RHCE认证253安全管理ppt.ppt
《RHCE认证253安全管理ppt.ppt》由会员分享,可在线阅读,更多相关《RHCE认证253安全管理ppt.ppt(162页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第一单元服务任课讲师:_服务网络服务,根据其使用的方法来分,可以被分为三类由init控制的服务由System V 启动脚本启动的服务由xinetd 管理的服务由init控制的服务配置在/etc/inittab中可以设置respawn参数在服务每次被关闭时自动重启inittab文件被改变后,可以用init q来使改动生效由System V启动的服务由/etc/rc.d/init.d/目录下的System V脚本启动/etc/rc.d/init.d/script start|stop|restart也可以用service命令来执行脚本。在不同运行级别下的默认开关可以不同用chkconfig来管理在
2、有些地方也被称为standalone的服务由xinetd管理的服务由xinetd管理xinetd daemon服务管理文件放在/etc/xinetd.d/目录下编辑服务文件来开关服务重启xinetdchkconfigSystem V:决定在切换入某个运行级别下时,服务打开还是关闭xinetd:在xinetd服务正在运行的情况下,直接开启或关闭基于xinetd的服务第二单元DNS任课讲师:_DNSDNS:Domain Name Service/域名服务支持将计算机的域名解析成IP地址(正向搜索)支持将IP地址解析成计算机的域名(反向搜索)允许计算机根据逻辑组合成一个一个名字域区、域及授权一个域(
3、domain)包含一个完整的分级域名下层树一个区(zone)则是域的一部分,被一个具体详细的服务器所管理子域可以被授权成为附加的域一个区可以直接管理子域英特网上的分级DNS根域名服务器作为区认证域名服务器的最高级别域名服务器存在为递归查询提供权威解释区认证域名服务器区的划分与认证主域名服务器与从域名服务器主域和从域主域服务器拥有一个域的主复制数据从域服务器为主服务器提供自动数据备份每一个从服务器都会自动从主服务器处同步更新数据客户端DNS客户端产生对IP与主机名解析的需求,通常DNS客户端上有许多程序运行时需要解析客户端检索本地数据文件的相关记录客户端将无法自行解释的需求,通过53端口送给指定
4、的DNS服务器收回的数据也许并不权威服务端DNS服务端接受请求如果自己无法给出回答,则可能将请求转发给上级服务器,或直接询问根域名服务器其上级服务器有可能给出回答,或进一步转交给其他域名服务器一个服务器上可以记录多个域的数据BINDBIND:Berkeley Internet Name DaemonBIND是在Internet上应用最为广泛的DNS服务器提供稳定与可信赖的下层结构以提供域名与IP地址的转换BIND服务一览后台进程:named脚本:/etc/rc.d/init.d/named使用端口:53(tcp,udp)所需RPM包:bind,bind-utils相关RPM包:bindconf
5、,caching-nameserver配置文件:/etc/named.conf相关路径:/var/named/*/etc/sysconfig/namednamed进程被System V脚本激活后,会根据此文件的参数决定其运行参数:例如:OPTION=“-d 5”(将debug等级设为5)/etc/named.confnamed.conf是BIND使用的默认配置文件在每一次named启动与挂起时都会被读取一个简单的文本文件,其中记录的可以包括options(全局参数)、zone(区域定义)、access control lists(访问控制列表)等option在/etc/named.conf的o
6、ptions段中被宣告常用的参数包括directory:指定zone file的存放位置forwarders:指定其上级域名服务器allow-query:指定允许向其提交请求的客户allow-transfer:指定允许复制zone数据的主机主域由一个zone段在/etc/named.conf中宣告type master;file:存放该zone数据的文件名必须存在于options段中提及的目录之下文件名可以随意allow-update:允许动态更新该zone数据的客户机从域由一个zone段在/etc/named.conf中宣告type slave;master:指定其主域名服务器对应的主域名服
7、务器必须承认并存放有该区域的数据file:本地用于存放zone数据的文件从域名服务器总是试图与其master联系并获取一份当前数据的副本反解析域域的名字必须用.in-addr.arpa来结尾由一个zone段在/etc/named.conf中宣告反解析域一般对应到一个具体的IP段反解析域同样可以配置为从域许多服务会尝试进行反解析根域根域“.”zone.IN type hint;file named.ca;zone文件文件通常存放在/var/named目录下用于存放指定域内的各种资源与数据第一段资源记录被成为起始授权记录(SOA)每一个在/etc/named.conf中定义的zone都应该对应一个
8、具体的zone文件资源记录SOA:定义起始授权NS:指定域名服务器MX:指定邮件服务器A:将一个域名解析成其后的IPCNAME:将一个域名设置为另一个域名的别名PTR:将一个IP地址指向一个域名SOA记录SOA(Start of Authority):起始授权每一个域文件中都应该有一个SOA 段 IN SOA localhost.root.localhost.(1997022700;Serial 28800 ;Refresh 14400 ;Retry 3600000 ;Expire 86400);MinimumNS记录NS(name server):域名服务器每一个主域名服务器和从域名服务器都
9、应该拥有一条NS记录,以防止主服务器在出现故障后,从服务器不能及时提供服务IN NS INNS.资源记录A记录用于将主机名对应成IP地址CNAME记录用于定义某一个地址的别名PTR记录用于将IP地址对应成一个主机名MX与HINFO记录 MX:用于定义某一个域里负责的邮件服务器 每一条MX记录前都需要指定优先级别INMX5mailHINFO记录提供解析时对一台主机做补充注释server1INHINFOmaster serverRound Robin利用复数A记录来均衡数台服务器的访问负载www0INA192.168.0.3www0INA192.168.0.4www0INA192.168.0.5r
10、 n d c域名服务器控制程序安全防范,远程控制运行的域名服务器使用TSIG 安全例如:root stationxx root#rndc reloadrndc 默认只监听本地loopback端口BIND语法检查工具在BIND出错时使用如下工具:named-checkconf 默认检查的配置文件是/etc/f named-checkzone 检查一个Zone文件的配置redhat-config-bind图形界面下的BIND配置工具简单清晰地完成BIND配置可对应多个版本的BIND配置文件存放在/etc/alchemist/namespace/dns/local.adl第三单元Samba任课讲师:
11、_SAMBA 原理概述SAMBA:Send Message Block整合了SMB协议及Netbios协议,使其运做在TCP/IP上。能够让Unix based的机器与windows互动。SAMBA服务有两个进程:smbd:SMB服务器nmbd:netbios名字服务器SAMBA 服务一览后台进程:smbd,nmbd脚本:/etc/rc.d/init.d/smb使用端口:137,138,139所需RPM包:samba,samba-common,samba-client相关RPM包:samba-swat配置文件:/etc/samba/smb.confSAMBA 的配置samba的配置文件:/et
12、c/samba/smb.conf由数个将配置文件分成数段,例如:global:一些全局配置homes:让用户可以访问其主目录printers:定义共享的打印机资源图形界面下的配置工具SWAT(Samba Web Admin Tool)redhat-config-samba全局设置全局设置写在global段内,主要是指samba服务器的一些全局设定workgroupserver stringhosts allowsecurityencrypt passwordssmb passwd file共享段共享段用于在samba服务器上开放共享目录一般每一个 表示一个指定的共享目录,内写的是目录的共享名测
13、试samba服务用户可以利用testparm指令来检查smb.conf文件的语法。只能检查关键字段的拼写错误。对于配置值错误需要结合日志文件来判断。用户可以用service smb status判断samba服务的开启状况用户可以用nmblookup来检查本机上的samba服务是否正确开启管理smb用户samba服务支持用户级别的共享限制使用smbadduser添加可以使用smb服务的用户。语法:smbadduser linux帐号:windows帐号使用smbpasswd改变用户的密码。用户密码存放在/etc/samba/smbpasswd文件中用户映射存放在/etc/samba/smbus
14、er文件中smbclient可以用来向服务器请求samba服务资源列表smbclient L 主机名可以用来象一个ftp客户端一样访问samba共享资源smbclient -U student%XXX /server1/tmpsmbmountsmbmount可以将远端的一个window共享目录,或Unix系统通过samba服务共享出来的目录,挂载到自己的Linux文件系统上。语法:smbmount/server1/tmp /mnt/tmp o username=student,password=XXX用于替代mount t smb第四单元电子邮件服务任课讲师:_邮件发送模型邮件用户代理(MUA
15、)将信息传送给邮件传输代理(MTA)邮件传输代理决定信息送至目的地的路由,然后根据情况决定是否还需要将信息交给中介邮件传输代理域邮件传输代理将邮件送至邮件投递代理(MDA)用户收到邮件SMTP协议SMTP:Simple Mail Transfer Protocol/简单邮件传送协议定义邮件传送基于TCP服务的应用层RFC0821明文传送SMTP协议的使用SMTP协议使用25端口SMTP协议命令HELO:通报来访者地址MAIL FROM:发件人地址RCPT TO:收件人地址DATA:输入正文内容,用单独的.为行结束QUIT:连线结束安全与反垃圾邮件策略安全策略拒绝从无法解析的域送来的邮件建立各种
16、基于主机、用户、域的访问控制默认配置仅允许本地收发不再使用setuid的工具反垃圾邮件策略默认情况下不做转发建立访问数据库检查邮件信头sendmailsendmail是使用十分广泛的邮件提交工具(MSP)在邮件模型中承担着MTA及MDA的作用支持多种类型的邮件地址寻址支持虚拟域及虚拟用户允许用户及主机伪装提供在投递失败后自动重发等多种错误应对策略sendmail服务一览后台进程:sendmail脚本:/etc/init.d/sendmail使用端口:25(smtp)所需RPM包:sendmail,sendmail-cf,sendmail-doc配置文件:/etc/sendmail.cf,/et
17、c/aliases,/etc/mail/,/usr/share/sendmail-cf/相关服务:procmailsendmail的主要配置文件/etc/sendmail.cf是默认的sendmail主要配置文件包含域别名段,信头格式段,转发规则等数据很少被直接修改/etc/mail/submit.cf被用于每次sendmail被一个用户工具所调用的时候通常不需要修改用m4生成sendmail.cfm4是UNIX下使用的传统宏处理器sendmail.cf可以由一个宏文件经m4处理后得到Red Hat默认使用/etc/mail/sendmail.mc为/etc/sendmail.cf的宏文件m4
18、/etc/mail/sendmail.mc /etc/sendmail.cf我们推荐使用m4处理sendmail.mc来得到sendmail.cf编辑sendmail.mc每一个sendmail.mc宏应该定义了操作系统类型、文件位置、请求特征及邮件发送工具、用户列表在每一行的开头添加dnl表示注释默认情况下,sendmail服务器只侦听本地的连接注释DAEMON_OPTION(PORT=smtp,Addr=127.0.0.1,Name=MTA)其他有用的配置FEATURE(accept_unresolvable_domains)接受无法反向解析的域来的邮件FEATURE(dnsbl)支持根据
19、dns黑洞列表来拒绝垃圾邮件FEATURE(relay_based_on_MX)自动接受DNS中MX记录来源的邮件转发FEATURE(blacklist_recipients)允许使用黑名单查禁收件人/etc/mail/access用于定义接受或拒绝的邮件来源:格式:IP/域名设定值设定值:REJECT:拒绝OK:无条件接受RELAY:允许转发DISCARD:丢弃/etc/mail/virtusertable允许在邮件服务中使用虚拟域及虚拟用户并自动映射:eddywenhua.org/etc/aliases定义本地用户的别名别名后的映射对象可以是:一个本地用户多个本地用户(用逗号分隔)本地文件
20、(需要指出路径)指令(需要管道)另一个email地址设定完/etc/aliases后,需要运行newaliases更新aliases.db邮件收取MDA将收到的信件根据用户存放在/var/spool/mail下/var/spool/mail目录下每一个文件对应与文件名同名的用户用户使用mail等工具阅读完信后,未被删除的邮件会自动转存到用户主目录下的mbox文件中POP3协议POP3:Post Office Protocol 3/邮局协议第三版POP3协议适用于不能时时在线的邮件用户。支持客户在服务器上租用信箱,然后利用POP3协议向服务器请求下载基于TCP/IP协议与客户端/服务端模型POP
21、3的认证与邮件传送都采用明文使用pop3协议POP3协议使用110端口POP3协议命令USER:通报用户名PASS:输入密码LIST:列出所有邮件大小RETR:阅读邮件DELE:删除邮件QUIT:连线结束配置pop3服务器pop3服务一般是基于xinetd的服务可以通过两种方式开启和关闭服务编辑/etc/xinetd.d/ipop3并重启xinetd使用chkconfig来开启或关闭服务IMAPIMAP:Internet Message Access Protocol/英特网信息存取协议另一种从邮件服务器上获取邮件的协议与POP3相比,支持在下载邮件前先行下载邮件头以预览邮件的主题来源基于TC
22、P/IP使用143端口邮件接收工具mozilla-mailmozilla下的邮件接收工具采用netscape mail的风格evolutionGNOME下的默认邮件接收工具采用windows下的outlook风格kmailkde下的邮件接收工具fetchmail字符界面下的邮件接收工具配置fetchmailfetchmail支持多种邮件接收协议fetchmail的配置文件是用户主目录下的.fetchmailrc文件“.fetchmailrc”中每一行代表一个邮件信箱范例:poll protocol pop3 username“kevinzou password“nopassprocmailpr
23、ocmail是一个非常强大的邮件转发工具可以用来:对收到来信进行排序,并送入不同目录预处理邮件在收到一封邮件后激活一个事件或程序自动转发邮件给其他用户默认情况下sendmail会将procmail设定为本机转发邮件工具有可能在短时间内产生大量转发邮件,因此配置时应小心谨慎简单配置procmailprocmail的配置文件是用户主目录下的 ”.procmailrc”如需将来自kevinz关于linux的邮件转发给todd,并复制入linux目录::0*From.*kevinz*Subject:.*linux :0 c!toddwenhua.org:0linux邮件读写工具图形界面下的邮件接受工具
24、一般也可以用来读写邮件字符界面下的邮件读写工具mail非常简单地邮件读写工具pine支持添加附件支持将已读文件存入指定目录第五单元WEB服务器任课讲师:_http 服务原理超文本传送协议基于客户端服务端模型协议流程:连接:客户端与服务端建立连接请求:客户端向服务端发送请求应答:服务端响应,将结果传给客户端关闭:执行结束后关闭web服务器 apache应用广泛的web服务器支持进程控制在需要前自动复制进程进程数量自动使用需求支持动态加载模块不需重编译就可扩展其用途支持虚拟主机允许使用一台web服务器提供多个web站点的共享apache服务一览后台进程:httpd脚本:/etc/rc.d/init
25、.d/httpd使用端口:80(http),443(https)所需RPM包:apache,apache-devel,apache-manual相关RPM包:apacheconf配置路径:/etc/httpd/*,/var/www/*apache的配置文件配置文件储存为/etc/httpd/conf/httpd.conf设置标准网络服务器参数、虚拟主机、模块定义文件名与mime类型访问控制默认的html存放位置/var/www/html全局配置ServerType:选择系统激活服务器的方式。可以是inetd或standaloneServerRoot:设定Apache安装的绝对路径TimeOut
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RHCE 认证 253 安全管理 ppt
限制150内