加固Linux系统的DHCP服务安全防御.doc

M8-2 加固Linux系统的DHCP服务安全防御 1.1教学目的与要求 1.1.1 教学目的 学生通过该能力模块的学习,能够独立完成和熟练掌握安全配置DHCP服务，加固Linux系统的DHCP服务安全防御能力。 1.1.2 教学要求 1.教学重点 在指定网络接口启动DHCP服务器 DHCP服务器在chroot()环境运行 2.教学难点 DHCP服务器在chroot()环境运行 1.2 本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1、chroot() 1.2.2本能力单元需要解决的问题 1、按照项目的需求，重点掌握如何使用chroot()保护DNS服务器。 1.3 核心技术和知识的理解 1.3.1 chroot()环境 通过chroot机制来更改某个软件运行时所能看到的根目录，即将某软件运行限制在指定目录中，保证该软件只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。这样即使出现被破坏或被侵入，所受的损伤也较小。 将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中，通常称这个目录为chroot jail（chroot“监牢”）。如果要在“监牢”中运行dhcpd，而事实上根本看不到文件系统中那个真正的目录。因此需要事先创建目录，并将dhcpd复制到其中。同时dhcpd需要几个库文件，可以使用ldd（library Dependency Display缩写）命令，ldd作用是显示一个可执行程序必须使用的共享库。 ldd dhcpd libc.so.6 = /lib/tls/libc.so.6 (0 /lib/ld-linux.so.2 = /lib/ld-linux.so.2 (0 这意味着还需要在“监牢”中创建lib目录，并将库文件复制到其中。手工完成这一工作是非常麻烦的，此时可以用jail软件包来帮助简化chroot“监牢”建立的过程。 1.4 实施过程指导 1.4.1在指定网络接口启动DHCP服务器 如果系统连接了不止一个网络界面，但是只想让 DHCP 服务器启动其中之一，你可以配置DHCP服务器只在那个设备上启动。在 /etc/sysconfig/dhcpd中，把界面的名称添加到 DHCPDARGS 的列表中： DHCPDARGS=eth0 或者直接使用命令： Echo “DHCPDARGS=eth0” /etc/ sysconfig/dhcpd 这样对于带有两个网卡的防火墙机器，更加安全：一个网卡可以被配置成 DHCP 客户来从互联网上检索 IP 地址；另一个网卡可以被用作防火墙之后的内部网络的 DHCP 服务器。仅指定连接到内部网络的网卡使系统更加安全，因为用户无法通过互联网来连接它的守护进程。 通过chroot机制来更改某个软件运行时所能看到的根目录，即将某软件运行限制在指定目录中，保证该软件只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。这样即使出现被破坏或被侵入，所受的损伤也较小。 将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中，通常称这个目录为chroot jail（chroot“监牢”）。如果要在“监牢”中运行dhcpd，而事实上根本看不到文件系统中那个真正的目录。因此需要事先创建目录，并将dhcpd复制到其中。同时dhcpd需要几个库文件，可以使用ldd（library Dependency Display缩写）命令，ldd作用是显示一个可执行程序必须使用的共享库。 ldd dhcpd libc.so.6 = /lib/tls/libc.so.6 (0 /lib/ld-linux.so.2 = /lib/ld-linux.so.2 (0 这意味着还需要在“监牢”中创建lib目录，并将库文件复制到其中。手工完成这一工作是非常麻烦的，此时可以用jail软件包来帮助简化chroot“监牢”建立的过程。 第一步：Jail软件的编译和安装 Jail官方网站是：/ ，最新版本：1.9a。 #Wget /static/dwn/projects/jail/jail_1.9a.tar.gz[root@lab2 ~]# tar xzvf jail_1.9a.tar.gz jail/ jail/CVS/ jail/CVS/Root jail/CVS/Repository jail/CVS/Entries ……………… jail/index.html jail/install.sh jail/CHANGELOG jail/jail.c jail/m