网络安全之操作系统实验.docx

1、网络安全之操作系统实验附录F网络安全之操作系统实验IIS5.0安全配置实验目的：掌握IIS基本配置方法；实验环境：Windows2000实验步骤：1 去掉IIS的组件：点击开始控制面板添加/删除程序windows组件， （1）INTERNET信息服务（IIS）中选择以下几个组件：INTERNET服务管理器INTERNET服务管理器（HTML）WORLD WIDE WEB服务器公用文件文档其余的组件都不要安装（2）避免安装在主域控制器上 2 更改www 服务端口为8080点击开始管理工具Internet服务管理器如下图所示，TCP端口为8080，则在浏览器中输入时应该为http:/servern

2、ame:8080。3 主目录设置一、站点目录配置不要将IIS安放在系统分区上，否则容易使非法用户侵入系统分区。首先在与系统分区不同的另一个分区，建一个发布站点的目录，如在D盘下建mywebsite目录，启动IIS服务管理器后，右键点击默认的WEB站点或自己新建的站点，点“属性”，再点“主目录”标签，如下图：在本地路径框中输入刚才建立的目录，注意下面的多个访问的复选框中，无特殊要求，只选“读取”即可，如果允许写入或目录浏览的话，则通过浏览器便可直接写入或浏览目录，这样会很不安全。最新的MDAC（ data/download.htm）（建议）说明：MDAC为数据访问部件，通常程序对数据库的访问都通

3、过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。二、删除无用脚本映射右键点击选定站点，点属性，在“主目录”标签中，点击右下方的“配置”按扭，出现下图界面，选中无用的映射关系点“删除”按扭，4 目录安全性设置一、匿名访问和验证控制进入Internet 服务管理器后，右键点击左侧的的默认web站点或自己建立的站点名称，点属性，点击“目录安全性”标签，在匿名访问和验证控制项中点编辑，出现如下图界面二、IP地

4、址和域名限制IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器，操作如下：在IIS的所选站点中，“目录安全性”标签中点击IP地址及域名限制中的“编辑”按扭，可以看到如下图所示界面，可按自己的要求选择授权访问或是拒绝访问，再点击“添加”按扭，将IP地址输入即可，如果对域名限制，则可点DNS。 三、安全通信 具体操作如下：仍在“目录安全性”标签下，点“安全通信”中的“服务器证书”按扭，开始导入证书，如果已有证书，则在导入过程中选择“分配一个已存在的证书”，如图当把证书导入成功后，“安全通信”

5、中的“查看证书”和“编辑”按扭便会由灰色变成可用，这时点击“编辑”按扭，这时可以对安全通信进行一些设置。设置完成后，在浏览器中必须输入https:/servername。删除Windows2000/XP特殊共享实验目的：掌握windows基本安全配置方法；实验环境：Windows2000实验步骤：在计算机管理中删除了这些共享后，下次重新启动后会自动出现，所以只有通过更改注册表来删除这些共享：点击开始运行regedit回车，做如下修改：Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName: AutoShareServ

6、erType: DWORDValue: 0 在win2000Server中如果找不到AutoShareServer 这个键名，可以自己新建一个，同样生效；如果操作系统是工作站类型的需要将AutoShareWKSr这个键名删除Windows2000/XP空会话实验目的：掌握windows基本安全配置方法；实验环境：Windows2000/XP实验步骤：空会话通常使用TCP139,135端口1 在开始运行中键入regeidt，在注册表中查找相应键值：Key:HKLMSYSTEMCurrentControlSetControlLsaName: RestrictAnonymousType: REG_D

7、WORDValue: 1 | 2说明：把该值设为1时，匿名用户无法列举主机用户列表；把该值设为2时，匿名用户无法连接你的IPS$共享，不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server.2 或者点击开始程序本地安全策略启用windows安全审核功能实验目的：掌握windows基本安全配置方法；实验环境：Windows2000实验步骤：1 访问文件夹的审核：在NTFS分区上选择一个要审核的目录，右键点击此目录，在菜单中点“属性”点“安全”标签，点“高级”按扭，在出现的对话框中选择“审核”标签，再点“添加”按扭，出现要审核的项目，如下图，则可以按自己的需要对要审核项打勾，然后

8、点“确定”按扭即可。 审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率。审计失败：警告那些可能发生的安全泄漏。2 审核策略：启动本地安全策略，点开“本地策略”项，点“审核策略”，右侧会有设置项，推荐的审核如下图示。3 安全事件查看并分析除了上述审核与安全性有关的事件外，Windows 2000 还生成安全日志并提供了查看日志中所报告的安全事件的方法。具体操作如下：点击开始管理工具事件查看器安全事件，这时会把曾设置的安全审核后，发生的事件显示出来，双击某一事件可以查看其详细信息，如图：去除Wndows2000对其他操作系统的支持实验目的：掌握windows基本安全配置方法；实

9、验环境：Windows2000实验步骤：Win2K可以很好地支持其他操作系统，允许例如OS/2和POSIX的应用程序向服务器发送请求以执行代码。这种功能通常叫做Win2K的子系统。Win2K的子系统一般情况下不会用到，但却是一个很大的安全漏洞，应该采取措施堵住它。关闭这个漏洞的最简单方法是去掉这个子系统，使它们无法使用。这不会给Win2K服务器或IIS带来任何问题，因为它们是在Win32子系统中运行的。 禁止OS/2和POSIX要通过删除相关文件和改写相关注册表键值来完成，步骤如下： 1 删除“HKLMSoftwareMicrosoftOS/2 Subsystem for NT”下面所有的子键

10、。2 除“HKLMSystemCurrentControlSetControlSession ManagerEnvironment”中的值Os2LibPath。 3 清除“HKLMSystemCurrentControlSetControlSession ManagerSubsystems”中Optional的内容，但是保留值Optional的名字。 4 删除“HKLMSystemCurrentControlSetControlSession ManagerSubSystems ”中的值Os/2 和Posix。在Linux系统中禁止系统对ping事件的响应实验目的：掌握Linux基本安全配置方

11、法；实验环境：linux8.0实验步骤：进入etc/rc.d目录，编辑rc.local文件： 在“/etc/rc.d/rc.local”中加入echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all即可（每次系统重新启动后自动执行该命令）结果测试：ping 目标IP避免Linux系统暴露系统版本号、内核版和服务器名称等信息实验目的：掌握Linux基本安全配置方法；实验环境：linux8.0实验步骤：1编辑“/ect/rc.d/rc.local”文件，在下面这些行的前面加上“#”：# This will overwrite /etc/issue at ever

12、y boot. So, make any changesyou# want to make to /etc/issue here or you will lose them when you reboot.#echo /etc/issue#echo $R /etc/issue#echo Kernel $(uname -r) on $a $(uname -m) /etc/issue#cp -f /etc/issue /etc/ #echo /etc/issue2删除“/etc”目录下的“”和“issue”文件：rootkcn# rm -f /etc/issue rootkcn# rm -f /e

13、tc/给Linux口令文件和组文件设置不可改变位系实验目的：掌握Linux基本安全配置方法；实验环境：linux8.0实验步骤： rootkcn# chattr +i /etc/passwd rootkcn# chattr +i /etc/shadow rootkcn# chattr +i /etc/group rootkcn# chattr +i /etc/gshadow结果测试：rootkcn# vi /etc/passwd说明： 执行以下步骤，可取消i标志位 rootkcn# chattr -i /etc/passwd rootkcn# chattr -i /etc/shadow roo

14、tkcn# chattr -i /etc/group rootkcn# chattr -i /etc/gshadow如何打开（关闭）Linux下的ftp服务实验目的：掌握Linux基本安全配置方法；实验环境：linux8.0实验步骤： 1打开服务：rootkcn# cd /etc/xientd.drootkcn# vi vsftpd “disable=no” (编辑此行)rootkcn# /etc/rc.d/init.d/xinetd restart结果测试：可以通过netstat an 看是否打开21端口2关闭服务 rootkcn# cd /etc/xientd.drootkcn# vi v

15、sftpd “disable=yes” (编辑此行)rootkcn# /etc/rc.d/init.d/xinetd restart结果测试：可以通过netstat an 看是否打开21端口4 停止服务rootkcn#/etc/rc.d/init.d/xinetd stop结果测试：可以通过netstat an 看是否打开21端口检查SUID/SGID位有效的文件实验目的：掌握Linux基本安全配置方法；实验环境：linux8.0实验步骤：系统中SUID和SGID文件很有可能成为安全隐患，必须被严密监控。因为这些程序都给执行它的用户一些特权，所以要确保危险的SUID程序没有被安装。 黑客常常利

16、用SUID程序，故意留下一个SUID的程序作为下次进入系统的后门。注意系统中所有的SUID和SGID的程序，并跟踪它们，这样你就可以尽早发现入侵者。1 用下面的命令查找系统中所有的SUID和SGID程序： rootkcn# find / -type f ( -perm -04000 -o -perm 02000 ) -exec ls;用ls -l命令列出来的文件，如果文件的权限位中出现“s”，则这些文件的SUID（-rwsr-xr-x）或SGID（-r-xr-sr-x）位被设定了。因为这些程序给执行它的用户一些特权，所以如果不需要用到这些特权，最好把这些程序的“s”位移去。2 可以用下面这个命

17、令“chmod a s ”移去相应文件的“s”位。 可以清除“s”位的程序包括但不限于： 从来不用的程序 不希望非root用户运行的程序 偶尔用用，但是不介意先用su命令变为root后再运行。 下面加了星号（*）的程序，我个人认为有必要移去“s”位。注意，系统可能需要一些SUID的程序才能正常运行，所以要千万小心。 用下面的命令查找所有带“s”位的程序： rootkcn# find / -perm -04000 -o -perm -02000 -print *-rwsr-xr-x 1 root root 35168 Sep 22 23:35 /usr/bin/chage *-rwsr-xr-x

18、 1 root root 36756 Sep 22 23:35 /usr/bin/gpasswd *-r-xr-sr-x 1 root tty 6788 Sep 6 18:17 /usr/bin/wall -rwsr-xr-x 1 root root 33152 Aug 16 16:35 /usr/bin/at -rwxr-sr-x 1 root man 34656 Sep 13 20:26 /usr/bin/man -r-s-x-x 1 root root 22312 Sep 25 11:52 /usr/bin/passwd -rws-x-x 2 root root 518140 Aug 3

19、0 23:12 /usr/bin/suidperl -rws-x-x 2 root root 518140 Aug 30 23:12 /usr/bin/sperl5.00503 -rwxr-sr-x 1 root slocate 24744 Sep 20 10:29 /usr/bin/slocate*-rws-x-x 1 root root 14024 Sep 9 01:01 /usr/bin/chfn*-rws-x-x 1 root root 13768 Sep 9 01:01 /usr/bin/chsh *-rws-x-x 1 root root 5576 Sep 9 01:01 /usr

20、/bin/newgrp *-rwxr-sr-x 1 root tty 8328 Sep 9 01:01 /usr/bin/write -rwsr-xr-x 1 root root 21816 Sep 10 16:03 /usr/bin/crontab *-rwsr-xr-x 1 root root 5896 Nov 23 21:59 /usr/sbin/usernetctl *-rwsr-xr-x 1 root bin 16488 Jul 2 10:21 /usr/sbin/traceroute -rwxr-sr-x 1 root utmp 6096 Sep 13 20:11 /usr/sbi

21、n/utempter -rwsr-xr-x 1 root root 14124 Aug 17 22:31 /bin/su *-rwsr-xr-x 1 root root 53620 Sep 13 20:26 /bin/mount *-rwsr-xr-x 1 root root 26700 Sep 13 20:26 /bin/umount *-rwsr-xr-x 1 root root 18228 Sep 10 16:04 /bin/ping *-rwxr-sr-x 1 root root 3860 Nov 23 21:59 /sbin/netreport -r-sr-xr-x 1 root root 26309 Oct 11 20:48 /sbin/pwdb_chkpwd 用下面的命令禁止上面选出来的SUID的程序： rootkcn# chmod a-s /usr/bin/chage rootkcn# chmod a-s /usr/bin/gpasswd rootkcn# chmod a-s /usr/bin/wall rootkcn# chmod a-s /bin/ping rootkcn# chmod a-s /sbin/netreport