linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx

linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx

《linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx》由会员分享，可在线阅读，更多相关《linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟.docx（14页珍藏版）》请在冰点文库上搜索。

linux网关及安全应用第5章漏洞检测和远程访问控制理论课教案焦可伟

《linux网关及安全应用》理论课教案

第5章（漏洞检测和远程访问控制）

《linux网关及安全应用》理论课教案1

一.课程回顾1

二.本章工作任务（问题列表）1

三.本章技能目标2

四.本章重点难点2

4.1课程重点2

4.2课程难点2

五.整章授课思路[100分钟]2

5.1本章授课思路：

2

5.2预习检查、任务、目标部分[10分钟]3

5.3技能点讲解[80分钟]3

5.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！

8

六.布置作业：

[4分钟]8

6.1本章作业8

6.2作业的提交方式与要求8

6.3课后习题答案9

七．习题9

课时：

2学时

授课人：

焦可伟

一.课程回顾

❑普通代理、透明代理的特点和区别在哪里？

❑反向代理的主要作用是什么，如何配置实现？

❑在配置透明代理时，设置的防火墙规则起什么作用？

❑实现squid访问列表控制的2个主要配置项是什么？

二.本章工作任务（问题列表）

1.如何测定指定的Linux服务器是否在正常运行？

2.在Linux命令行管理界面中，如何快速了解局域网内的服务器开放了哪些端口？

3.在Linux管理机上，如何对局域网内的网络数据通讯进行抓包分析？

4.在Linux系统环境中，有哪些工具可以对Linux服务器做安全检测和漏洞检查？

5.在配置SSHD控制远程连接控制时，如何禁止指定的用户登录？

如何限定尝试密码的次数？

6.如何使用密钥认证机制，以更好地保证SSH远程管理的安全性

7.在对Linux服务器的管理中，如何配置SSHD实现更加安全和可靠的远程管理方式？

8.如何设置TCPWrappers策略实现只有特定IP地址才可访问本机的SSHD服务？

9.若需要禁止外部客户端访问网关服务器的某些服务，应如何设置？

三.本章技能目标

❑会构建及使用Nessus漏洞检测系统

❑熟悉NMAP、EtterCap、WireShark等常用工具

❑会构建安全的SSH远程登录服务

❑会使用SSH客户端工具实现远程访问

❑会应用TCPWrappers访问控制机制

四.本章重点难点

4.1课程重点

❑Nessus漏洞检测系统的构建和作用

❑SSH远程登录服务的构建和使用

❑TCPWrappers访问控制机制

4.2课程难点

❑SSH密钥对验证

（强调：

这个知识点即是重点也是难点，需要在课上强调）

五.整章授课思路[100分钟]

5.1本章授课思路：

本章主要讲述漏洞检测和远程访问控制，同时简单介绍了几个安全扫描和嗅探类工具。

❑Nessus系统用于检测服务器的安全性，是本章的一个重点；

❑SSH服务作为最常用的远程管理方式，其使用方法及安全控制也是一个重点；

❑TCPWrappers可以作为服务访问控制的一个辅助内容；

❑NMAP等安全应用工具仅作基本介绍。

5.2预习检查、任务、目标部分[10分钟]

1）预习检查：

（2分钟）

❑Linux常用安全工具都有哪些？

❑Linux系统下实现远程管理的方法？

2）技能目标讲解：

（4分钟）

1.会构建及使用Nessus漏洞检测系统

2.熟悉NMAP、EtterCap、WireShark等常用工具

3.会构建安全的SSH远程登录服务

4.会使用SSH客户端工具实现远程访问

5.会应用TCPWrappers访问控制机制

3）课程结构：

（4分钟）

5.3技能点讲解[80分钟]

1）构建Nessus漏洞检测系统[20分钟]

a）引入：

Linux系统的安全性如何保证？

如何检测系统存在的漏洞和安全隐患，我们首先介绍Nessus的特点和组成，然后分别演示服务器端的安装设置、客户端的登录及执行扫描、查看检测结果。

b）讲解要点：

Nessus漏洞检测系统：

❑Nessus是什么

强大的网络弱点（漏洞）扫描与分析工具

美国TenableNetworkSecurity,Inc公司出品

官方站点：

http:

//www.nessus.org/

❑Nessus系统的组成

服务器端：

nessusd

用户端（客户端）：

NessusClient

安装Nessus漏洞检测系统

❑安装Nessus服务端

❑安装Nessus用户端

❑服务端程序位于/opt/nessus/sbin/目录，客户端程序位于/opt/nessus/bin/目录

❑可分别调整环境变量PATH和MANPATH，以方便执行nessus相关程序及查看帮助

❑启动nessusd服务器程序

❑添加扫描用户

❑使用NessusClient用户端：

在RHEL5的图形桌面环境中，在“终端”窗口中执行“NessusClient&”命令，或者按Alt＋F2键调出“运行”，输入“NessusClient”也可以打开该程序

c）课堂案例：

d）小结采用提问方式，注意引导学员回答重点即可！

2）其他常用扫描及分析工具[20分钟]

•a）引入：

首先对这3款工具的作用等进行整体的介绍，从下一页开始分别讲解并简单演示使用方法。

b）讲解要点：

NMAP扫描工具

主要用于网络/主机扫描探测的命令行软件；

简单讲解nmap软件包的安装及使用格式，介绍其较常用的几种扫描类型、扫描选项，并对相关的扫描用法进行简单演示。

EtterCAP网络嗅探工具

主要针对用户名/密码等敏感信息的嗅探抓包工具；

简单讲解ettercap软件安装过程中的注意事项；

ettercap-NG软件包使用标准的“./configure&&make&&makeinstall”编译安装过程即可

若教员的授课速度相对较为缓慢，可以省略安装过程的演示，但是需要向学员讲清楚需要安装的软件包及其顺序；

WireShark协议分析器

抓取网络数据包并进行逐层分解的协议分析软件；

简单讲解wireshark软件包的安装过程（依赖软件包与EtterCAP软件的相同，这里可以省略）；

wireshark软件包同样使用标准的“./configure&&make&&makeinstall”编译安装过程；

c）课堂案例：

案例一：

安装Nessus服务端

案例二：

安装Nessus用户端

案例三：

nmap软件包的安装

案例四：

ettercap软件安装

案例五：

wireshark软件包的安装

d）小结采用提问方式，注意引导学员回答重点即可！

1.Nessus漏洞检测系统的用户端程序是什么？

2.在添加用于漏洞扫描的用户时如何限制扫描权限？

3.NMAP、EtterCAP和WireShark工具各自的用途和特点是什么？

3）构建SSH远程登录系统[20分钟]

•a）引入：

通过远程管理命令telnet引出linux系统下远程管理的工具Openssh。

讲述SSH的含义、作用，可以对比较早的telnet、rsh等工具体现其优势，SSH是目前应用最为广泛的服务器远程管理方式。

b）讲解要点：

OpenSSH服务端安全控制

1.SSH（SecureShell，安全的命令解释器）

→为客户机提供安全的Shell环境，用于远程管理

→默认端口：

TCP22

2.OpenSSH

→官方站点：

→主要软件包：

openssh-server、openssh-clients

→服务名：

sshd

→服务端主程序：

/usr/sbin/sshd

→客户端主程序：

/usr/bin/ssh

→服务端配置文件：

/etc/ssh/sshd_config

→客户端配置文件：

/etc/ssh/ssh_config

3.用户远程登录安全控制

4.SSH登录的用户验证方式

SSH客户端应用

❑使用ssh命令远程登录

❑使用scp命令远程复制文件/目录

❑使用sftp命令从服务器下载文件

❑使用图形客户端软件PuttyCN

❑使用图形客户端软件WinSCP

构建密钥对验证的SSH登录体系

第一步：

创建密钥对私钥文件：

id_rsa公钥文件：

id_rsa.pub

第二步：

上传公钥文件id_rsa.pub

第三步：

将公钥信息导入公钥数据库数据库文件：

~/.ssh/authorized_keys

第四步：

再次登录时将通过密钥对验证

c）课堂案例：

案例一：

构建密钥对验证的SSH登录体系

基本实现步骤

1.在客户机创建密钥对

ssh-keygen命令

2.将公钥文件上传至服务器

3.设置服务器

将公钥信息导入到服务器中用户的公钥数据库

禁用密码验证、启用密钥对验证，并重启sshd服务

4.在客户机远程登录进行验证

4）使用TCPWrappers机制[20分钟]

a）引入：

简单概述TCPWrappers机制的“包袱”保护原理，其作用有点类似于机关的“传达室”、大型理发店的“服务台”等，例如：

在一些规模较大的理发店中，会设置有服务台（前台）直接面向顾客。

顾客需要指定的理发师提供服务时，需要通过前台进行预约；而当生意清淡没有顾客的时候，理发师们可能在后边休息呢，并不需要一致在前台等待。

对于少数高级的理发师来说，可能只为特定人群提供服务（如专做婴幼儿理发、女士发型等），而是否拒绝顾客的预约要求则由服务台完成。

b）讲解要点：

使用TCPWrappers机制

→使用RHEL5系统自带的tcp_wrappers软件包；

→使用方式1时需要运行tcpd主程序，而使用方式2时无需运行tcpd主程序（例如vsftpd、sshd、xinetd等），方式2更为常用；

→这里可以简单介绍以下xinetd超级服务器的用途和配置目录“/etc/xinetd.d/”，xinetd可能需要从RHEL5光盘中另行安装；

→介绍TCPWrappers机制的两个主要配置文件的位置、用途，接下来讲解这两个配置文件中的配置格式；

TCPWrappers的访问控制原则：

❑首先检查hosts.allow文件，若找到相匹配的策略，则允许访问

❑否则继续检查hosts.deny文件，若找到相匹配的策略，则拒绝访问

❑如果两个文件中都没有相匹配的策略，则允许访问

c）课堂案例：

案例一：

仅允许地址为61.63.65.67或176.16.16.10～19以及192.168.2.0/24网段的客户机访问sshd服务

5.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！

提问：

（一）nessus漏洞扫描系统的应用机制/过程是怎样的？

（二）NMAP、EtterCAP和WireShark工具的用途分别是什么，各有什么优点？

（三）sshd服务器的默认配置文件是什么？

（四）在配置sshd服务器时，如何禁止root用户进行远程登录？

（五）配置sshd双密钥认证的过程是怎样的？

六.布置作业：

[4分钟]

6.1本章作业

a）课后选择题：

P132

b）课后简答题：

P137题1、2、3、4、5

c）抄写和背诵本章单词列表

d）完成本章实验案例一、案例二

6.2作业的提交方式与要求

a）课后选择题：

把答案写在课本上

b）课后简答题：

作业写在作业本上，下次上课提交

c）抄写和背诵本章单词列表：

写在作业本上，至少5遍

d）完成本章实验案例一和案例二：

提交实验报告

6.3课后习题答案

1.AC

2.B

3.C

4.B

5.BC

七．习题

1．在安装好Nessus服务器端后，需要启动服务器程序，可以使用的命令是（）

A./etc/init.d/nessusdstart

B.nessusdstart

C.servicenessusdstart

D.servicenessusstart

正确答案：

AC

考点：

安装及配置Nessusd服务[★★]

2．Nessus用户端程序需要在X-window图形环境中运行，运行命令是（）

A.nessusclient

B.nessusclient&

C.servicenessusclientstart

D.servicenessuscltstart

正确答案：

B

考点：

使用NessusClient进行漏洞检测[★★★]

3．NMAP是一个经典的端口扫描工具，如果想探测192.168.1.0/24网段中各主机开启了那些服务？

可以（）

A.nmap-sS-p21192.168.1.0/24

B.nmap-sT-P0192.168.1.0/24

C.nmap-sS192.168.1.0/24

D.nmap-sP-n192.168.1.0/24

正确答案：

C

考点：

使用NMAP工具进行端口扫描[★★]

4．安装EtterCAP软件时，需要从RHEL5光盘上安装依赖的软件包是（）

A.libnet

B.ettercap

C.libpcap

D.libpcap-devel

正确答案：

CD

考点：

使用EtterCAP进行网络嗅探[★]

5．Wireshark是linux系统安全领域中注明的网络协议分析工具，其功能有些相似于我们在前面所学的windows下的（）工具

A.MBSA

B.sniffer

C.spotlight

D.hgod

正确答案：

B

考点：

使用WireShark进行抓包分析[★]

6．在配置SSH服务器端时，如果希望root管理员账户不能通过ssh远程连接，需要在配置文件sshd_config中修改哪个参数来实现（）

A.permitemptypassword

B.denyusers

C.denyroot

D.permitrootlogin

正确答案：

D

考点：

设置sshd远程登录服务[★★★]

7．管理员想通过用户账户benet身份远程连接到ssh服务器，使用ssh命令远程登录的格式可以是（）（选择两项）

A.sshbenet@服务器IP

B.ssh-lbenet服务器IP

C.ssh服务器IP

D.sshbenet服务器IP

正确答案：

AB

考点：

使用ssh客户端命令[★★★]

8．常见的ssh客户端工具，不包括（）

A.PuTTY

B.SSHSecureShellClient

C.SecureCRT

D.telnet

正确答案：

D

考点：

使用Putty图形客户端工具[★]

9．构建密钥对验证的SSH登录服务器时，需要将客户端创建的公钥文件发送给openssh服务器，并保存到服务器的授权密钥库中，传递公钥文件，可以（）（选择三项）

A.FTP

B.SAMAB

C.SCP

D.BT

正确答案：

ABC

考点：

设置密钥验证的sshd远程登录系统[★★★]

10．使用TCPWrappers机制设置访问控制策略，格式为服务程序列表：

客户机地址列表。

那么客户机地址列表可以是（）（选择三项）

A.单个IP地址

B.网段地址

C.不能是所有地址

D.以逗号分隔的多个地址

正确答案：

ABD

考点：

TcpWrapper机制的原理[★★]

11．当使用TCPWrappers机制进行访问控制时，若在hosts.allow文件中已经设置sshd:

192.168.1.1，而在hosts.deny中也有相同的设置项，那么192.168.1.1是否可以访问SSH服务器。

（）

A.允许访问

B.禁止访问

C.允许访问，不过需要重启服务

D.禁止访问，重启系统后可以

正确答案：

A

考点：

设置TcpWrapper服务访问控制[★★★]