linux网关及安全应用-第1章(系统安全常规优化)理论课教案-焦可伟

《linux网关及安全应用》理论课教案第1章（系统安全常规优化)《linux网关及安全应用》理论课教案 1一. 课程目标 1二. 课程结构 1三.本章工作任务(问题列表) 2四.本章技能目标 2五.本章重点难点 25.1课程重点 25.2课程难点 2六.整章授课思路[100分钟] 36.1本章授课思路： 36.2预习检查、任务、目标部分[10分钟] 36.3技能点讲解[80分钟] 36.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！ 7七.布置作业：[4分钟] 77.1本章作业 77.2作业的提交方式与要求 77.3课后习题答案 7八．习题 8课时：2学时授课人：焦可伟课程目标针对Linux服务器操作系统进行常规安全加固通过部署防火墙、代理等应用构建Linux网关系统检测服务器的安全漏洞，实施远程访问控制监测服务器运行性能、局域网主机的网络流量课程结构第一部分第二部分第三部分优化服务器系统安全用户帐号安全管理、文件及文件系统权限安全、进程/程序安全的使用、系统引导和终端登录安全构建Linux网关iptables防火墙的过滤策略、网关应用策略、squid代理服务器及用户上网控制网络安全应用与监测常用扫描和嗅探工具的使用、服务器漏洞检测、远程登录管理及访问控制、监控服务器性能和流量、监控局域网流量第1章第2～4章第5～6章三.本章工作任务(问题列表)1、 在Linux系统中，为了保证用户账号密码的持续安全性，如何设置可以强制用户定期更新密码？2、 在Linux系统中，如何设置可以强制用户下次登录必须更改密码？3、 如何限制Linux系统用户密码的最小长度？4、 管理员希望在每次注销登录后，系统能自动删除命令历史记录，应如何实现？5、 公司希望指定的几个用户可以通过su命令切换到root用户身份，以便执行管理任务，同时要防止其他无关用户使用su切换为root，应如何配置实现？6、 Linux服务器管理员为减少工作量，希望把创建、删除及更改用户的权限下放给Account用户组的成员，如何设置才能使Account用户组的一个普通用户账号能执行创建、删除及更改用户的命令？7、 如何使用户邮箱所在分区上的可执行文件失效，以避免运行病毒、木马等执行程序的风险？8、 管理员希望将一些静态的系统配置文件通过i节点锁定的方式加以保护，应如何实现，需要更新对应文件时，如何解除锁定？9、 管理员使用useradd命令添加新用户时，系统提示”useradd：无法打开密码文件”，应如何解决？10、 一些特殊执行程序若被设置了set_uid位等权限，将会给系统带来很大的风险，如何快速找出系统中设置了指定权限位的文件？11、 在Linux命令行终端，可以按ctrl+alt+del组合键重启系统，如何能禁用该项功能？12、 Linux放在公用机房内或公用办公室内，非授权用户可以接触到，如何防止无关人员通过单用户模式更改root密码？13、 如何为GRUB设置密码以加强服务器系统的安全性？14、 如何禁止Linux系统中的所有普通用户登录系统?15、 如何隐藏Linux系统登录界面的系统版本信息，以降低安全风险？四.本章技能目标会加强用户帐号安全的常见措施会加强文件系统安全的常见措施会加强系统引导和登录安全的常见措施五.本章重点难点5.1课程重点用户账户安全优化文件和文件系统安全优化5.2课程难点配置sudo权限切换使用pam_access控制用户登录地点(强调：这个知识点即是重点也是难点，需要在课上强调)六.整章授课思路[100分钟]6.1本章授课思路： 简述服务器系统安全时，应着力培养学员的安全意识。如：可以以安全领域的”木桶法则”为例(木桶能盛水多少，取决于最短的那块木板，而不是最长的那块)。 给学员强调安全的信息系统必然是全方位、多角度的安全强化，任何一个环节的弱点、漏洞都可能导致整个信息系统不堪一击，绝对的安全时不存在的。 本章内容可以分别从用户账户、文件系统、引导和登录三个方面进行讲解，重点和难点内容应先讲解其作用，然后再做演示。着重讲解和演示的至少应包括以下内容：Su切换用户，sudo配置Mount的noexec选项、使用chattr锁定文件查找设置了suid位的文件Ntsysv优化系统服务设置grub加密密码使用pam_access控制用户登录6.2预习检查、任务、目标部分[10分钟]1)预习检查：(2分钟)2）技能目标讲解：(4分钟)3)课程结构：(4分钟)6.3技能点讲解[80分钟]1) 用户账户安全优化[20分钟]a) 引入：通过一个基本用户账户的创建，来说明用户账户的一些安全隐患，引出要进行讲解的账号安全基本措施。b) 讲解要点：帐号安全基本措施：2) 使用su、sudo控制用户账户权限[30分钟]a) 引入：简单介绍切换用户身份的应用场合，引出su命令并介绍其用途、命令格式。b) 讲解要点：su命令用途：SubstituteUser，切换为新的替换用户身份格式：su[-][用户名]Sudo机制指出su命令切换用户身份时的局限性（需要知道目标用户的密码），引出sudo命令并讲解其用途，介绍命令的基本使用格式要想正常使用sudo命令，需要有目标用户的授权（由管理员设置），就好比交通协警需要获得交通局的授权才能在街上协助指挥交通、房屋中介需要获得业主授权才能替顾客出售房子一样用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户格式：sudo[-u用户名]命令操作配置文件：/etc/sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi/etc/sudoers在sudoers文件中的基本配置格式：用户主机名列表=命令程序列表为sudo配置项定义别名：关键字：User_Alias、Host_Alias、Cmnd_Alias在sudo配置行中，可以调用已经定义的别名c) 课堂案例：案例一：需求描述：允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令授权wheel组的用户不需验证密码即可执行所有命令为sudo机制增加日志功能案例二：需求描述：设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号d)小结采用提问方式，注意引导学员回答重点即可！如何使系统用户定期（如3个月）修改密码？使用su命令时，是否带“-”选项有何区别？sudo配置记录的基本格式是什么？如何通过sudo调用被授权执行的命令？3) 文件和文件系统安全优化[20分钟]a) 引入：讲解作为服务器使用时的Linux系统分区规划。b) 讲解要点：合理规划系统分区/boot、/home、/var、/opt等建议单独分区文件系统（分区）的挂载选项mount命令的-onosuid、-onoexec选项锁定文件的i节点chattr命令、lsattr命令去除程序文件中非必需的set位权限setuid、setgid的用途？有何隐患？如何找出设置了set位权限的文件?c) 课堂案例：案例一：需求描述监控系统中新增了哪些使用set位权限的文件4) 为系统引导和登录提供安全加固[30分钟]a) 引入：讲解linux系统引导过程，简单介绍开关机安全的基本措施，BIOS设置、禁用重启热键的操作可以进行演示。b) 讲解要点：开关机安全控制：服务器的物理安全控制调整BIOS引导设置修改启动顺序设置管理密码禁用Ctrl+Alt+Del重启热键修改/etc/inittab文件，并执行“initq”重载配置GRUB引导菜单加密加密引导菜单的作用修改启动参数时需要验证密码进入所选择的系统前需要验证密码在grub.conf文件中设置密码的方式password明文密码串password--md5加密密码串密码设置行的位置全局部分（第一个“title”之前）系统引导参数部分（每个“title”部分之后）本地终端及登录控制立即禁止普通用户登录/etc/nologin设置启用哪些tty终端/etc/inittab控制允许root用户登录的终端/etc/securetty更改系统登录提示，隐藏系统版本信息/etc/issue、/etc/pam_access认证控制配置文件：/etc/pam.d/loginaccountrequiredpam_access.so配置文件：/etc/security/access.conf权限用户来源6.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！提问：1.对于使用chattr命令锁定的文件，如何去除锁定？2.通过su、sudo机制都可以使普通用户获得root用户的权限，二者有何区别？3.如果忘记了GRUB菜单的密码，无法进入系统怎么办？七.布置作业：[4分钟]7.1本章作业a) 课后选择题：P25b) 课后简答题：P31题1、2、3、4、5、6c) 抄写和背诵本章单词列表d) 完成本章实验案例一、案例二7.2作业的提交方式与要求a) 课后选择题：把答案写在课本上b) 课后简答题：作业写在作业本上，下次上课提交c) 抄写和背诵本章单词列表：写在作业本上，至少5遍d) 完成本章实验案例一和案例二：提交实验报告7.3课后习题答案CBCAB八．习题为了保证Linux系统的安全性，我们经常要使用各种系统安全设置和优化，下列哪项不是增强用户帐户安全的常见措施()删除不适用的账户、禁用暂时不适用的账户强制用户定期修改密码(设置密码有效期)重新设置用户账户的搜索路径(设置环境变量PATH)减少记录命令历史的条数(设置环境变量HISTSIZE)正确答案：C考点：增强用户帐户安全的常见措施[★★]Linux系统为了保证文件系统的安全性，有多种方法，其中锁定文件的i节点，使用的命令是()lsattrchmodchownchattr正确答案：D考点：增强文件系统安全的常见措施[★★]设置linux引导程序grub引导菜单加密有两种加密方法：明文加密和密文加密，其中密文加密需要在grub.conf配置文件中设置的参数是()password密码串password--md5密码串password加密密码串password--md5加密密码串正确答案：D考点：增强系统引导和登录安全的常见措施[★★]su命令可以方便进行用户身份的切换，假设要切换到benet用户，执行su-benet与subenet的区别是()是一样的没有区别su-要比