任务实施
❖ 〖步骤7〗限制根存取权限
▪ ② 修改/etc/pam.d/su配置文件
任务实施
❖ 〖步骤7〗限制根存取权限
▪ ③ 重新测试用户user2能否切换到root
任务实施
❖ 〖步骤7〗限制根存取权限
▪ ④ 将user2加入wheel组中
▪ ⑤ 再次测试用户user2能否切换到root
总结
▪ 第3步：在PC上验证测试
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第1步：启动FTP服务
• ① 在SERVER上启用FTP服务
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第1步：启动FTP服务
• ② 查看FTP服务是否运行
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第2步：在PC上测试user1和user2能成功登录
▪ ④ 打开“服务配置”窗口
任务实施
❖ 〖步骤2〗在SERVER上搭建FTP服务
▪ ⑤ 启动vsftpd服务
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第1步：黑客登录FTP服务器
• ① 管理员在SERVER上创建用户user1和user2，并设置密码 • ② 黑客通过PC登录到FTP服务器上，对根目录中的文件进行操作
❖ 本任务主要加强Linux用户网络访问权限的安全控制能力 ❖ 主要采用以下技术方法来实现
▪ 禁止根shell ▪ 禁止根登录 ▪ 禁止根用户SSH登录 ▪ 使用 PAM 禁用根权限 ▪ 限制根存取权限
任务实施
❖ 〖步骤2〗在SERVER上搭建FTP服务
▪ ① 通过以下命令来查询是否安装了FTP服务
任务实施
❖ 〖步骤2〗在SERVER上搭建FTP服务
▪ ② 启用FTP服务。
任务实施
❖ 〖步骤2〗在SERVER上搭建FTP服务
▪ ③ 使用如下命令来查看FTP服务是否运行
任务实施
❖ 〖步骤2〗在SERVER上搭建FTP服务
▪ 第2步：禁止根shell
• ③ 测试配置结果
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第3步：禁止用户本地登录
• ① 修改配置文件/etc/passwd，禁止user1登录
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第3步：禁止用户本地登录
• ② 在本地以用户user1登录服务器时，会提示登录错误
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第3步：禁止用户本地登录
任务实施
❖ 〖步骤4〗禁止终端登录
▪ 第1步：启用Telnet服务
• ① 查询Telnet服务的状态
任务实施
❖ 〖步骤4〗禁止终端登录
▪ 第1步：启用Telnet服务
• ② 启用Telnet服务
任务实施
❖ 〖步骤4〗禁止终端登录
VLAN
▪ 使用安全审计加强Linux主机的安全维护
能力单元2
加强Linux用户网络访问权限的 安全控制
任务描述
❖ 通过口令方式可以加强系统安全，但用户还存在非法登录 、非法使用特殊权限、非法使用一些不安全服务的风险， 所以信息中心还希望进行以下设置，以真正保证用户之间 进行网络访问的安全。 • 禁止根shell • 禁止根登录 • 禁止根用户SSH登录 • 使用 PAM 禁用根权限 • 限制根存取权限
▪ 第2步：本地登录服务器
• ① root用户可以使用终端登录Linux系统，使用命令cat /etc/securetty查看
任务实施
❖ 〖步骤4〗禁止终端登录
▪ 第2步：本地登录服务器
• ② root用户可以通过11个终端进行登录，可以使用 Alt+F1~Alt+F11键

任务实施
❖ 〖步骤4〗禁止终端登录
《网络安全运行与维护》
模块三 Linux桌面系统安全管理与维护
总体概述
▪ 通过系统口令加强Linux系统安全防护
Internet
▪ 加强Linux用户网络访问权限的安接全入控子制公司
接入互联网
单臂路由
Vlan trunk
Vlan trunk
NFS
VLAN
VLAN
Vlan trunk
▪ 加强Linux文件系V统LAN安全访VL问AN
▪ 第3步：禁用根登录
• 编辑配置文件/etc/securetty，将配置文件内容清空，禁止根登录。
任务实施
❖ 〖步骤4〗禁止终端登录
▪ 第4步：验证测试 ▪ 在文本界面下，使用root用户进行登录
任务实施
❖ 〖步骤5〗禁止根用户SSH登录
▪ 第1步：根用户在PC上使用SSH登录远程服务器
任务实施
• ② 保存文件，重新启动FTP服务器
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第4步：在PC上验证配置
• ① 用户user1登录FTP服务器
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第4步：在PC上验证配置
• ② 用户user2登录服务器
任务实施
❖ 〖步骤7〗限制根存取权限
▪ ① 测试用户user2能否切换到root
❖ 〖步骤5〗禁止根用户SSH登录
▪ 第2步：禁用根SSH登录
• ① 修改配置文件/etc/ssh/sshd_config，修改 “PermitRootLogin no”
任务实施
❖ 〖步骤5〗禁止根用户SSH登录
▪ 第2步：禁用根SSH登录
• ② 保存退出之后，重启SSH服务
任务实施
❖ 〖步骤5〗禁止根用户SSH登录
▪ PAM最初是集成在Solaris中的，目前已移植到其它系统中， 如Linux、SunOS、HP-UX 9.0等。
拓扑结构
任务实施
❖ 〖步骤1〗实验准备
▪ ① 在黑客PC和SERVER上安装Red Hat Linux Enterprise Server AS 4.6操作系统。
▪ ② 按照拓扑图连接网络 ▪ ③ 配置计算机的IP地址，并测试网络的连通性
任务分析
❖ 为了保证服务器的安全，防止黑客利用抓包工具窃取普通 用户账号入侵服务器，这样需要对普通用户禁止根shell。
❖ 根用户能通过系统上的各类通信设备、控制台和原始网络 接口来登录。如果用户以根用户身份使用Telnet方式登录 ，在网络中明文传送根口令，就会造成口令泄密危险，因 而要阻止根用户登录。
相关知识
❖ VSFTP
▪ VSFTP（Very Secure FTP）是一款在Linux发行版中最受 推崇的FTP服务器程序。其特点是小巧轻快，安全易用。安 全是其开发者Chris Evans考虑的首要问题之一。
相关知识
❖ PAM
▪ PAM（Pluggable Authentication Modules）是由Sun公司提 出的一种认证机制。它通过提供一些动态链接库和一套统一 的API，将系统提供的服务和该服务的认证方式分开，使得 系统管理员可以灵活地根据需要给不同的服务配置不同的认 证方式而无须更改服务程序，同时也便于向系统中添加新的 认证手段。
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第2步：禁止根shell
• ① 修改配置文件/etc/vsftpd/vsftpd.conf，禁用根shell
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
▪ 第2步：禁止根shell
• ② 重启vsftp服务
任务实施
❖ 〖步骤3〗禁止根shell和用户本地登录
• ① 用户user1登录FTP服务器 • ② 用户user2登录FTP服务器
任务实施
❖ 〖步骤6〗使用PAM禁用根权限
▪ 第3步：在SERVER上配置PAM模块 ▪ 设置FTP服务器允许user1登录，而不允许user2登录。
• ① 修改配置文件/etc/vsftpd.ftpusers，在其配置文件中加入 user2