《網(wǎng)絡(luò)安全技術(shù)實(shí)踐教程》教案授課單位：授課時(shí)間：授課班級(jí)：授課教師：年月日教案4（第4號(hào)/17號(hào)）課程名稱網(wǎng)絡(luò)安全技術(shù)實(shí)踐授課日期、節(jié)次班級(jí)課堂類型理論+實(shí)踐地點(diǎn)章節(jié)（任務(wù)）名稱任務(wù)2.3限制用戶對(duì)su命令的使用任務(wù)2.4限制FTP登錄教學(xué)目標(biāo)知識(shí)目標(biāo)1.掌握su的安全配置；2.掌握FTP的工作模式及工作原理；3.掌握FTP安全加固要求；能力目標(biāo)1.能夠?qū)u進(jìn)行限制，特定用戶方可su；2.能夠?qū)TP用戶惡意占用帶寬，隨意切換目錄進(jìn)行限制；素質(zhì)目標(biāo)1.培養(yǎng)學(xué)生良好的職業(yè)道德、法律意識(shí)、愛崗敬業(yè)精神；2.培養(yǎng)學(xué)生自主學(xué)習(xí)能力、交流溝通能力、創(chuàng)新能力和團(tuán)隊(duì)合作意識(shí)；3.培養(yǎng)學(xué)生網(wǎng)絡(luò)安全意識(shí)、民族自豪感和科技報(bào)國精神。學(xué)情分析1.專業(yè)興趣高，動(dòng)手能力強(qiáng)，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護(hù)技能，但掌握不深入；3.有一定溝通交通能力，85%的學(xué)生不具備換位思考意識(shí)，70%的學(xué)生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點(diǎn)分析教學(xué)重點(diǎn)1.su的安全性優(yōu)點(diǎn)及不足；2.FTP服務(wù)器安全加固調(diào)試；教學(xué)難點(diǎn)1.限制FTP用戶在家目錄，不能隨意切換；2.FTP的工作模式及工作原理；信息化應(yīng)用方法基于省級(jí)精品在線開放課程，通過泛雅教學(xué)平臺(tái)發(fā)布教學(xué)資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習(xí)；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學(xué)生根據(jù)任務(wù)現(xiàn)場(chǎng)操作，教師糾錯(cuò)，以小組為單位，生生互評(píng)（根據(jù)操作評(píng)分細(xì)則），并錄制視頻；對(duì)于學(xué)生的易錯(cuò)點(diǎn)和本節(jié)課的難點(diǎn)進(jìn)行突破學(xué)習(xí)，提升學(xué)生對(duì)操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.在課程引入環(huán)節(jié)，討論相關(guān)服務(wù)的安全風(fēng)險(xiǎn)，提高警惕意識(shí)，再通過FTP應(yīng)用服務(wù)器安全加固，在實(shí)訓(xùn)和驗(yàn)證測(cè)試中，提升服務(wù)器安全指標(biāo)，提升安全意識(shí)；2.通過課程實(shí)訓(xùn)，在加固linux服務(wù)器過程，追求服務(wù)器性能和安全性，培養(yǎng)學(xué)生精益求精工匠精神。3.通過問卷+討論方式，交流遠(yuǎn)程控制的本質(zhì)，幫助學(xué)生進(jìn)一步明白是非，網(wǎng)絡(luò)不是法外之地，遵紀(jì)守法，守住安全底線。教學(xué)實(shí)施過程課前：平臺(tái)發(fā)布LINUX系統(tǒng)安全加固任務(wù)3、任務(wù)4學(xué)習(xí)任務(wù)，供學(xué)生預(yù)習(xí)。課中：導(dǎo)入新課Linux操作系統(tǒng)出于安全性考慮，限制了許多系統(tǒng)命令和服務(wù)只能由root管理員使用，但是這讓普通用戶受到了更多的權(quán)限束縛，從而導(dǎo)致無法順利完成特定的工作任務(wù)。su命令可以滿足用戶切換身份的需求，使得當(dāng)前用戶在不退出登錄的情況下，順暢地切換到其他用戶，例如，從root管理員切換到普通用戶，或者從普通用戶切換到root管理員。工程師小林在對(duì)服務(wù)器系統(tǒng)進(jìn)行安全基線檢測(cè)時(shí)發(fā)現(xiàn)su命令存在安全隱患，給系統(tǒng)帶來了安全風(fēng)險(xiǎn)，小林及時(shí)限制了用戶對(duì)su命令的使用，保障了系統(tǒng)安全。FTP是用來在兩臺(tái)計(jì)算機(jī)之間傳輸文件的通信協(xié)議，一臺(tái)計(jì)算機(jī)作為FTP服務(wù)器，一臺(tái)計(jì)算機(jī)作為FTP客戶端。無論是PC（PersonalComputer，個(gè)人計(jì)算機(jī)）、服務(wù)器、大型機(jī)，還是iOS、Linux、Windows等操作系統(tǒng)，只要雙方都支持FTP，就可以方便地實(shí)現(xiàn)共享文件、上傳文件、下載文件和刪除文件等操作。但由于FTP的簡單性，且不提供加密功能，它在某些情況下通常比更先進(jìn)的文件傳輸協(xié)議[如SFTP（SecureFileTransferProtocol，安全文件傳輸協(xié)議）]更易受到攻擊。因此，在使用FTP進(jìn)行敏感數(shù)據(jù)傳輸或遠(yuǎn)程管理時(shí)，應(yīng)格外小心并采取適當(dāng)?shù)陌踩胧?。工程師小林檢查了Linux服務(wù)器系統(tǒng)下vsftp軟件的安裝和配置，并進(jìn)行了FTP安全配置和加固，保障了系統(tǒng)安全。任務(wù)3知識(shí)點(diǎn)講解1、su命令在Linux操作系統(tǒng)中，默認(rèn)情況下，所有用戶都可以使用su命令切換用戶。su命令的格式為：su-目標(biāo)用戶在su與目標(biāo)用戶之間有一個(gè)半字線（-），這表示完全切換到目標(biāo)用戶，即把用戶的環(huán)境變量信息也變更為目標(biāo)用戶的相應(yīng)信息，而不是保留其原始的信息。使用su命令從root管理員切換到普通用戶時(shí)不需要進(jìn)行密碼驗(yàn)證，而從普通用戶切換到root管理員時(shí)需要進(jìn)行密碼驗(yàn)證，這也是Linux操作系統(tǒng)的一個(gè)必要的安全檢查。su命令切換實(shí)例如圖2-14所示。圖2-14su命令切換實(shí)例2、su命令的安全隱患在默認(rèn)情況下，任何用戶都可以使用su命令進(jìn)行用戶切換，這樣就有機(jī)會(huì)通過su命令無限次地去嘗試其他用戶（如root管理員）的登錄密碼，這給系統(tǒng)帶來了安全隱患。為了增強(qiáng)系統(tǒng)安全并降低非授權(quán)用戶利用su命令進(jìn)行用戶切換，尤其是嘗試訪問root賬戶帶來的風(fēng)險(xiǎn)，可以實(shí)施以下措施優(yōu)化管理。首先安裝pam_wheel模塊。如系統(tǒng)未安裝此模塊，需使用包管理器安裝pam_wheel相關(guān)包。接下來配置PAM（PluggableAuthenticationModule，可插拔認(rèn)證模塊）以啟用pam_wheel。編輯PAM配置文件/etc/pam.d/su，在文件中添加或確保存在以下一行代碼：這行代碼指示PAM在進(jìn)行身份認(rèn)證時(shí)參考pam_wheel模塊。authrequiredpam_wheel.souse_uid這意味著只有屬于指定組（默認(rèn)建議為wheel組）的用戶才能通過此認(rèn)證流程。最后管理wheel組成員。創(chuàng)建或利用已有的wheel組，并通過以下命令將信任的用戶添加到該組中。這樣做可以明確指定哪些用戶擁有執(zhí)行su命令的權(quán)限。usermod-aGwheel用戶名這條命令將指定的用戶名加入wheel組中，-aG參數(shù)表示追加用戶到指定的組，不影響用戶原有的組身份。通過以上措施，系統(tǒng)能夠有效限制用戶對(duì)su命令的濫用，確保只有被授權(quán)的管理員用戶組成員才能嘗試切換到root用戶或其他特權(quán)賬戶，從而顯著降低了因密碼猜測(cè)攻擊導(dǎo)致的安全風(fēng)險(xiǎn)。3、sudo提權(quán)機(jī)制通過su命令可以非常方便地進(jìn)行用戶切換，但前提條件是必須知道目標(biāo)用戶的登錄密碼。對(duì)于實(shí)際生產(chǎn)環(huán)境中的Linux服務(wù)器，每多一個(gè)用戶知道特權(quán)密碼，安全風(fēng)險(xiǎn)就多一分，會(huì)增大特權(quán)密碼被黑客獲取的概率。因此，Linux操作系統(tǒng)通過sudo命令把特定的執(zhí)行權(quán)限賦予指定用戶，這樣既保證了普通用戶能夠完成特定的工作任務(wù)，又避免了泄露特權(quán)密碼。sudo命令用于給普通用戶提供額外的權(quán)限來完成原本root管理員才能完成的工作任務(wù)，它需要借助修改配置文件/etc/sudoers來完成對(duì)用戶的管理，其配置原則是在保證普通用戶完成相應(yīng)工作任務(wù)的前提下，盡可能少地賦予其額外的權(quán)限。sudo命令的格式為“sudo[參數(shù)]命令名稱”。sudo命令常用的參數(shù)及其作用如下表所示。參數(shù)作用-l指定列出當(dāng)前用戶可執(zhí)行的命令-uUID或用戶名以指定的用戶身份執(zhí)行命令-k清空密碼的有效時(shí)間，下次執(zhí)行sudo命令時(shí)需要再次進(jìn)行密碼驗(yàn)證-h列出幫助信息任務(wù)3實(shí)施步驟（1）開啟pam_wheel認(rèn)證。打開實(shí)驗(yàn)環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口，編輯完成后的文件如圖2-15所示。將開頭的“#”號(hào)刪除后保存文件并退出，開啟pam_wheel認(rèn)證編輯/etc/pam.d/su文件。圖2-15開啟pam_wheel認(rèn)證（2）新建用戶賬號(hào)user，因?yàn)槠洳粚儆趙heel組，所以不能使用su命令，如圖2-16所示。圖2-16新建用戶賬號(hào)user（3）將user賬號(hào)添加至wheel組，使得user賬號(hào)可使用su命令進(jìn)行用戶切換，如圖2-17所示。圖2-17切換用戶（4）使用sudo命令編輯/etc/sudoers文件，添加配置，使得賬號(hào)user能夠具有添加新用戶的權(quán)限，如圖2-18所示。圖2-18編輯/etc/sudoers文件（5）使用su命令切換至user用戶，然后使用命令sudouseradduser1添加新用戶，說明用戶user獲得了添加新用戶的權(quán)限，如圖2-19所示。圖2-19添加用戶user1（6）執(zhí)行命令iduser1，查看用戶user1已添加成功，如圖2-20所示。圖2-20查看用戶user1已添加成功任務(wù)4知識(shí)點(diǎn)講解1、FTP服務(wù)器的登錄模式FTP服務(wù)器的登錄模式有以下3種。（1）匿名用戶登錄模式：使用用戶名anonymous，無須輸入密碼即可登錄FTP服務(wù)器，是一種最不安全的登錄模式。（2）本地賬戶登錄模式：當(dāng)進(jìn)入FTP登錄窗口時(shí)，需要輸入正確的用戶名和密碼方可登錄FTP服務(wù)器。但如果黑客破解了賬戶信息，就可以暢通無阻地登錄FTP服務(wù)器，從而完全控制整臺(tái)服務(wù)器。（3）虛擬用戶登錄模式：將登錄用戶映射到指定的系統(tǒng)賬號(hào)（/sbin/nologin）來訪問FTP資源。為FTP服務(wù)單獨(dú)建立用戶數(shù)據(jù)庫文件，虛擬出用來進(jìn)行口令驗(yàn)證的賬戶信息，而這些賬戶信息在服務(wù)器系統(tǒng)中實(shí)際上是不存在的，僅供FTP服務(wù)程序進(jìn)行認(rèn)證時(shí)使用。這樣，即使黑客破解了賬戶信息也無法登錄服務(wù)器，從而有效降低了其破壞范圍和影響，是3種登錄模式中最安全的。2、FTP工作原理FTP是TCP/IP的一種具體應(yīng)用，它工作在OSI（OpenSystemInterconnection，開放系統(tǒng)互連）模型的第七層（應(yīng)用層）和TCP/IP模型的第四層。FTP基于C/S模式，默認(rèn)使用20、21端口，其中20端口為數(shù)據(jù)端口，用于進(jìn)行數(shù)據(jù)傳輸；21端口為命令端口，用于接收客戶端發(fā)出的相關(guān)FTP命令和參數(shù)。FTP的工作原理分為如下4個(gè)部分。（1）客戶端發(fā)送連接請(qǐng)求?？蛻舳讼蚍?wù)器發(fā)送連接請(qǐng)求，同時(shí)客戶端系統(tǒng)動(dòng)態(tài)打開一個(gè)大于1024的端口（如1031端口）等候服務(wù)器連接。（2）建立FTP會(huì)話連接。當(dāng)FTP服務(wù)器在端口21偵聽到該請(qǐng)求后，會(huì)在客戶端的1031端口和服務(wù)器的21端口之間建立起一個(gè)FTP會(huì)話連接。（3）數(shù)據(jù)傳輸。當(dāng)需要傳輸數(shù)據(jù)時(shí)，F(xiàn)TP客戶端再動(dòng)態(tài)打開一個(gè)大于1024的端口（如1032端口）連接到服務(wù)器的20端口，并在這兩個(gè)端口之間進(jìn)行數(shù)據(jù)的傳輸。（4）自動(dòng)釋放動(dòng)態(tài)分配的端口。數(shù)據(jù)傳輸完畢后，F(xiàn)TP客戶端將斷開與FTP服務(wù)器的連接，客戶端上動(dòng)態(tài)分配的端口將自動(dòng)釋放。3、FTP服務(wù)數(shù)據(jù)傳輸模式FTP服務(wù)傳輸數(shù)據(jù)分為主動(dòng)傳輸模式（ActiveFTP）和被動(dòng)傳輸模式（PassiveFTP）兩種。（1）主動(dòng)傳輸模式：是由FTP服務(wù)器主動(dòng)連接FTP客戶端的數(shù)據(jù)端口。首先，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（如1025端口），并和FTP服務(wù)器的21端口建立連接，然后開放N+1端口（如1026端口）進(jìn)行監(jiān)聽。FTP客戶端在需要接收數(shù)據(jù)時(shí)，會(huì)向FTP服務(wù)器發(fā)送PORT命令，然后，F(xiàn)TP服務(wù)器通過自己的TCP20端口，主動(dòng)向FTP客戶端的1026端口傳輸數(shù)據(jù)，如圖2-21所示，其中，S表示源端口，D表示目的端口。圖2-21主動(dòng)傳輸模式（2）被動(dòng)傳輸模式：是FTP服務(wù)器被動(dòng)地等待FTP客戶端連接自己的數(shù)據(jù)端口。首先，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（如1025端口）向FTP服務(wù)器的21端口發(fā)起連接，同時(shí)會(huì)開啟N+1端口（如1026端口），然后向FTP服務(wù)器發(fā)送PASV命令，通知FTP服務(wù)器進(jìn)入被動(dòng)傳輸模式。FTP服務(wù)器收到命令后，開放一個(gè)大于1024的端口（如1521端口）進(jìn)行監(jiān)聽，然后用PORT命令通知FTP客戶端，自己的數(shù)據(jù)端口是1521。FTP客戶端收到命令后，通過1026端口連接FTP服務(wù)器的端口1521，然后在兩個(gè)端口之間進(jìn)行數(shù)據(jù)傳輸，如圖2-22所示。圖2-22被動(dòng)傳輸模式4、vsftpd服務(wù)vsftpd（VerySecureFTPDaemon，非常安全的FTP守護(hù)進(jìn)程）是一款運(yùn)行在Linux系統(tǒng)上的完全免費(fèi)的、開源的FTP服務(wù)器軟件，它支持很多其他FTP服務(wù)器所不支持的特性，如非常高的安全性需求、帶寬限制、良好的可伸縮性、支持IPv6、高速率等。同時(shí)，VSFTP還支持虛擬用戶和虛擬目錄，便于系統(tǒng)管理員進(jìn)行用戶管理。VSFTP提供了系統(tǒng)用戶、匿名用戶和虛擬用戶3種不同的用戶，所有的虛擬用戶會(huì)映射成一個(gè)系統(tǒng)用戶，訪問時(shí)的文件目錄為該系統(tǒng)用戶的家目錄。VSFTP常用的配置文件及其說明如表2-8所示。配置文件說明/usr/sbin/vsftpdvsftpd主程序/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的用戶列表文件，記錄不允許訪問FTP服務(wù)器的用戶名單/etc/vsftpd/user_list禁止或允許使用vsftpd的用戶列表文件/etc/rc.d/init.d/vsftpd啟動(dòng)腳本/etc/pam.d/vsftpdPAM認(rèn)證文件/etc/logrotate.d/vsftpd.log日志文件/var/ftp匿名用戶主目錄常見的FTP命令及其功能如表2-9所示。FTP命令功能open連接FTP服務(wù)器close中斷與遠(yuǎn)程服務(wù)器的FTP會(huì)話（與open對(duì)應(yīng)）quit退出FTP會(huì)話續(xù)表FTP命令功能openhost[port]建立指定的FTP服務(wù)器連接，可指定連接端口ls顯示服務(wù)器上的目錄cd

directory改變服務(wù)器的工作目錄help[cmd]顯示FTP內(nèi)部命令cmd的幫助信息，如helpgetget

remote-file[local-file]從服務(wù)器下載指定文件到客戶端put

local-file[remote-file]從客戶端上傳指定文件到服務(wù)器status顯示當(dāng)前FTP狀態(tài)system顯示遠(yuǎn)程主機(jī)的操作系統(tǒng)useruser-name[password][account]向遠(yuǎn)程主機(jī)表明自己的身份，需要密碼時(shí)，必須輸入密碼，如useranonymousmy@email五、任務(wù)4實(shí)施步驟（1）登錄Linux服務(wù)器，執(zhí)行命令rpm-qa|grepvsftp查看是否安裝了vsftp服務(wù)。是否安裝了vsftp服務(wù)，顯示已安裝vsftp服務(wù)，如圖2-23所示。圖2-23查看是否已安裝vsftp服務(wù)（2）切換至/etc/vsftpd/目錄，查看VSFTP配置文件列表，如圖2-24所示。圖2-24查看VSFTP配置文件列表（3）打開ftpusers文件，查看禁止訪問FTP服務(wù)器的用戶名單，如圖2-25所示。圖2-25查看禁止訪問FTP服務(wù)器的用戶名單（4）登錄Windows系統(tǒng)，打開“命令提示符”窗口，進(jìn)入FTP模式，使用open命令連接FTP服務(wù)器，如圖2-26所示。圖2-26連接FTP服務(wù)器（5）輸入用戶名“anonymous”，使用匿名賬號(hào)進(jìn)行登錄，不需要輸入密碼，按“Enter”鍵即可登錄FTP服務(wù)器，如圖2-27所示。圖2-27匿名用戶anonymous登錄成功（6）登錄FTP服務(wù)器，編輯/etc/vsftpd/vsftpd.conf配置文件，如圖2-28所示。圖2-28編輯/etc/vsftpd/vsftpd.conf配置文件（7）修改配置，禁止匿名用戶登錄，如圖2-29所示。圖2-29禁止匿名用戶登錄（8）使用命令systemctlrestartvsftpd重啟vsftpd服務(wù)，如圖2-30所示。圖2-30重啟vsftpd服務(wù)（9）再次登錄Windows系統(tǒng)，打開“命令提示符”窗口，進(jìn)入FTP模式，使用匿名用戶登錄FTP服務(wù)器，提示登錄失敗，如圖2-31所示。圖2-31匿名用戶登錄失?。?0）修改FTP默認(rèn)端口號(hào)，登錄FTP服務(wù)器，編輯/etc/vsftpd/vsftpd.conf配置文件，添加語句listen_port=4449，該語句指定了修改后FTP服務(wù)器的