAB键会有提示。ipv4.methodmanual:手工分配IPipv4,gateway:IP地址和网关地址，这里写IP地址时一定要加上网络前缀，否则会默认32位前缀ipv4.dns：DNS服务器地址用nmcli命令配置网络23.查看配置结果[root@server~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEstatic7aa1d62f-0aa0-4621-9b0b-1caeed323885802-3-ethernetens33[root@server~]#nmcliconnectiondownstatic[root@server~]#nmcliconnectionupstatic[root@server~]#nmcliconnectiondelstatic[root@server~]#systemctlrestartnetwork用ip/ifconfig命令配置网络31.命令介绍ip命令用来显示或操纵Linux主机的路由、网络设备、策略路由和隧道，是Linux下较新的功能强大的网络配置工具，在7版本中替代ifconfig命令。ip和ifconfig命令设置地址时当前有效，重启失效。用ip/ifconfig命令配置网络31.命令介绍（1）ip命令语法：ip(选项)(参数)选项：-V：显示指令版本信息；

-s：输出更详细的信息；-f：强制使用指定的协议族；-4：指定使用的网络层协议是IPv4协议；-6：指定使用的网络层协议是IPv6协议；-0：输出信息每条记录输出一行，即使内容较多也不换行显示；-r：显示主机时，不使用IP地址，而使用主机的域名。用ip/ifconfig命令配置网络31.命令介绍（2）ifconfig命令语法：ifconfig(参数)常用参数：IP地址：指定网络设备的IP地址；网络设备：指定网络设备的名称；netmask<子网掩码>：设置网络设备的子网掩码；up：启动指定的网络设备；down：关闭指定的网络设备。用ip/ifconfig命令配置网络32.配置过程[root@server~]#ipaddradd0/24devens33或者[root@server~]#ifconfigens330netmask[root@server~]#routeadddefaultgw54[root@server~]#echo“nameserver“>>/etc/resolv.conf用ip/ifconfig命令配置网络33.查看配置结果[root@server~]#ipaddr或者[root@server~]#ifconfig总结4如果需要在服务器一张网卡上配置多个地址该如何实现？总结4配置网络的常用命令：（1）nmcli（2）ip（3）ifconfig单击此处编辑母版标题样式

常用网络故障检测命令学习内容企业需求0102常用命令03故障检测一般思路04总结企业需求1

某公司网络系统管理员发现服务器网络不通，具体表现为外网网站无法打开。常用命令21.ping命令ping命令是用来检查网络是否通畅或者网络连接速度的命令。ping

命令每秒发送一个数据报并且为每个接收到的响应打印一行输出。ping

命令计算信号往返时间和(信息)包丢失情况的统计信息，并且在完成之后显示一个简要总结。2.ip命令ip命令用来显示或操纵主机的路由、网络设备、策略路由和隧道。常用命令23.ifconfig命令ifconfig

命令用来查看和配置网络设备。当网络环境发生改变时可通过此命令对网络进行相应的配置。4.nslookup命令nslookup是一个监测网络中DNS服务器是否能正确实现域名解析的命令行工具。5.traceroute命令traceroute命令用于追踪网络数据包的路由途径，预设数据包大小是40Bytes，用户可另行设置。网络故障检测一般思路31.ping目标主机[root@server~]#pingPING(07)56(84)bytesofdata.[root@server~]#ping07PING07(07)56(84)bytesofdata.若域名ping不通，IP地址能ping通，则可能是DNS的故障，这里可继续用nslookup来判断是否是DNS故障。若IP地址ping不通，则进行下面的操作。网络故障检测一般思路32.查看网络信息是否配置正确[root@server~]#ifconfig-aens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet0netmaskbroadcast55[root@server~]#route-nKernelIProutingtableDestinationGatewayGenmaskFlagsMetricRefUseIface54UG10000ens33网络故障检测一般思路33.ping环回地址测试网络协议是否正常[root@server~]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.139ms64bytesfrom:icmp_seq=2ttl=64time=0.076ms网络故障检测一般思路34.ping网关地址测试内网是否正常[root@server~]#ping54PING54(54)56(84)bytesofdata.64bytesfrom54:icmp_seq=1ttl=128time=0.580ms64bytesfrom54:icmp_seq=2ttl=128time=0.283ms网络故障检测一般思路35.traceroute目标主机定位故障位置

[root@server~]#traceroutetracerouteto

(07),30hopsmax,60bytepackets1gateway(54)0.289ms0.190ms0.232ms2()5.786ms10.863ms11.687ms33(3)11.449ms11.230ms*……总结4检测网络故障的一般思路为：（1）ping目标主机（2）ping环回地址（3）查看自己的网络配置是否正确（4）ping默认网关（5）traceroute目标主机定位故障网络节点单击此处编辑母版标题样式

chattr锁定系统文件学习内容企业需求0102锁定系统关键文件03解除锁定的文件04总结企业需求1某公司需要给服务器的操作系统文件进行部分锁定，主要为了使得Linux系统更加安全，减少被黑客入侵的可能性，具体要求如下：（1）锁定系统中的关键文件（2）解除锁定的文件企业需求1需求分析：此处需要锁定系统的关键文件，Linux中可以实现该功能的命令是：chattr

锁定系统关键文件21.chattr命令介绍chattr命令可以对系统中的关键文件进行锁定。一旦锁定之后，即使是root用户也无法对这些文件进行操作。chattr的用法：chattr[-RVf][-+=aAcCdDeijsStTu][-vversion]files...最关键的是[-+=aAcCdDeijsStTu]这部分，它是用来控制文件的属性。chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

锁定系统关键文件22.配置“i”属性使文件不可更改[root@server~]#chattr+i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：+：在原有参数设定基础上，追加参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

锁定系统关键文件22.配置“i”属性使文件不可更改查看属性变化[root@server~]#lsattr/etc/passwd----i-----------/etc/passwd，从结果可以看到属性中多了i此时如果对/etc/passwd进行修改会有错误提示：Operationnotpermitted或者Permissiondenied

锁定系统关键文件23.配置“a”属性使文件只允许追加[root@server~]#chattr+a/etc/resolv.conf说明：+：在原有参数设定基础上，追加参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性[root@server~]#echo"nameserver">>/etc/resolv.conf

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#mkdirsysadmin[root@server~]#mkdirsysadmin/admim_{1,2,3,4,5}[root@server~]#ls-lsysadmin/[root@server~]#chattr-R+isysadmin

锁定系统关键文件24.配置“-R”和“+i”属性使文件夹和其子文件夹成为安全目录查看属性变化[root@server~]#lsattr-Rsysadmin----i-----------sysadmin/admim_1sysadmin/admim_1:----i-----------sysadmin/admim_2sysadmin/admim_2:----i-----------sysadmin/admim_3sysadmin/admim_3:----i-----------sysadmin/admim_4sysadmin/admim_4:

解除锁定的文件系统31.配置“i”解除文件不可更改属性[root@server~]#chattr-i/etc/passwd/etc/shadow/etc/group/etc/gshadow说明：-：在原有参数设定基础上，移除参数i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容一旦锁定之后，即使是root用户也无法对这些文件进行操作

解除锁定的文件系统32.配置“a”解除文件只允许追加属性[root@server~]#chattr-a/etc/resolv.conf说明：-：在原有参数设定基础上，移除参数a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性总结4如果需要对/var/log中的日志文件进行保护该如何实现？总结4chattr命令介绍锁定系统文件解锁系统文件单击此处编辑母版标题样式

SetUID特殊权限设置学习内容企业需求0102SUID特殊权限功能与设置03总结企业需求1某公司的Linux服务器上有些二进制文件只有root用户有权限执行它，其他的用户执行时总是提示错误信息。企业具体要求如下：1.普通用户在执行此二进制程序文件时具有该文件所有者(owner)的权限2.普通用户仅在执行二进制文件时才具有该文件所有者(owner)的权限企业需求1需求分析：普通用户对这些二进制文件的权限需求是临时的、暂时的，管理员需要对普通用户进行“临时提权”的设置，可以通过重新设定此二进制文件的权限来实现。文件特殊权限的设置可以满足以上需求，实现命令是chmod文件的特殊权限有三种：SUID、SGID、SBIT

SUID特殊权限功能与设置21.SUID介绍setuid权限，任何一个用户运行一个带此权限的命令时，不是以此用户的身份启动，而是以文件的拥有者(owner)访问。注意：SUID权限仅对二进制程序有效；运行者对于该程序需要具有x的可运行权限；本权限仅在运行该程序的过程中有效(run-time)；运行者将具有该程序拥有者(owner)的权限。

SUID特殊权限功能与设置22.SUID设置例如：使得普通用户能够用touch命令创建文件方法一：[root@server~]#chmodu+s/usr/bin/touch方法二：[root@server~]#chmod4755/usr/bin/touch说明：4755：4代表setuid，755是touch命令的二进制执行文件的原权限

SUID特殊权限功能与设置23.SUID设置结果原权限：[root@serveruser1]#ll/usr/bin/touch-rwxr-xr-x.1rootroot62488Nov52018/usr/bin/touch设置后权限：[root@serveruser1]#ll/usr/bin/touch-rwsr-xr-x.1rootroot62488Nov52018/usr/bin/touch注意：如果出现的是大写S，这是因为没有x权限。只能先给赋x的权限，然后再给s权限。总结3使得user1用户能够更改自身的登陆密码该如何设置？使用SUID会使系统面临哪些风险？总结3SUID特殊权限功能与设置单击此处编辑母版标题样式

SetGID特殊权限设置学习内容企业需求0102SGID特殊权限功能与设置03总结企业需求1学生用户stu1和stu2都属于stu项目组，在同一个目录/student下工作，该目录只能够给stu项目组使用。项目组所有成员可以对/student目录中的文件进行读写操作。企业需求1需求分析：可以通过重新设定目录的SGID权限来实现。实现命令为chmod。

SGID特殊权限功能与设置21.SGID介绍当s标志在文件拥有者的x位置时为SUID，那s在群组的x时则称为SGID。与SUID不同的是，SGID可以针对文件或目录来配置。如果是对文件来说，SGID有如下的功能：SGID对二进制程序文件有用；程序运行者对于该程序来说，需具备x的权限；运行者在运行的过程中将会获得该程序群组的支持。

SGID特殊权限功能与设置21.SGID介绍对目录来说，SGID有如下的功能：使用者若对于此目录具有r与x的权限时，该使用者能够进入此目录；使用者在此目录下的有效群组(effectivegroup)将会变成该目录的群组；

SGID特殊权限功能与设置22.对文件设置SGID特殊权限方法一：[user1@server~]$chmodg+sfile1方法二：[user1@server~]$chmod2755file1说明：2755：2代表setgid，755是file1文件的原权限

SGID特殊权限功能与设置23.SGID设置结果原权限：[user1@server~]$llfile1-rwxrwxr--.1user1user10Oct805:54file1设置后权限：[user1@server~]$llfile1-rwxrwsr--.1user1user10Oct805:54file1注意：如果出现的是S，这是因为没有x权限，只能先给赋x的权限，然后再给s权限。SGID对文件和对目录的设置命令是相同的。

SGID特殊权限功能与设置2例：普通用户使用locate命令查看locate命令执行文件的权限[user1@server~]$ll/usr/bin/locate-rwx--s--x.1rootslocate40512Nov52018/usr/bin/locate可以看出普通用户只有x权限，没有rw权限。所以理论上普通用户是无法执行locate命令的。不过因为locate命令有SGID权限，所以运行locate命令时，会被临时赋予locate执行文件(/usr/bin/locate)用户组权限，相当于user1这个用户被临时加入了用户组slocate。

SGID特殊权限功能与设置24.对目录设置SGID权限方法一：[root@server~]#chmodg+s/student方法二：[root@server~]#chmod2770/student说明：2770：2代表setgid，770是student目录的原权限

SGID特殊权限功能与设置25.SGID设置结果原权限：[root@server~]#ll/|grepstudentdrwxrwx---.2rootstu0Oct805:54file2设置后权限：[root@server~]#ll/|grepstudentdrwxrws---.2rootstu0Oct805:54file2注意：具有SGID特殊权限后，在目录/student下的文件或目录可以被stu项目组的成员操作。总结3使用SGID会使系统面临哪些风险？怎样同时设置SGID和SUID？总结3SGID特殊权限功能与设置单击此处编辑母版标题样式

StickyBit特殊权限设置学习内容企业需求0102SBIT特殊权限功能与设置03总结企业需求1某公司的Linux服务器上的某些目录非常重要，目录中存放重要的数据，所以要求只有创建者和root才能删除它，其他用户不能删除该目录中的数据。企业需求1需求分析：“只有创建者和root能删除，其他用户不能删除”，此需求可以通过设定目录的SBIT权限来实现。

SBIT特殊权限功能与设置21.SBIT介绍SBIT（stickybit）对于目录的功能是：当使用者对于此目录具有w,x权限，亦即具有写入的权限时；当使用者在该目录下创建文件或目录时，仅有自己与root才有权力删除该文件。注意：只针对目录有效

SBIT特殊权限功能与设置22.SBIT设置方法一：[user1@server~]$chmodo+tdir1方法二：[user1@server~]$chmod1775dir1说明：1775：1代表stickybit，775是dir1目录的原权限

SBIT特殊权限功能与设置23.SBIT设置结果原权限：[user1@server~]$ll.|grepdir1drwxrwxr-x.2user1user16Oct806:11dir1设置后权限：[user1@server~]$ll.|grepdir1drwxrwxr-t.2user1user16Oct806:11dir1注意：如果出现的是T，这是因为没有x权限，只能先赋与x的权限，然后再给t权限。

SBIT特殊权限功能与设置2实训：设置/home/student目录的SBIT权限，使得student目录中的文件或目录只有它的创建者student和root用户才能删除它。总结3使用SBIT会使系统面临哪些风险？总结3SBIT特殊权限功能与设置单击此处编辑母版标题样式

ACL设置学习内容企业需求0102ACL简介03ACL设置04总结企业需求1某公司服务器管理员需要对服务器进行特殊权限的设定，具体要求如下：（1）能够针对单个用户、单个文件或目录进行权限的设定企业需求1需求分析：此处需要针对单个用户，单个文件或目录进行r，w，x的权限设定，Linux中可以实现该功能的是：ACLACL功能的命令有：setfacl：设置文件/目录权限getfacl：查看文件/目录权限

ACL简介21.ACL介绍ACL是AccessControlList的缩写，主要的目的是在提供传统的owner，group，others的read，write，execute权限之外的局部权限设定。ACL可以针对单个用户，单个文件或目录来进行r，w，x的权限设定；特别适用于需要特殊权限的使用情况。简单来说，ACL就是可以设置特定用户或用户组对于一个文件/目录的操作权限。

ACL简介22.ACL控制权限ACL可以针对以下几个项目来控制权限：用户（user）：可以针对用户设置权限用户组（group）：可以针对用户组设置权限默认属性（mask）：可以在该目录下新建文件/目录时设置新数据的默认权限

ACL简介23.ACL命令ACL主要命令如下：setfacl：设置某个目录/文件的ACL规则getfacl：查看某个目录/文件的ACL设置项目

ACL设置31.查看Linux系统支持ACL功能[root@server~]#cat/boot/config-3.10.0-963.el7.x86_64|grep-iext4CONFIG_EXT4_FS=mCONFIG_EXT4_USE_FOR_EXT23=yCONFIG_EXT4_FS_POSIX_ACL=y//表示支持ACLCONFIG_EXT4_FS_SECURITY=y

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>选项：-m新增一条ACL规则-x删除一条ACL规则-b清空所有ACL规则-R：递归设置ACL参数-d：设置预设的ACL参数（只对目录有效，在该目录新建的文件也会使用此ACL默认值）-k：删除预设的ACL参数

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>“规则“组成结构：身份：对应身份名：三种权限[u|g]：[用户名|用户组名]：[rwx]

ACL设置33.getfacl命令getfacl语法：getfacl<文件/目录>说明：[root@server~]#getfacl/tmpgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp//目录名称#owner:root//目录所有者#group:root//目录所属用户组#flags:--t//目录有特殊权限SBITuser::rwx//目录所有者拥有rwx权限，没有设置ACLgroup::rwx//目录所属用户组拥有rwx权限other::rwx//其它用户拥有rwx权限

ACL设置34.ACL设置-用户为/srv/acltest文件设置ACL，使用户user1对其具有rwx权限[root@serversrv]#setfacl-mu:user1:rwxacltest原权限：-rwxr--r--.1rootroot0Oct804:58acltest设置后：-rwxrwxr--+1rootroot0Oct804:58acltest权限部分多了个“+”，代表了该文件设置了ACL

ACL设置34.ACL设置-用户getfacl查看ACL权限[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx//在文件acltest上针对用户user1设置了rwx权限group::r--mask::rwxother::r--

ACL设置34.ACL设置-用户组为/srv/acltest文件设置ACL，使群组manager对其具有rx权限[root@serversrv]#setfacl-mg:manager:rxacltest[root@serversrv]#getfaclacltest//getfacl查看ACL权限#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwxgroup::r--group:manager:r-x//在文件acltest上针对用户群组manager设置了rx权限mask::rwxother::r--

ACL设置34.ACL设置-有效权限mask值为acltest文件设置ACL，使user1用户、manager组只具有r权限[root@serversrv]#setfacl-mm::racltest[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx #effective:r--//user1对文件只有r权限而已group::r--group:manager:r-x #effective:r--//manager对文件只有r权限而已mask::r--other::r--

ACL设置34.ACL设置-有效权限mask值说明：user:user1:rwx #effective:r-- “user:user1:rwx“表示给user1设置了rwx权限，”effective:r--”表示虽然user1拥有rwx权限，但是真正有效果的只有r权限。group:manager:r-x #effective:r--“group:manager:r-x”表示给manager设置了rx权限，”effective:r--”表示虽然manager拥有rwx权限，但是真正有效果的只有r权限。

ACL设置34.ACL设置-有效权限mask值测试：用户user1为acltest文件内添加内容“123”[user1@serversrv]$echo"123">acltestbash:acltest:Permissiondenied因为用户user1有效权限为r，没有wx权限

ACL设置34.ACL设置-DefaultACL以上讲的ACL都是对文件而言，而DefaultACL是指对一个目录进行默认ACL设置，在此目录下建立的文件或目录都将继承父目录的ACL。例如：希望所有在/srv/acldir目录下建立的文件或目录都可以被用户user1访问（权限为rwx），那么应该对acldir目录设置DefaultACL。[root@serversrv]#setfacl-md:u:user1:rwxacldir

ACL设置34.ACL设置-DefaultACL[root@serversrv]#getfaclacldir//getfacl查看ACL权限#file:acldir#owner:root#group:rootuser::rwxgroup::r-xother::r-xdefault:user::rwxdefault:user:user1:rwxdefault:group::r-xdefault:mask::rwxdefault:other::r-x

ACL设置34.ACL设置-DefaultACL在acldir目录下新建一个file1文件，并查看其权限。[root@serveracldir]#getfaclfile1#file:file1#owner:root#group:rootuser::rw-user:user1:rwx #effective:rw-group::r-x #effective:r--mask::rw-other::r--

ACL设置34.ACL设置-DefaultACL在acldir目录下新建目录abc，并查看其权限。[root@serveracldir]#getfacl--omit-headerabc//过滤查看权限user::rwxuser:user1:rwxgroup::r-xmask::rwxother::r-xdefault:user::rwxdefault:user:user1:rwxdefault:group::r-xdefault:mask::rwxdefault:other::r-x总结4清除ACL设置如何实现？总结4ACL功能setfaclgetfacl单击此处编辑母版标题样式

用户密码设置学习内容passwd命令0102/etc/passwd文件03/etc/shadow文件

passwd命令1普通用户和超级权限用户都可以运行passwd命令。普通用户只能更改自己的用户密码。root用户可以修改任何用户的密码。提示如何修改用户的密码？锁定某个用户test01不能修改密码。

passwd命令1

/etc/passwd文件2由若干个字段组成，字段之间用“:”隔开。每行的格式如下：用户名：密码：uid

：gid：用户描述：主目录：登陆shell提示root:x:0:0:Superuser:/:daemon:x:1:1:Systemdaemons:/etc:bin:x:2:2:Ownerofsystemcommands:/bin:2用户名：每个用户的标识字符串密码：这里的x表示是暗文显示。uid：0为root保留ID。1-99为系统保留ID,分配给系统预定义帐号。123

/etc/passwd文件22gid:记录的是用户所属的用户组。用户描述：记录着用户的一些个人情况。主目录：用户的起始工作目录，它是用户在登录到系统之后所处的目录。456

/etc/passwd文件2登录shell:默认情况下这个字段的值为/bin/bash。7

/etc/shadow文件3由若干个字段组成，字段之间用“:”隔开。每行的格式如下：登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留提示root:$6$AZ50BXgr4L.q3q2w$s1EdJ03CJSgfU9kCZP91LNlp/bvDVT8WVRgdJk1OpWzxrfy70QHl6jpgJMaA3Slv9UcB922L0hgH2DrDn.8ee.:16779:0:99999:7:::daemon:*:16141:0:99999:7:::bin:*:16141:0:99999:7:::2

/etc/shadow文件3登录名：与/etc/passwd文件中的登录名一致的用户账号口令：存放的是加密后的用户口令最后一次修改时间：表示的是从某个时刻起，到用户最后一次修改口令时的天数。123最小时间间隔：指的是两次修改口令之间所需的最小天数。42最大时间间隔：指的是口令保持有效的最大天数。警告时间：表示的是从系统开始警告用户到用户密码正式失效之间的天数。56

/etc/shadow文件3不活动时间：表示的是用户没有登录活动但账号仍能保持有效的最大天数。7失效时间：给出的是一个绝对的天数。8单击此处编辑母版标题样式

锁定账户管理学习内容锁定账户0102锁定口令出错N次的账户03总结锁定账户11.通过修改/etc/passwd文件中用户登录的shell通过修改/etc/passwd文件中用户登录的shell类型为/sbin/nologin，可以对用户账户进行锁定和解锁。创建文件/etc/nologin.txt，在改文件中输入系统管理员想给被锁用户的提示，该提示会在被锁账户登录时显示。创建/etc/nologin.txt文件，并在文件中输入提示信息锁定账户11.通过修改/etc/passwd文件中用户登录的shell查看test2用户的shell类型，修改该shell类型为/sbin/nologin,然后查看修改结果如图所示，该用户的shell类型修改为/sbin/nologin即完成了用户账户锁定。测试该账户。解除账户锁定只需要将shell类型改为/bin/bash即可。锁定账户12.使用passwd命令锁定个别用户登录使用命令passwd可以对用户账户进行锁定和解锁，如下图所示。passwd-l用户名#锁定账户passwd-u用户名

#解锁账户

锁定账户13.通过修改用户配置文件/etc/shadow锁定账户通过修改用户配置文件/etc/shadow，将第二栏设置为“*”锁定账户，使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式。锁定过程如下图所示。锁定账户14.通过修改/etc/passwd文件中用户登录的shell使用命令usermod命令可以对用户账户进行锁定和解锁，如图5所示。usermod–L用户名

#锁定帐号usermod-U用户名

#解锁帐号锁定口令出错N次的账户21.PAM简介PAM（PluggableAuthenticationModules）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。可以使用PAM中的功能实现锁定输入口令错误达到一定数量时锁定账户。锁定口令出错N次的账户22.使用PAM锁定账户通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。在/etc/pam.d/login中添加如下行：authrequiredpam_tally2.sodeny=3unlock_time=5even_deny_rootroot_unlock_time=10最多连续3次认证登录都出错时，5秒后解锁，root用户也可以被锁定，root用户10秒后解锁。锁定口令出错N次的账户2

3.状态查看与解锁通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。可以通过以下指令查看test2用户登录的错误次数及详细信息：

pam_tally2--usertest2可以通过以下命令清空test2用户的错误登录次数，即手动解锁：

pam_tally2--usertest2--reset总结3账户锁定账户锁定口令出错N次的账户单击此处编辑母版标题样式

设置操作系统的GRUB密码学习内容企业需求0102GRUB密码设置03总结企业需求1某公司的Linux服务器上存放重要数据，但是服务器的用户可以通过grub修改root用户密码，对系统进行设置防止别人进入grub破解root密码？企业需求1需求分析：对系统进行设置防止别人进入grub破解root密码，可以通过设定grub密码来实现。

GRUB密码设置21.grub2介绍

GRUB2取代grub逐渐成为主流，引导菜单启动从/boot自动生成，不是由menu.lst手工配置。

GRUB2运行时会读取自己的配置文件/boot/grub2/grub.cfg，该文件每次执行grub2-mkconfig命令后自动生成，所以修改该文件在内核升级后会失效。

CentOS7的grub.cfg不能直接修改，要通过修改/etc/default/grub来间接编辑grub.cfg。

GRUB密码设置22.grub加密加密步骤如下：（1）进入系统后，输入vim/etc/grub.d/10_linux，添加以下内容：

cat<<EOFsetsuperusers="username"passwordusernameuserpasswordEOF

注意：以上的username是用户名，userpassword是密码，可以根据自己情况设定。

GRUB密码设置22.grub加密（2）执行grub2-mkpasswd-pbkdf2命令生成新的grub文件。（3）执行grub2-mkconfig--output=/boot/grub2/grub.cfg命令。（4）重启电脑，按e进入grub模式，可以发现被加密了，需要帐号密码才能进入。总结3如何破解root用户的密码？总结3GRUB密码设置单击此处编辑母版标题样式

认识Linux防火墙学习内容防火墙简介0102防火墙的功能03防火墙的类型04防火墙的优缺点学习内容05Linux防火墙技术06Linux防火墙的部署形式07总结防火墙简介1防火墙设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙简介1典型的防火墙体系网络结构防火墙的功能2（1）作为网络安全的屏障（2）可以强化网络安全策略（3）可以对网络存取和访问进行监控审计（4）可以防止内部信息的外泄防火墙的类型3传统意义上的防火墙技术分为三大类。（1）包过滤（PacketFiltering）防火墙（2）应用代理（ApplicationProxy）防火墙（3）状态检测（StatefulInspection）防火墙无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。防火墙的优缺点4（1）防火墙可以阻断攻击，但不能消灭攻击源。（2）防火墙不能抵抗最新的未设置策略的攻击漏洞。（3）防火墙的并发连接数限制容易导致拥塞或者溢出。（4）某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。（5）防火墙对待内部主动发起连接的攻击一般无法阻止。（6）防火墙本身也会出现问题和受到攻击。（7）防火墙不处理病毒。

Linux防火墙技术5Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称网络层防火墙）。

Linux防火墙的部署形式6单一主机型防火墙在单一主机型的控管方面，主要的防火墙有封包过滤型的Netfilter与依据服务软件程序作为分析的TCPWrappers两种。区域性型火墙若以区域型的防火墙而言，由于此类防火墙都是当作路由器角色，因此防火墙类型主要则有封包过滤的Netfilter与利用代理服务器(proxyserver)进行存取代理的方式了。总结7防火墙简介防火墙的功能防火墙的类型防火墙的优缺点Linux防火墙技术Linux防火墙的部署形式单击此处编辑母版标题样式

iptables命令行的语法学习内容企业需求0102iptables命令通用格式03iptables命令的详细手册04iptables命令的使用范例05总结

企业需求1对以上网络拓扑做如下假设：Server已经安装和运行了iptables服务Server和Client之间是可以连通的在Server上已经安装Web服务器程序提供Web服务网络防火墙服务器（Server）客户端（Client）

企业需求1需求分析：根据防火墙的规则要求写出对应的iptables命令。

iptables命令通用格式2iptables[-t表名]命令

[匹配][操作]-t--table表名，用于指定命令应用于哪个iptables内置表。命令选项用于指定iptables的执行方式，包括插入规则，删除规则和添加规则。匹配选项指定数据包与规则匹配所具有的特征，包括源地址，目的地址，传输协议和端口号。iptables执行规则时，是从规则表中从上至下顺序执行的，如果没遇到匹配的规则，就一条一条往下执行，如果遇到匹配的规则后，那么就执行本规则的操作(accept，reject，log，drop等)。

iptables命令的使用范例4操作2：查看iptables防火墙的配置信息[root@server~]#iptables--list[root@server~]#iptables--listINPUT[root@server~]#iptables--tablefilter--listINPUT

iptables命令的使用范例4操作3：清除iptables规则列表[root@server~]#iptables--listINPUT[root@server~]#iptables--flushINPUT[root@server~]#iptables--listINPUT

iptables命令的使用范例4操作4：允许从/24网络中的主机登录Server的SSH服务[root@server~]#iptables--listINPUT[root@server~]#iptables--tablefilter--insertINPUT--source/24--protocoltcp--dport22--jumpACCEPT[root@server~]#iptables--listINPUT

iptables命令的使用范例4操作5：设置指定链的默认规则为DROP[root@server~]#curl00[root@server~]#iptables--listINPUT[root@server~]#iptables--policyINPUTDROP[root@server~]#curl00

iptables命令的使用范例4操作6：设置允许/24网络中的主机访问Server提供的Web服务（80端口）。[root@server~]#iptables--tablefilter--appendINPUT--source/24--protocoltcp--dport80--jumpACCEPT[root@server~]#iptables--listINPUT总结5描述iptables命令的一般格式查看iptables防火墙规则的命令设置指定表与链的默认规则的命令添加一条iptables防火墙规则的命令保存防火墙规则的命令单击此处编辑母版标题样式

SELinux设置学习内容查看SELinux状态0102设置SELinux允许开放端口03临时关闭SELinux04永久关闭SELinux05总结查看SELinux状态1查看SELinux状态[root@localhost~]#sestatusSELinuxstatus:enabledSELinuxfsmount:/sys/fs/selinuxSELinuxrootdirectory:/etc/selinuxLoadedpolicyname:targetedCurrentmode:enforcingModefromconfigfile:enforcingPolicyMLSstatus:enabledPolicydeny_unknownstatus:allowedMaxkernelpolicyversion:28设置SELinux允许开放端口2（1）关闭Linux防火墙[root@localhost~]#systemctlstopfirewalld（2）查看SELinux允许的ssh端口[root@localhost~]#semanageport-l|grepssh（3）修改/etc/ssh/sshd_config文件[root@localhost~]#vim/etc/ssh/sshd_config[root@localhost~]#systemctlrestartsshd.service（4）添加1122端口到SELinux[root@localhost~]#semanageport-a-tssh_port_t-ptcp1122[root@localhost~]#systemctlrestartsshd.service（5）查看是否添加成功[root@localhost~]#semanageport-l|grepssh临时关闭SELinux3临时关闭SELinux[root@localhost~]#setenforce0永久关闭SELinux4永久关闭SELinux[root@localhost~]#vi/etc/selinux/configSELINUX=disabled[root@localhost~]#init6总结5如何查看SELinux状态设置SELinux允许开放端口临时关闭SELinux永久关闭SELinux单击此处编辑母版标题样式

使用NAT技术防护企业内部服务器学习内容应用场景0102NAT技术03防护企业内部服务器04总结应用场景1某公司需要Internet接入，由ISP分配IP地址。采用iptables作为NAT服务器接入网络，内部采用/24地址，外部采用/24地址。为确保安全需要配置防火墙功能，要求从外部网络地址http://能访问内部Web服务器，为实现负载均衡，内部2台Web服务器分别为01:8080和02:8080，两台Web服务器提供的服务相同。NAT服务器通过端口映射方式对外提供服务。应用场景1

NAT技术2NAT（NetworkAddressTranslation，网络地址转换）恰恰是出于某种特殊需要而对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写的操作。NAT位于使用专用地址的Intranet和使用公用地址的Internet之间，主要具有以下几种功能。（1）从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。（2）从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。（3）支持多重服务器和负载均衡。（4）实现透明代理

NAT技术2（1）NAT的分类①SNAT（SourceNAT，源地址转换）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。所谓SNAT就是改变转发数据包的源地址。②DNAT（DestinationNAT，目的地址转换）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。DNAT就是改变转发数据包的目的地址。

NAT技术2（2）NAT原理

NAT技术2（2）NAT原理用户使用iptables命令设置NAT规则，这些规则都存储在nat表中。设置的这些规则都具有目标动作，它们告诉内核对特定的数据包做什么操作。根据规则所处理的信息包类型，可以将规则分组存放在链中。①要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。②要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。③直接从本地出去的数据包的规则被添加到OUTPUT链中。

NAT技术2（3）NAT命令语法

iptables[-t表名]<-A链名>[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]①对规则的操作

-A：加入（append）一个新规则到一个链的最后；

-I：在链内某个位置插入（insert）一个新规则，通常是插在最前面；

-R：在链内某个位置替换（replace）一条规则；

-D：在链内某个位置删除（delete）一条规则。

NAT技术2（3）NAT命令语法

iptables[-t表名]<-A链名>[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]②指定源地址和目的地址通过--source/--src/-s来指定源地址，通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定IP地址:使用完整的域名，如“”；使用IP地址，如“”；用X.X.X.X/X.X.X.X指定一个网络地址，如“/”；用X.X.X.X/X指定一个网络地址，如“/24”这里的24表明了子网掩码的有效位数，缺省的子网掩码数是32。IP：等效于/32。防护企业内部服务器3在Linux服务器上分别设置ens33和ens37两块网卡的IP地址防护企业内部服务器3在/etc/rc.d/目录下生成空的脚本文件dnat.sh，并对该文件添加可执行权限。防护企业内部服务器3编辑/etc/rc.d/rc.local文件，使dnat.sh脚本能在系统启动时自动执行防护企业内部服务器3修改/etc/sysctl.conf文件内容，添加“net.ipv4.ip_forward=1”。开启内核转发，系统在每次开机后能自动激活IP数据包转发功能。防护企业内部服务器3执行以下命令来启用sysctl.conf文件中的改变防护企业内部服务器3增加访问规则，编辑/etc/rc.d/dnat.sh文件，添加以下内容防护企业内部服务器3重新载入配置，使规则生效防护企业内部服务器3客户端测试。公司内部客户端IP：1访问Web服务器，地址分