1、主机安全配置 linux 系统进行主动防御22-1配置 Linux 系统进行主动防御(SEC-L01-001.1)系统安全始终是信息网络安全的一个重要方面,攻击者往往通过控制操作系统来破坏系统和信息,或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会。实验目的了解系统加固可以采取的手段: 了解 Linux 系统帐户创建,密码设置,登录管理。 加强对 Linux 系统的访问控制了解( iptables)。 熟悉,修改 Linux 帐号的不安全配置。 禁止不必要的网络服务。 实验拓扑实验准备 下载实验中使用的远程连接工具 Putty 1.下载实验工具包 SEC-L01-001.ra
2、r,并使用 RAR 压缩工具解压。2.找到解压文件中的远程连接 putty 工具。 主机安全配置 linux 系统进行主动防御22-2注: Putty 是一个小而精悍的 Linux 服务器远程控制工具,Linux 自带有 ssh 服务,开启ssh 服务后就可以使用 putty 远程控制,在使用 putty 登入时要记得选中 SSH, 否则是无法远程登入的。 实验步骤使用 Putty 工具远程连接实验主机步骤说明:了解熟悉使用 putty 工具,并用 putty 工具连接目标加固主机,添加实验使用的临时系统帐户。 1.点击运行 Putty,在出现的窗口界面的 hostname 处输入实验目标主机
3、 ip,并选择 ssh,点击“open“ 。如:图 1注: 本次实验中远程登录方式采用的都是 SSH 方式,下面将不再特别说明。 图 1 2.如果出现如下 “PuTTY Security Alert”窗口,点击“是”,如:图 2主机安全配置 linux 系统进行主动防御22-3图 2 3.在随后出现的登录界面,按提示依次输入:root 回车 1qazWSX,将出现如下界面,此时已经使用 root帐号登录目标主机成功。如:图 3注: 1qazWSX 为实验目标主机 root 帐号默认密码, 实验期间请勿修改 root 帐户的密码。 图 3 4.输入如下操作添加试验用系统帐号 test。注: 密码
4、也定为 test,由于密码强度不够,系统会有所提示,先忽略。 rootLT-courseware-0009 #useradd test主机安全配置 linux 系统进行主动防御22-4rootLT-courseware-0009 #passwd testChanging password for user test.New UNIX password:(【注释】此处输入口令)BAD PASSWORD:it is too shortRetype new UNIX password: (【注释】此处再次输入)passwd:all authentication tokens updated succ
5、essfully.5.用添加的 test 帐号按照步骤 2)开始的操作方式 ssh 登录目标主机,如果操作正确将会得到如下界面,显示test 已经登录成功;如:图 4图 4 6.本部分实验结束,关闭所有实验打开的程序及窗口。禁止 root 帐号远程登录步骤说明:在 LINUX 系统中,计算机安全系统建立在身份验证机制上。如果 root 口令被盗,系统将会受到侵害,尤其在网络环境中,后果更不堪设想。因此限制用户 root 远程登录,对保证计算机系统的安全,具有实际意义。 1.运行 Putty 工具以 root 用户登录到实验目标主机。 2.使用 vi 修改/etc/ssh/sshd_config
6、 文件,如:图 5rLT-courseware-0009 #vi /etc/ssh/sshd_config 主机安全配置 linux 系统进行主动防御22-5图 5 3.查找到 #PermitRootLogin yes 这一行,作如下修改*将注释符“#“ 号去掉*修改 “yes“为“no“最终修改该行为:PermitRootLogin no,保存并关闭 sshd_config,如:图 6图 6 4.重起 SSH 服务。主机安全配置 linux 系统进行主动防御22-6rootLT-courseware-0009 #service sshd restart 5.使用 Putty 工具以 root
7、 帐号方式登录到实验目标主机会发现系统显示 Access denied,如:图 7图 7 【说明】root 帐号已经无法登录。6.关闭当前 Putty 工具窗口,重新运行 Putty 工具,使用前面创建的 test 用户登录到实验目标主机。 7.使用 su 命令,并按照提示输入 root 密码,转换到 root 用户身份。 testLT-courseware-0009 $su -Password:(【注释】此处输入 root 密码)rootLT-courseware-0009 # 8.使用 vi 修改/etc/ssh/sshd_config 文件。 9.将刚才修改的那行配置还原 PermitR
8、ootLogin no 如:图 8 主机安全配置 linux 系统进行主动防御22-7图 8 还原为 #PermitRootLogin yes 如:图 9图 9 10.重起 SSH 服务。主机安全配置 linux 系统进行主动防御22-8rootLT-courseware-0009 #service sshd restart 11.关闭当前 Putty 工具窗口,重新运行 Putty 工具以 root 用户登录到实验目标主机,此时显示登录成功。如:图 10 图 10 12.通过配置策略,可以成功限制系统 root 帐户的登录,实验操作成功,请关闭所有实验打开的程序及窗口,本部分实验结束。配置策
9、略锁定多次尝试登录失败的用户步骤说明:锁定多次尝试登录失败的用户,能够有效防止针对于系统用户密码的暴力破解,配置策略锁定多次尝试登录失败的用户,其带来的最大好处便是让“猜“密码包括部分暴力破解密码的方式失去意义。 1.运行一个 Putty 工具, 使用 root 帐号登录到实验目标主机。 2.使用 vi 修改/etc/pam.d/system-auth 文件。testLT-courseware-0009 $vi /etc/pam.d/system-auth 3.在 system-auth 文件的 auth 部分增加如下一行 (红字的部分),如:图 11auth required /lib/se
10、curity/$ISA/pam_env.soauth required /lib/security/pam_tally.so onerr=fail no_magic_rootauth sufficient /lib/security/$ISA/pam_unix.so likeauth nullokauth required /lib/security/$ISA/pam_deny.so主机安全配置 linux 系统进行主动防御22-9图 11 4.在 system-auth 文件的 account 部分增加如下一行(红字的部分) ,然后保存并关闭 system-auth 文件account re
11、quired /lib/security/$ISA/pam_unix.soaccount required /lib/security/pam_tally.so deny=3 no_magic_root resetaccount sufficient /lib/security/$ISA/pam_succeed_if.so uid 设置 网络连接 本地连接,点击“支持“标签,获取本机的 IP(如下图红圈的位置显示的即为本机 IP),如:图 26 主机安全配置 linux 系统进行主动防御22-18图 26 记录下本机 IP 后,将该窗口关闭。2.点击本机的开始- 运行,输入:cmd,打开一个
12、cmd 窗口。 注: 同实验 5 步骤 1。 3.在 cmd 窗口,输入: netstat -na |find “LINSTEN“ 在显示的本机端口侦听列表中随机选择一个 TCP 的侦听端口,作为后继实验的连接测试使用,如:445注: 本实验文档以 445 端口为例,实验者可以根据实际情况自己选择。 如:图 27主机安全配置 linux 系统进行主动防御22-19图 27 4.运行 Putty 工具以 root 用户登录目标加固主机,执行如下指令。rootLT-courseware-0009 # telnet xxx.xxx.xxx.xxx 445 注: xxx.xxx.xxx.xxx 为目标
13、本机 IP 地址。 如果输入正确则返回结果显示如下,则说明该 IP 的该端口开放,即此时可以访问本机,如:图 28图 28 此时,按 CTRL+,再输入:quit,可以退出此状态,如:图 29主机安全配置 linux 系统进行主动防御22-20图 29 5.使用 vi 修改/etc/sysconfig/iptables 文件。 rootLT-courseware-0009 # rootLT-courseware-0009 sysconfig#vi /etc/sysconfig/iptables 6.添加一行如下内容,如:图 30 rootLT-courseware-0009 # -A OUTP
14、UT -d xxx.xxx.xxx.xxx -m state -state NEW -j DROP 注: xxx.xxx.xxx.xxx 为本机 IP。 主机安全配置 linux 系统进行主动防御22-21图 30 保存并关闭 iptables 文件。7.重起 iptables 服务。rootLT-courseware-0009 sysconfig#service iptables restart 8.再次按照步骤 4)方式连接本机 445 端口,等候数分钟后,会显示如下结果,如:图 31 主机安全配置 linux 系统进行主动防御22-22图 31 【说明】此时目标加固主机已经无法和本机远程连接。9.本部分实验结束,关闭所有实验打开的程序及窗口。解决方案1.Linux 系统主动防御目的是加强对 linux 主机的系统加固,通过修改 Linux 系统的配置文件,增强 linux 系统主机的安全防御。 2.学习了解 Linux 系统的加固配置,并掌握各种加固手动的配置方式,可以在维护的 Linux 系统上进行上述的系统加固内容设置,增强管理维护的 Linux 系统的主机安全防御。
