网络系统安全运行与维护教案17.doc

PAGE1

郑州铁路职业技术学院教案首页

序号：17

授课班级

信息安全22A1

信息安全22A2

授课日期

出勤情况

全勤

课程名称

网络系统安全运行与维护

教学类型

理实结合

复习旧课

引入新课

复习旧课：

搭建FTP服务器

禁止根shell

引入新课：M6-2加强Linux用户网络访问权限的安全控制能力（二）

教学目标

学生通过该能力模块的学习，能够独立完成和熟练掌握通过shell、PAM、SSH实现主机的安全管理能力。

讲授要点

教学设计

讲授要点：

禁止根登录

禁止根用户SSH登录

使用PAM禁用根权限

限制根存取权限

?教学设计：

回顾上节内容

引入本节内容

任务实施

分5个实验步骤，完成根用户权限的配置和PAM模块的设置

课堂总结

重点难点

解决方法

重点：

禁止根登录

禁止根用户SSH登录

使用PAM禁用根权限

限制根存取权限

难点：使用PAM禁用根权限：在使用PAM模块时，首先需要了解PAM模块及其如何正确使用PAM模块。

解决方法：演示+上机操作

课后作业

在虚拟机上实现使用PAM禁用根权限

课后总结

Linux的安全设置后均需要进行验证，而有时验证中会出现各种问题，需要一个个耐心解决

郑州铁路职业技术学院教师教案

第

17-PAGE1

页

加强Linux用户网络访问权限的安全控制（二）

教学

过程

步骤

主要内容

教学组织

复习

搭建FTP服务器

禁止根shell

教师讲授，学生回忆

5分钟

任务

引入

为了保证服务器的安全，防止黑客利用键盘记忆和抓包工具窃取根用户口令，所以需要禁止根用户登录。

为了保证服务器的安全，防止黑客利用抓包工具窃取根用户口令，所以需要禁止根用户SSH登录，也可以使用PAM灵活限制用户登录。

教师讲授

5分钟

知识

讲授

一、什么是Linux-PAM

为安全起见，计算机系统只有经过授权的合法用户才能访问，在这里如何正确鉴别用户的真实身份是一个关键的问题。所谓用户鉴别，就是用户向系统以一种安全的方式提交自己的身份证明，然后由系统确认用户的身份是否属实的过程。换句话说，用户鉴别是系统的门户，每个用户进入到系统中都必须经过鉴别这一道关。

最初，Linux系统的用户鉴别过程就像各种Unix系统的一样：系统管理员为用户建立一个帐号并为其指定一个口令，用户用此指定的口令登录后重新设置自己的口令，这样用户就具有了一个只有他自己知道的秘密口令。一般情况下，用户的口令经过加密处理后存放于/etc/passwd文件中。用户登录时，登录服务程序提示用户输入其用户名和口令，然后将口令加密并与/etc/passwd文件中对应帐号的加密口令进行比较，如果口令相匹配，说明用户的身份属实并允许此用户访问系统。这种思想基于只有用户自己知道他的口令，所以输入的口令是正确的话，那么系统就认定他是所声称的那个人。

后来，还采用了许多其他的鉴别用户的方法，如用于网络环境的Kerberos以及基于智能卡的鉴别系统等。但是这些鉴别方案有一个通病：实现鉴别功能的代码通常作为应用程序的一部分而一起编译,这样问题就来了如果发现所用算法存在某些缺陷或想采用另一种鉴别方法时，用户不得不重写（修改或替换）然后重新编译原程序。很明显，我们原先的鉴别方案缺乏灵活性，这里的牵一发而动全身的情形很是让人恼火。

鉴于以上原因，人们开始寻找一种更佳的替代方案：一方面，将鉴别功能从应用中独立出来，单独进行模块化设计，实现和维护；另一方面，为这些鉴别模块建立标准API，以便各应用程序能方便的使用它们提供的各种功能；同时，鉴别机制对其上层用户（包括应用程序和最终用户）是透明的。直到1995年，SUN的研究人员提出了一种满足以上需求的方案--插件式鉴别模块（PAM）机制并首次在其操作系统Solaris2.3上部分实现。插件式鉴别模块（PAM）机制采用模块化设计和插件功能，使得我们可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件,而不必对应用程序做任何修改，从而使软件的定制、维持和升级更加轻松--因为鉴别机制与应用程序之间相对独立。应用程序可以通过PAMAPI方便的使用PAM提供的各种鉴别功能，而不必了解太多的底层细节。此外，PAM的易用性也较强，主要表现在它对上层屏蔽了鉴别的具体细节，所以用户不必被迫学习各种各样的鉴别方式，也不必记住多个口令；又由于它实现了多鉴别机制的集成问题，所以单个程序可以轻易集成多种鉴别机制如Kerberos鉴别机制和Diffie-Hellman鉴别机制等，但用户仍可以用同一个口令登录而感觉不到采取了各种不同鉴别方法。

在广大开发人员的努力下，各版本的UNIX系统陆续提供对PAM的支持。其中，Linux-PAM是专