（安全生產(chǎn)）加強(qiáng)Linux用戶網(wǎng)絡(luò)訪問權(quán)限的安全控制能力

(安全生產(chǎn))加強(qiáng)Linux用1.1.1學(xué)習(xí)目的1.1.2學(xué)習(xí)要求1.1.3學(xué)習(xí)重點(diǎn)和難點(diǎn)遠(yuǎn)程文件系統(tǒng)。以NFS的目標(biāo)是使計算機(jī)共享資源，在其發(fā)展過程中(即20世紀(jì)80年代)，發(fā)展。然而當(dāng)處理器價格下降時，大容量的存儲系統(tǒng)相對而言價格仍居高不下。因此必須采用某種機(jī)制在充分發(fā)揮單個處理器性能的同時使計算機(jī)可共享存儲S本NFS端請求和服務(wù)器應(yīng)答(包括讀 用客戶端"的框中。 大多數(shù)實(shí)現(xiàn) 訪問例程，然后訪問服務(wù)器主機(jī)上的一個本地的磁盤文件。 動一個用戶進(jìn)程(常被稱為"nfsd")的多個實(shí)例。這個實(shí)例執(zhí)行一個系統(tǒng)調(diào)用，使其作為一個內(nèi)核進(jìn)程保留在操作系統(tǒng)的內(nèi)核中。 id把設(shè)置了特洛伊木馬的程序留給其他用戶，在無意中執(zhí)行。 也能容易得到?？梢允褂迷L問控制保障網(wǎng)絡(luò)安全，在使用NFS時最好結(jié)合 (2)注意配置文件語法錯誤NFS服務(wù)器通過/etc/exports文件來決定要導(dǎo)出哪些文件系統(tǒng)，以及把這添加額外的空格。s但是/etc/exports文件中這一行的情況卻不同。它共享同一目錄，讓主機(jī)個空格造成的。 (3)使用iptables防火墻S重要的安全破壞。限制RCP服務(wù)訪問的辦法一般是使用防火墻，除了TCP-Wrapper還有ipchiansiptalbesLinux的今天，iptables-tfilter-AINPUT-pudp-strusted_client-dthis_server_ip--dport\2049–jACCEPTiptables-tfilter-AINPUT-pudp-snot_trusted_client-dthis_ser (4)把開放目錄限制為只讀權(quán)限何目錄或文件系統(tǒng)設(shè)置為只讀訪問： 當(dāng)開放一個完整的文件系統(tǒng)或者一個目錄時，缺省情況下它的子目錄會自 就不會被映射為匿名用戶，客戶上的root用戶就會對導(dǎo)出的目錄擁有根特權(quán)。它。為了明確執(zhí)行該規(guī)則，可以修改文件/etc/exports：這樣如果客戶端的UID0(root)用戶想要訪問(讀、寫、刪除)一個NFSroot和修改的文件。 運(yùn)行以下命令可以找到所有具有這一屬性的程序：使用者必須查看這一列表，盡量減少那些所有者是root或是在root組中上使用；這在件夾，如下所示：權(quán)限：如下所示：nfs-utils-1.0.6-46使用命令來驗(yàn)證服務(wù)是否啟動，如下所示：rpcrquotadpid)正在運(yùn)行...第三步：配置/etc/exports文件修改/etc/exports配置文件，在文件中加入如下內(nèi)容，如下所示：nfs務(wù)，如下所示：：#reed#bythe'/usr/sbin/tcpd'server.#ow#ded#bythe'/usr/sbin/tcpd'server.#hat在clientA上掛載文件系統(tǒng)，如下所示：在clientB上掛載文件系統(tǒng)，如下所示：dreasongivenbyserverbc在clientA上測試讀寫權(quán)限，如下所示：在clientB上測試讀寫權(quán)限，如下所示：-rw-r--r--1rootroot203731月1513:05filetesth注意在編輯/etc/exports文件時，在10.1.1.2和(ro,all_squash)之間是沒有空格的，如有空格，則給全局以讀權(quán)限。cACCEPTtcp--10.1.1.0/2410.1.1.1tcpdpt:nfsstinternalfileetcsambasmbpasswddidnotexistFilesuccessfullycreated.[tech][software]將安全級別為默認(rèn)選項(xiàng)，如下所示：ser打開如下幾個端口：使用用戶seek和len用戶來訪問共享文件夾，在運(yùn)行菜單中輸入服務(wù)器地址。這是會提示輸入用戶名和口令。seektech文件允許寫入，而market不允許訪問，這是會彈出錯誤提示，無法刪除文件。機(jī)間分發(fā)關(guān)于用戶名、口令、以及其它保密信息的映射表。映射表。NIS制，在網(wǎng)絡(luò)上明文服務(wù)的安全，然后再解決下面的問題，如網(wǎng)絡(luò)規(guī)劃。 取的危險。從這個角度講，謹(jǐn)慎制定網(wǎng)絡(luò)計劃就有助于防御嚴(yán)重的安全破壞。 NIS令從服務(wù)器中抽取信息，只要例如：如果某人把便攜電腦連接到網(wǎng)絡(luò)上，或從外部闖入了網(wǎng)絡(luò)(而且成功件： (3)編輯/var/yp/securenets文件如果/var/yp/securenets文件是空白的或不存在(按默認(rèn)方式安裝后的情形就掩碼/網(wǎng)絡(luò)值，因此ypserv只會對來自恰當(dāng)網(wǎng)絡(luò)的請求做出答復(fù)。5.0192.168.0.0這種技術(shù)并不提供對IP假冒攻擊的保護(hù)，但是它至少限制了NIS服務(wù)器要為哪些網(wǎng)絡(luò)提供服務(wù)。 (4)分配靜態(tài)端口，使用IPTables規(guī)則進(jìn)程，rpc.ypxfrd和ypserv分配端口可以允許管理員創(chuàng)建防火墻規(guī)則來進(jìn)一步保幾行添加到/etc/sysconfig/network中：IPTab