配置Linux系统进行主动防御.docVIP

配置Linux系统进行主动防御(SEC-L01-001.1) 系统安全始终是信息网络安全的一个重要方面，攻击者往往通过控制操作系统来破坏系统和信息，或扩大已有的破坏。对操作系统进行安全加固就可以减少攻击者的攻击机会。 实验目的 了解系统加固可以采取的手段： 了解Linux系统帐户创建，密码设置，登录管理。 加强对Linux系统的访问控制了解（iptables）。 熟悉，修改Linux帐号的不安全配置。 禁止不必要的网络服务。 实验拓扑 实验准备 下载实验中使用的远程连接工具Putty 1.下载实验工具包SEC-L01-001.rar,并使用RAR压缩工具解压。 2.找到解压文件中的远程连接putty工具。 注： Putty是一个小而精悍的Linux服务器远程控制工具，Linux 自带有 ssh 服务，开启ssh服务后就可以使用putty远程控制，在使用putty登入时要记得选中 SSH， 否则是无法远程登入的。 实验步骤 使用Putty工具远程连接实验主机 步骤说明： 了解熟悉使用putty工具，并用putty工具连接目标加固主机，添加实验使用的临时系统帐户。 1.点击运行Putty，在出现的窗口界面的hostname处输入实验目标主机ip，并选择ssh，点击open。如：图1 注： 本次实验中远程登录方式采用的都是SSH方式，下面将不再特别说明。 图1 2.如果出现如下“PuTTY Security Alert”窗口，点击“是”，如：图2 图2 3.在随后出现的登录界面，按提示依次输入：root 回车 1qaz@WSX，将出现如下界面，此时已经使用root帐号登录目标主机成功。如：图3 注： 1qaz@WSX为实验目标主机root帐号默认密码, 实验期间请勿修改root帐户的密码。 图3 4.输入如下操作添加试验用系统帐号test。 注： 密码也定为test，由于密码强度不够，系统会有所提示，先忽略。 [root@LT-courseware-0009 ~]#useradd test[root@LT-courseware-0009 ~]#passwd testChanging password for user test.New UNIX password:（【注释】此处输入口令)BAD PASSWORD:it is too shortRetype new UNIX password: (【注释】此处再次输入)passwd:all authentication tokens updated successfully. 5.用添加的test帐号按照步骤2)开始的操作方式ssh登录目标主机，如果操作正确将会得到如下界面，显示test已经登录成功；如：图4 图4 6.本部分实验结束，关闭所有实验打开的程序及窗口。 禁止root帐号远程登录 步骤说明： 在LINUX系统中，计算机安全系统建立在身份验证机制上。如果root口令被盗，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户 root 远程登录，对保证计算机系统的安全，具有实际意义。 1.运行Putty工具以root用户登录到实验目标主机。 2.使用vi修改/etc/ssh/sshd_config文件，如：图5 [r@LT-courseware-0009 ~]#vi /etc/ssh/sshd_config 图5 3.查找到#PermitRootLogin yes这一行，作如下修改*将注释符#号去掉*修改 yes为no最终修改该行为：PermitRootLogin no，保存并关闭sshd_config，如：图6 图6 4.重起SSH服务。 [root@LT-courseware-0009 ~]#service sshd restart 5.使用Putty工具以root帐号方式登录到实验目标主机会发现系统显示Access denied，如：图7 图7 【说明】root帐号已经无法登录。 6.关闭当前Putty工具窗口，重新运行Putty工具，使用前面创建的test用户登录到实验目标主机。 7.使用su命令，并按照提示输入root密码，转换到root用户身份。 [test@LT-courseware-0009 ~]$su -Password:(【注释】此处输入root密码)[root@LT-courseware-0009 ~]# 8.使用vi修改/etc/ssh/sshd_config文件。 9.将刚才修改的那行配置还原 PermitRootLogin no?如：图8 图8 还原为 #PermitRootLogin yes?如：图9 图9 1