linux操作系统安全.docx

linux操作系统安全.docx

《linux操作系统安全.docx》由会员分享，可在线阅读，更多相关《linux操作系统安全.docx（15页珍藏版）》请在冰豆网上搜索。

linux操作系统安全

贵州大学实验报告

学院：

计信学院专业：

信息安全班级：

信息101

姓名

杨青

学号

1008060173

实验组

实验时间

19周星期日

指导教师

蒋朝惠

成绩

实验项目名称

Linux操作系统安全

实验目的

一、linux操作系统中的安全配置

通过实验掌握linux操作系统环境下的用户管理、进程管理以及文件管理的相关操作命令，掌握linux中的相关安全配置的方法，建立起linux的基本安全框架。

二、linux中Web、FTP服务器的安全配置

通过本实验的学习，了解Apache服务器的基本配置、访问控制、认证与授权的配置以及日志管理与分析方法。

掌握vsftpd服务器的安装和安全配置方法

实验原理

linux操作系统中的安全配置

1、用户管理

Linux支持以命令行或窗口方式管理用户和用户组。

它提供了安全的用户和口令文件保护以及强大的口令设置规则，并对用户和用户组的权限进行了细粒度的划分

Linux的用户和用户组的信息分别保存在/etc/shadow、/etc/passwd、/etc/group和/etc/gshadow等几个文件中，为这些文件设置较高的安全权限是完全必要的。

在较高安全要求的系统中，可以将这些文件设置为不可更改。

Linux中也带有一些常用的口令字典，以便在用户设置的口令不太安全时及时提醒用户。

2、文件管理

在linux中，文件和目录的权限根据其所属的用户或用户组来划分：

1）、文件所属的用户，即文件的创建者

2）、文件所属用户组的用户，即文件创建者所在的用户组中的其他用户

3）、其他用户，即文件所属用户组之外的其他用户

3、插入式身份认证模块PAM

PAM是插入式身份认证模块，它提供身份认证功能防止未授权用户的访问，其身份认证功能高度模块化，可通过配置文件进行灵活配置

4、记录系统syslogd

Linux使用了一系列的日志文件，为管理员提供了很多关于系统安全状态的信息。

Syslogd是一种系统日志守护进程，它接受系统和运用程序、守护进程以及内核提供的消息，并在/etc/syslog.conf文件中的配置，对这些消息在不同日志文件中进行记录和处理

linux中Web、FTP服务器的安全配置

1、Apache服务器的安全配置

（1）Apache的配置文件/etc/httpd/conf/httpd.conf

（2）访问控制

（3）认证与授权

（4）日志管理配置与日志的统计分析

2、FTP服务器的安全配置

FTP为文件传输协议，主要用于网络间的文件传输。

FTP服务器的特点是采用双端口工作方式，通常FTP服务器开放21端口与客户端进行FTP控制命令传输，这称为FTP的数据连接

实验仪器

linux操作系统中的安全配置：

安装redhatlinux9.0操作系统的计算机

linux中Web、FTP服务器的安全配置：

一台安装WindowsXP/Server2003操作系统的计算机，磁盘格式配置为NTFS,预装MBSA工具

实验步骤

linux操作系统中的安全配置

一、账户和安全口令

1、查看和添加账户

（1）使用系统管理员账户root登录文本模式，输入下面的命令行：

使用useradd命令新建名为myusername的新账户

（2）使用cat命令查看账户列表，输入下列命令:

[root@localhostroot]#cat/etc/shadow

得出列表最后的信息为：

用如下命令切换到myusername账户，然后在使用cat命令查看账户列表，如果刚才的账户添加成功，那么普通用户myusername不能查看该文件的权限，提示如下：

2、添加和更改口令

切换到root用户，添加myusername的口令：

[root@localhostroot]#passwdmyusername

3、设置账户管理

输入命令行[root@localhostroot]#chage–m0–M90–E0–W10myusername,此命令强制用户myusername首次登陆时必须更改口令，同时还强制该用户以后每90天更改一次口令，并提前10天提示

4、账户禁用于恢复

（1）输入下列命令行，以管理员身份锁定新建的myusername账户，并出现锁定成功的提示：

此刻如果使用su切换到myusername账户，则出现以下提示：

表明锁定成功

（2）输入以下命令行，检查用户nyusername的当前状态：

（3）如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示：

5、建立用户组，将指定的用户添加到用户组中

（1）输入以下命令，建立名为mygroup的用户组：

（2）如果要修改用户组的名称，使用如下命令行：

将新建的用户组更名为mygroup1

（3）输入以下命令，将用户myusername加入到新建的组mygroup1中并显示提示：

（4）用下面的命令将myusername设置为该用户组的管理员：

6、设置口令规则

使用命令[root@localhostroot]#vi/etc/login.defs编辑/etc/login.defs文件：

将PASS_MIN_LEN_参数改为8，PASS_MAX_DAYS参数改为90天

7、为账户和组相关系统文件加上不可更改属性，防止非授权用户获得权限

（1）输入下列口令为口令文件加上不可更改属性：

此刻若使用如下命令新建账户：

出现不可更改提示：

（2）可用同样的方法锁定/etc/shadow、/etc/group以及/etc/gshadow

（3）如果要去除文件的不可修改属性，则输入以下命令：

8、删除用户和用户组

（1）输入以下命令，删除新建的用户

（2）输入以下命令，删除新建的用户组

二、文件系统管理及安全

1、新建文件夹和文件

（1）在终端输入下列命令行

（2）用mkdir命令在folder文件夹下建立一个名为childfolder的子文件夹

（3）用cd命令进入child文件夹下，并建立一个名为newfile的文件

2、编辑文件

（1）用vi命令编辑newfile文件，在插入模式下插入Thisisanewfile

（2）按[Esc]键返回命令行格式，输入“：

wq”，保存退出

3、查看文件内容和相关信息

（1）使用cat命令查看文件内容

（2）用ll命令查看相关文件的信息，输入如下代码

系统回显：

4、设置文件的所属用户，用户组和权限

（1）用chmod命令将newfile文件的访问权限设置为所属用户有读写和执行的权限，用户组有读写的权限，其他用户没有任何权限，命令行如下：

再次查看并记录用户权限;

（2）分别使用root和myusername用户，尝试读写操作并记录实验结果

使用root用户

使用myusername用户

三、查看和更改PAM模块设置

1、查看用于控制口令选择和口令时效的PAM模块设置

（1）查看/etc/pam.d文件夹中的文件列表

（2）打开文件/etc/pam.d/passwd,查看与用户口令有关的PAM设置

（3）查看文件/etc/pam.d/system-auth

（4）结合实验原理部分，解释口令部分的PAM设置

2、限制su命令的使用用户

（1）输入下面的命令行，用cat命令查看系统中是否存在名为wheel的用户组，如果不存在，则新建该用户

（2）新建用户newuser，并将其加入到wheel组中‘

（3）再次查看组信息，终端显示

四、、检查sysogr日志设置以及日志文件

1、打开/etc/syslog.conf文件，查看syslog日志的相关设置

思考题：

1、在linux中，如何设置一个文件夹的访问权限

答：

在Linux下，Root帐户有最大的权限，其他用户只能拥有自己的文件的所有权限和该改组成员赋予的文件的权限，可以通过umask设置用户创建文件的访问权限

2、在linux中，如何限制其他用户使用su命令

答：

不想一些人使用"su"命令成为root或切换到其他用户，那么在"/etc/pam.d/su"做一些修改就可以

3、在linux中，如何启用和禁用用户账户

答：

Linux系统使用/etc/shadow保存加密了的用户密码，禁止一个帐号最快的方法是修改存储于/etc/shadow中的密码。

linux中Web、FTP服务器的安全配置

1、Apache服务器的安全配置

（1）Apache服务器的安全配置

通过下面的命令查看是否安装了Apache

如果回显如下内容，则说明已经安装了Apache

（2）Apache的启动

用下面命令查看Apache是否启动

查看httpd的所有运行进程

（3）Apache的配置

启动Apache后，在其默认配置下，已经可以提供服务了，在客户机的IE浏览器中键入IP地址192.168.0.20，出现如下网页

（4）认证与授权

1）修改主配置文件

2）创建文件口令security,并添加一个用户testwebuser,密码bamboo,域security

3）改口令文件的所有者和用户组均为Apache

4）重启http

2、vsftpd服务器的安全配置

（1）vsftpd服务器的安装和启动

查看vsftpd是否安装好

（2）独立FTP服务器的安全配置

1）禁止匿名用户登录

2）对本地用户的登录和访问进行控制

3）控制用户登录后能切换到自身根目录以外的目录

4）设置日志选项

5）设置安全选项

6）设置性能选项

思考题：

1、在Apache的安全配置中，如何设置只允许一部分IP地址访问网站？

答：

修改http.conf，编辑你想要控制的目录下的.htaccess文件，生成用户密码文件。

2、在Apache的安全配置中，如何设置网站文件夹的可读写权限

答：

用服务器上用命令修改，或者用php的函数修改

3、在Apache的安全配置中，如何保证日志文件的安全性

答：

日志文件加密

实验总结

之前对linux操作系统并不是很熟悉，但是通过仔细阅读书本，还是能做出实验并在实验中熟悉了linux操作系统中的安全配置，大体上掌握linux操作系统环境下的用户管理、进程管理以及文件管理的相关操作命令，掌握了linux中的相关安全配置的方法等

指导教师意见

签名：

年月日