选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟 LN.docx
- 文档编号:27712499
- 上传时间:2023-07-04
- 格式:DOCX
- 页数:12
- 大小:84.98KB
选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟 LN.docx
《选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟 LN.docx》由会员分享,可在线阅读,更多相关《选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟 LN.docx(12页珍藏版)》请在冰豆网上搜索。
选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟LN
linux网关及安全应用-第1章(系统安全常规优化)理论课教案-焦可伟
linux网关及安全应用-第1章(系统安全常规优化)理论课教案-焦可伟
《linux网关及安全应用》理论课教案
第1章(系统安全常规优化)
课时:
2学时
授课人:
焦可伟
一.课程目标
(一)针对Linux服务器操作系统进行常规安全加固
(二)通过部署防火墙、代理等应用构建Linux网关系统
(三)检测服务器的安全漏洞,实施远程访问控制
(四)监测服务器运行性能、局域网主机的网络流量
二.课程结构
第一部分
第二部分
第三部分
优化服务器系统安全
用户帐号安全管理、文件及文件系统权限安全、进程/程序安全的使用、系统引导和终端登录安全
构建Linux网关
iptables防火墙的过滤策略、网关应用策略、squid代理服务器及用户上网控制
网络安全应用与监测
常用扫描和嗅探工具的使用、服务器漏洞检测、远程登录管理及访问控制、监控服务器性能和流量、监控局域网流量
第1章
第2~4章
第5~6章
三.本章工作任务(问题列表)
1、在Linux系统中,为了保证用户账号密码的持续安全性,如何设置可以强制用户定期更新密码?
2、在Linux系统中,如何设置可以强制用户下次登录必须更改密码?
3、如何限制Linux系统用户密码的最小长度?
4、管理员希望在每次注销登录后,系统能自动删除命令历史记录,应如何实现?
5、公司希望指定的几个用户可以通过su命令切换到root用户身份,以便执行管理任务,同时要防止其他无关用户使用su切换为root,应如何配置实现?
6、Linux服务器管理员为减少工作量,希望把创建、删除及更改用户的权限下放给Account用户组的成员,如何设置才能使Account用户组的一个普通用户账号能执行创建、删除及更改用户的命令?
7、如何使用户邮箱所在分区上的可执行文件失效,以避免运行病毒、木马等执行程序的风险?
8、管理员希望将一些静态的系统配置文件通过i节点锁定的方式加以保护,应如何实现,需要更新对应文件时,如何解除锁定?
9、管理员使用useradd命令添加新用户时,系统提示”useradd:
无法打开密码文件”,应如何解决?
10、一些特殊执行程序若被设置了set_uid位等权限,将会给系统带来很大的风险,如何快速找出系统中设置了指定权限位的文件?
11、在Linux命令行终端,可以按ctrl+alt+del组合键重启系统,如何能禁用该项功能?
12、Linux放在公用机房内或公用办公室内,非授权用户可以接触到,如何防止无关人员通过单用户模式更改root密码?
13、如何为GRUB设置密码以加强服务器系统的安全性?
14、如何禁止Linux系统中的所有普通用户登录系统?
15、如何隐藏Linux系统登录界面的系统版本信息,以降低安全风险?
四.本章技能目标
(一)会加强用户帐号安全的常见措施
(二)会加强文件系统安全的常见措施
(三)会加强系统引导和登录安全的常见措施
五.本章重点难点
5.1课程重点
→用户账户安全优化
→文件和文件系统安全优化
5.2课程难点
→配置sudo权限切换
→使用pam_access控制用户登录地点
(强调:
这个知识点即是重点也是难点,需要在课上强调)
六.整章授课思路[100分钟]
6.1本章授课思路:
简述服务器系统安全时,应着力培养学员的安全意识。
如:
可以以安全领域的”木桶法则”为例(木桶能盛水多少,取决于最短的那块木板,而不是最长的那块)。
给学员强调安全的信息系统必然是全方位、多角度的安全强化,任何一个环节的弱点、漏洞都可能导致整个信息系统不堪一击,绝对的安全时不存在的。
本章内容可以分别从用户账户、文件系统、引导和登录三个方面进行讲解,重点和难点内容应先讲解其作用,然后再做演示。
着重讲解和演示的至少应包括以下内容:
Su切换用户,sudo配置
Mount的noexec选项、使用chattr锁定文件
查找设置了suid位的文件
Ntsysv优化系统服务
设置grub加密密码
使用pam_access控制用户登录
6.2预习检查、任务、目标部分[10分钟]
1)预习检查:
(2分钟)
2)技能目标讲解:
(4分钟)
3)课程结构:
(4分钟)
6.3技能点讲解[80分钟]
1)用户账户安全优化[20分钟]
a)引入:
通过一个基本用户账户的创建,来说明用户账户的一些安全隐患,引出要进行讲解的账号安全基本措施。
b)讲解要点:
帐号安全基本措施:
2)使用su、sudo控制用户账户权限[30分钟]
a)引入:
简单介绍切换用户身份的应用场合,引出su命令并介绍其用途、命令格式。
b)讲解要点:
su命令
用途:
SubstituteUser,切换为新的替换用户身份
格式:
su[-][用户名]
Sudo机制
指出su命令切换用户身份时的局限性(需要知道目标用户的密码),引出sudo命令并讲解其用途,介绍命令的基本使用格式
要想正常使用sudo命令,需要有目标用户的授权(由管理员设置),就好比交通协警需要获得交通局的授权才能在街上协助指挥交通、房屋中介需要获得业主授权才能替顾客出售房子一样
用途:
以可替换的其他用户身份执行命令,若未指定目标用户,默认将视为root用户
格式:
sudo[-u用户名]命令操作
配置文件:
/etc/sudoers
授权哪些用户可以通过sudo方式执行哪些命令
以下2种方法都可以编辑sudoers文件
visudo
vi/etc/sudoers
在sudoers文件中的基本配置格式:
用户主机名列表=命令程序列表
为sudo配置项定义别名:
关键字:
User_Alias、Host_Alias、Cmnd_Alias
在sudo配置行中,可以调用已经定义的别名
c)课堂案例:
案例一:
需求描述:
允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令,但是禁止调用ifconfig、vim命令
授权wheel组的用户不需验证密码即可执行所有命令
为sudo机制增加日志功能
案例二:
需求描述:
设立组帐号“managers”,授权组内的各成员用户可以添加、删除、更改用户帐号
d)小结采用提问方式,注意引导学员回答重点即可!
→如何使系统用户定期(如3个月)修改密码?
→使用su命令时,是否带“-”选项有何区别?
→sudo配置记录的基本格式是什么?
→如何通过sudo调用被授权执行的命令?
3)文件和文件系统安全优化[20分钟]
a)引入:
讲解作为服务器使用时的Linux系统分区规划。
b)讲解要点:
→合理规划系统分区
/boot、/home、/var、/opt等建议单独分区
→文件系统(分区)的挂载选项
mount命令的-onosuid、-onoexec选项
→锁定文件的i节点
chattr命令、lsattr命令
→去除程序文件中非必需的set位权限
setuid、setgid的用途?
有何隐患?
如何找出设置了set位权限的文件?
c)课堂案例:
案例一:
需求描述
监控系统中新增了哪些使用set位权限的文件
4)为系统引导和登录提供安全加固[30分钟]
a)引入:
讲解linux系统引导过程,简单介绍开关机安全的基本措施,BIOS设置、禁用重启热键的操作可以进行演示。
b)讲解要点:
开关机安全控制:
→服务器的物理安全控制
→调整BIOS引导设置
修改启动顺序
设置管理密码
→禁用Ctrl+Alt+Del重启热键
修改/etc/inittab文件,并执行“initq”重载配置
GRUB引导菜单加密
→加密引导菜单的作用
修改启动参数时需要验证密码
进入所选择的系统前需要验证密码
→在grub.conf文件中设置密码的方式
password明文密码串
password--md5加密密码串
→密码设置行的位置
全局部分(第一个“title”之前)
系统引导参数部分(每个“title”部分之后)
本地终端及登录控制
立即禁止普通用户登录
/etc/nologin
设置启用哪些tty终端
/etc/inittab
控制允许root用户登录的终端
/etc/securetty
更改系统登录提示,隐藏系统版本信息
/etc/issue、/etc/
pam_access认证控制
配置文件:
/etc/pam.d/login
accountrequiredpam_access.so
配置文件:
/etc/security/access.conf
权限用户来源
6.4总结[6分钟]采用提问方式,注意引导学员回答重点即可!
提问:
1.对于使用chattr命令锁定的文件,如何去除锁定?
2.通过su、sudo机制都可以使普通用户获得root用户的权限,二者有何区别?
3.如果忘记了GRUB菜单的密码,无法进入系统怎么办?
七.布置作业:
[4分钟]
7.1本章作业
a)课后选择题:
P25
b)课后简答题:
P31题1、2、3、4、5、6
c)抄写和背诵本章单词列表
d)完成本章实验案例一、案例二
7.2作业的提交方式与要求
a)课后选择题:
把答案写在课本上
b)课后简答题:
作业写在作业本上,下次上课提交
c)抄写和背诵本章单词列表:
写在作业本上,至少5遍
d)完成本章实验案例一和案例二:
提交实验报告
7.3课后习题答案
1.C
2.B
3.C
4.A
5.B
八.习题
1.为了保证Linux系统的安全性,我们经常要使用各种系统安全设置和优化,下列哪项不是增强用户帐户安全的常见措施()
A.删除不适用的账户、禁用暂时不适用的账户
B.强制用户定期修改密码(设置密码有效期)
C.重新设置用户账户的搜索路径(设置环境变量PATH)
D.减少记录命令历史的条数(设置环境变量HISTSIZE)
正确答案:
C
考点:
增强用户帐户安全的常见措施[★★]
2.Linux系统为了保证文件系统的安全性,有多种方法,其中锁定文件的i节点,使用的命令是()
A.lsattr
B.chmod
C.chown
D.chattr
正确答案:
D
考点:
增强文件系统安全的常见措施[★★]
3.设置linux引导程序grub引导菜单加密有两种加密方法:
明文加密和密文加密,其中密文加密需要在grub.conf配置文件中设置的参数是()
A.password密码串
B.password--md5密码串
C.password加密密码串
D.password--md5加密密码串
正确答案:
D
考点:
增强系统引导和登录安全的常见措施[★★]
4.su命令可以方便进行用户身份的切换,假设要切换到benet用户,执行su-benet与subenet的区别是()
A.是一样的没有区别
B.su-要比su更快速
C.su-表示使用目标用户的登录shell环境
D.su表示使用管理员root用户的登录shell环境
正确答案:
C
考点:
使用su管理用户的身份切换[★★★]
5.sudo机制作用是以可替换的其他用户身份执行命令,若未指定目标用户,默认将视为root用户,其配置文件可以通过以下()方法编辑sudoers文件。
(选择两项)
A.visudo
B.vi/etc/sudoers
C.visudo/etc/sudoers
D.vi
正确答案:
AB
考点:
使用sudo管理用户的命令执行权限[★★★]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 选linux网关及安全应用第1章系统安全常规优化理论课教案焦可伟 LN linux 网关 安全 应用 系统安全 常规 优化 理论 教案 焦可伟