第一章系统安全常规优化
实验一:使用su 、sudo 控制用户账号权限需求描述:
1.对用于远程登录的管理用户radmin ,允许其通过执行“su -”命令切换到root 用户;其他所有用户均禁止使用su 切换身份;
2.系统组的用户zhangsan 负责公司员工的账号管理,允许其通过sudo 方式添加/删除用户及修改用户相关信息(包括密码),但是不允许其修改root 用户的密码等信息;
3.对系统管理员lisi ,允许其通过sudo 方式执行/sbin 、/usr/sbin 目录下的所有命令,并且不需要密码验证;
4.所有用户通过sudo 执行的每一条命令,均以日志记录的形式写入到文件/var/log/sudo 中。
实验步骤:
1.修改su 的pam 文件
2.修改sudoers 文件
3.修改sudoers 文件
4.
添加日志功能
实验二:为系统引导和登录提供安全加固需求描述:
1.禁止非授权用户使用系统启动盘从光盘引导系统;
2.禁止非授权用户在引导服务器时通过单用户模式进入系统;
3.防止普通用户获取GRUB 密码,防止grub.conf 文件被无意中修改或删除;
4.
在服务器本地仅开放tty1、tty2控制台终端,限制root 用户只能从tty1登陆,其他普通用户只能从tty2登陆;
5.屏蔽掉Ctrl +Alt +Del 热键重启功能;
6.所有用户登录到shell 后,默认超过5分钟没有操作则自动注销。
实验步骤:
1.调整BIOS 的启动顺序,将光驱启动调整到下面,然后设置BIOS 密码(略)。
2.设置GRUB
修改密码
3.锁定GRUB 配置文件
4.
限制终端登录
添加这一行
5.设置inittab 文件,禁用Ctrl +Alt +Del
三热键
6.设置profile 文件,调整5
分钟自动注销
第二章配置iptables防火墙(一)
实验一:编写iptables脚本实现IP地址、端口过滤
需求分析:
1.入站控制:
A.允许internet上的主机访问网关服务器的21、25、80、110、143端口;
B.允许IP地址为201.12.13.14的远程管理主机访问网关的22端口,并记录访问日志,每15
分钟记录一次;
C.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口;
D.仅允许局域网主机LAN1:192.168.1.0/24网段,访问3128端口的代理服务
2.转发控制:
3.其他任何非明确许可的数据包入站访问,均予以丢弃;数据包出战访问均允许。
4.组织以上各条防火墙策略,保存为Shell脚本文件,以便移植使用。
实验步骤:
1.入站控制:A :
B :
C :
D :
2.转发控制:
3.
默认策略:
4.编写Shell脚本:
实验二:基于IP地址和端口封锁QQ、MSN
需求分析:
1.禁止局域网用户连接QQ服务器、QQ服务程序的端口。
2.禁止局域网用户连接MSN服务器、MSN服务程序的端口。
实验步骤:
1.使用S1所学的Sniffer软件区抓取MSN和QQ的数据包,其中可以获得MSN和QQ的服务器ip地址,其中的端口号为1863、7001、8000、8001(关于ip和端口号建议经常更新)
2.编写Shell脚本
第三章配置iptables防火墙(二)
实验一:使用SNAT、DNAT策略实现网关应用
需求描述:
1.网关的eth0接口连接外网;eth1接口连接内网;
2.通过配置SNAT策略,使192.168.1.0/24网段的主机可以访问internet的所有应用;
3.通过配置DNAT策略,使外网的主机能够通过访问http://173.16.16.1来查看位于192.168.1.7主机上的网站服务器;
4.禁止其他未明确许可的数据包访问;
5.将网关上的各项设置组织成防火墙脚本。
实验步骤:
1.配置eth0和eth1的ip,略。
2.配置SNAT策略:
3.编写Shell脚本:
实验二:基于Layer7应用层过滤封锁QQ 、MSN 需求描述:
1.重新编译、安装Linux 内核,添加l7-fileter 应用层过滤补丁;
2.重新编译、安装iptables ,添加l7-fileter 应用层过滤补丁;
3.设置iptables 规则,禁止局域网用户使用QQ 、MSN 程序进行聊天;
4.
设置iptables 规则,禁止局域网用户是用BT 、电驴等下载工具。
实验步骤:
1.编译安装Linux 内核
需要将netfilter-layer7补丁合并到
内核源码值中
在上图中:
内核配置完成后,保存退出,所作修改保存到源码目录中的.config 文件中
都配置完成之后,在首页的最后一项,选择“Save ”进行保存后再退出
备注:编译过程较长,可能会到几个小时,需要耐心等待
安装完成后,新的内核文件安装到/boot 目录模块文件复制到/lib/moduels/2.6.28.8/目录2.重新编译安装iptables
3.安装17-protocols 协议包
4.
设置规则
第四章构建Squid代理服务器
实验一:搭建透明代理网关服务器
需求描述:
1.配置iptables策略,使19
2.168.2.0/24,网段的主机通过NAT的方式共享访问Internet
2.配置squid代理服务,实现对HTTP访问的缓存加速,并结合iptables实现透明代理
3.禁止局域网用户下载rmvb、mp3格式文件
4.对超过3MB大小的文件不做缓存,禁止下载超过8MB的文件
5.禁止用户访问https://www.doczj.com/doc/c511738346.html,、https://www.doczj.com/doc/c511738346.html,、https://www.doczj.com/doc/c511738346.html,的域的网站
6.启用网址过滤,禁止访问包含“sex”、“adult”字样的链接
实验步骤:
1.修改squid.conf 配置文件
2.添加iptables
规则并开启路由转发
实验二:搭建方向代理服务器
需求描述:
1.公司的对外域名https://www.doczj.com/doc/c511738346.html,解析为方向代理服务器的IP地址173.16.16.1
2.当Internet用户访问https://www.doczj.com/doc/c511738346.html,时,实际看到的网页内容来源于内部的Web服务器群192.168.2.11和192.168.2.12
实验步骤:
1.修改squid.conf配置文件
第五章漏洞检测和远程访问控制
实验一:构建Nessus 漏洞检测系统需求描述:
1.安装Nessus 服务器端软件
2.安装Nessus 客户端软件
3.对扫描用户的权限进行控制,仅允许对服务器192.168.2.3和192.168.2.5进行扫描
4.
对服务器192.168.2.3进行漏洞检测,并保存扫描结果
实验步骤:
1.安装Nessus 服务器端软件
2.安装Nessus
客户端软件
3.添加扫描用户,设置仅能扫描192.168.
4.0网段的权限
4.进行漏洞扫描(需要在图形界面下使用)
按照下图,依次点开“Connect ”--->“+”--->填写相关信息之后--->“Save ”
上面配置完成后,会看见新的“New connection ”
连接
Nessus 服务器端所在主机
上图连接成功后,在下图进行单一主机的扫描,如192.168.4.10
选中192.168.4.10主机,选中“Default scan policy”,最后点击“Scan Now”
实验Linux文件和目录操作(1) 一、实验内容 练习Linux文件和目录操作命令。 二、实验目的 掌握文件与目录管理命令 掌握文件内容查阅命令 三、实验题目 1. 文件与目录管理 (1) 查看CentOS根目录下有哪些内容? (2) 进入/tmp目录,以自己的学号建一个目录,并进入该目录。 (3) 显示目前所在的目录。 (4) 在当前目录下,建立权限为741的目录test1,查看是否创建成功。 (5) 在目录test1下建立目录test2/teat3/test4。 (6) 进入test2,删除目录test3/test4。 (7) 将root用户家目录下的.bashrc复制到/tmp下,并更名为bashrc (8) 重复步骤6,要求在覆盖前询问是否覆盖。 (9) 复制目录/etc/下的内容到/tmp下。 (10) 在当前目录下建立文件aaa。 (11)查看该文件的权限、大小及时间 (12) 强制删除该文件。 (13) 将/tmp下的bashrc移到/tmp/test1/test2中。 (14) 将/test1目录及其下面包含的所有文件删除。 2. 文件内容查阅、权限与文件查找 (1) 使用cat命令加行号显示文件/etc/issue的内容。 (2) 反向显示/etc/issue中的内容。 (3) 用nl列出/etc/issue中的内容。 (4) 使用more命令查看文件/etc/man.config (5) 使用less命令前后翻看文件/etc/man.config中的内容 (6) 使用head命令查看文件/etc/man.config前20行 (7) 使用less命令查看文件/etc/man.config后5行 (8) 查看文件/etc/man.config前20行中后5行的内容 (9) 将/usr/bin/passwd中的内容使用ASCII方式输出 (10) 进入/tmp目录,将/root/.bashrc复制成bashrc,复制完全的属性,检查其日期 (11) 修改文件bashrc的时间为当前时间
Linux实验手册 补充实验步骤很详细Linux重于练习和动手 一Linux安装 注意磁盘分区 二:用户简单操作: 1、添加用户u1和u2,并分别设置口令 #useradd u1 passwd u1 #useradd u2 passwd u2 2、查看/etc/passwd及/etc/shadow文件内容,以确定两个用户以建立 #ls -l /etc/passwd #ls -l /etc/shadow 3、查看/home 目录下是否有u1和u2目录 #ls-l /home 4、以u1用户身份登录 #su – u1 三:文件及目录操作: 1、以u1用户身份登录后,显示当前目录位置 $pwd 2、在u1目录下创建两个目录,分别为dir1和dir2 $mkdir dir1 dir2 3、进入dir1目录用vi创建两个文件,文件名分别为test1、test2 $cd ./dir1 $vi test1 :wq! $vi test2 :wq! 4、分别用cat、less、more命令查看test1和test2文件内容 $cat test1 $more test2 $less test1 q 5、进入dir2目录用touch创建两个空文件test3、test4 $cd ../dir2 $touch test3 test4 6、将dir1目录下的test1文件复制到/tmp目录下 $cd ../dir1 $cp test1 /tmp 7、查看/tmp目录下是否有test1文件 $ls -l /tmp 8、将dir1目录下的test2移动到dir2目录下 $cd ../dir2 $mv test2 ../dir2 9、查看dir1目录下的文件 $cd ../dir1 $ls –l 10、查看dir2目录下的文件
Linux程序设计 实验指导书 计算机应用系 2012年11月
实验一:Linux常用命令及编程环境 1.实验相关知识简述 Unix/Linux环境下使用C语言程序开发的项目主要经历设计、开发、调试、集成、部署和维护几个阶段。目前典型的开发环境,主要使用vi、emacs、gedit等文字编辑工具完成源代码的编辑工作;通过指定不同的GCC编译器编译选项指定编译结果,根据编译器提示改正程序中的语法错误,最终生成符合目标要求的可执行二进制文件;当可执行文件执行结果与预期结果不一致时,使用GDB调试器跟踪程序执行过程,查看中间变量,改正源程序中存在的逻辑错误。在大型项目管理中,由于文件较多,整个编译过程费时较长,安装、调试难度较大。为解决手工管理效率低下的问题,引入Make工具,将项目编译、安装、维护等工作以脚本的形式组织在Makefile中,从而简化项目维护成本。手工编写Makefile脚本难度较大且不利于统一规范,推荐使用Autotools工具集直接生成。本实验仅设置手工编辑、编译Linux C源代码,生成可执行文件并调试。 GNU CC(简称为GCC)是GNU 项目中符合ANSI C 标准的编译系统,能够编译用C、C++和Object C 等语言编写的源程序。GCC也可理解为一个工具集合,包含多个编译相关工具,如gcc编译C语言源程序,g++编译C++语言源程序,ld链接器等。在编译C语言程序时,可直接使用gcc指令通过配置不同的参数选项达到指定GCC工具集的目的。 GCC的常用选项如表1.1所示 表1.1 GCC常用选项 功能选项描述 与编译相关的GCC 选项-c 只是编译不链接,生成目标文件“.o” -S 只是编译不汇编,生成汇编代码 -E 只进行预编译,不做其他处理 -g 在可执行程序中包含标准调试信息 -o file 把输出文件输出到file 里 -v 打印出编译器内部编译各过程的命令行信息和编译器的版本-I dir 在头文件的搜索路径列表中添加dir 目录 -L dir 在库文件的搜索路径列表中添加dir 目录 -static 链接静态库 -llibrary 连接名为library 的库文件 报警与出错相关的-ansi 支持符合ANSI 标准的C 程序 -pedantic 允许发出ANSI C 标准所列的全部警告信息
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下
区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持 双机热备支持支持 负载均衡不支持支持 ◆硬件架构原理图如下 二、网闸主要配置抓图 2.1、内网配置抓图: ◆登陆界面
嵌入式学院实验手册linux基础及C高级实验 嵌入式学院教材开发部编著 (内部资料,请勿外传) 嵌入式学院(2014)版权所有V3.0
Linux基础实验 实验一Linux常用命令的使用 【实验内容】 本课程要求学员对Linux基本操作命令有一定了解和掌握。下面列出的一些常用命令作为参考。最好针对每一个都能亲自练习、掌握。 【实验平台】 PC机 【实验步骤】 1.ls 命令 ---------------------------------------------------------------------- ls 以默认方式显示当前目录文件列表 ls –a 显示所有文件包括隐藏文件 ls –l 显示文件属性,包括大小,日期,符号连接,是否可读写及是否可执行 ---------------------------------------------------------------------- 2.cd 命令 cd dir 切换到当前目录下的dir目录 cd .. 切换到到上一级目录 cd ~ 切换到用户目录,比如是root用户,则切换到/root下 ---------------------------------------------------------------------- 3.rm 命令 rm file 删除某一个文件 rm -rf dir 删除当前目录下叫dir的整个目录 ---------------------------------------------------------------------- 4.mv命令 mv source target 将文件或者目录source更名为target ---------------------------------------------------------------------- 5.echo 命令 echo message 显示一串字符 ---------------------------------------------------------------------- 6.cat 命令 cat file 显示文件的内容,和DOS的type相同 cat file | more 显示文件的内容并传输到more程序实现分页显示,使用命---------------------------------------------------------------------- 7.du命令 du 计算当前目录的容量
淮海工学院计算机工程学院 实验报告书 课程名:《网络操作系统》 题目:软件包管理与进程管理 班级:网络132 学号: 姓名:
一、目的与要求 1、掌握linux软件包管理方法。 2、掌握RPM命令的使用。 3、熟悉图形模式下软件管理工具的使用。 4、掌握常用进程管理的命令。 二、实验内容与题目 1、下载并安装telnet软件包(分别采用-i、-ivh)。 2、删除上述安装的软件。 3、利用rpm查询上述软件 4、校验上述文件 5. 利用图形模式下的软件包管理工具安装和删除“Eclipse”的有关软件。 6、下载并安装OpenOffice套件。 7、查看进程的统计信息(静态、动态)。 8、查看进程名中包含“con”字符串的进程信息 9、后台运行gedit软件后,并把它调入前台,然后杀死它。 10、利用crontab实现每周一、三、五的17:30时,打包备份/etc/httpd目录中的文件到你的主目录。 11、练习at、pkill、pstree等命令的使用。 12、练习YUM软件工具的使用。 三、实验步骤与源程序 1、下载并安装telnet软件包(分别采用-i、-ivh)。 2、删除上述安装的软件。 3、利用rpm查询上述软件 4、校验上述文件 5. 利用图形模式下的软件包管理工具安装和删除“Eclipse”的有关软件。 6、下载并安装OpenOffice套件。 7、查看进程的统计信息(静态、动态)。 8、查看进程名中包含“con”字符串的进程信息 9、后台运行gedit软件后,并把它调入前台,然后杀死它。 10、利用crontab实现每周一、三、五的17:30时,打包备份/etc/httpd目录中的文件到你的主目录。 11、练习at、pkill、pstree等命令的使用。 12、练习YUM软件工具的使用。 四、测试数据和实验结果 1、下载并安装telnet软件包(分别采用-i、-ivh)。 2、删除上述安装的软件。 3、利用rpm查询上述软件 4、校验上述文件 5. 利用图形模式下的软件包管理工具安装和删除“Eclipse”的有关软件。 6、下载并安装OpenOffice套件。 7、查看进程的统计信息(静态、动态)。
联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙 在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。 注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。 管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示) 选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。(附图1) 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。(附图2) 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。(附图3) 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。打开“用 于管理”选项。(附图5) 附图1 说明:选择好相应的证书和密钥,点击“导入”即可。
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
第一章Linux基本网络配置 实验二:构建DHCP及DHCP中继服务器 拓扑图: 需求描述: 1.在DHCP中继服务器上配置中继服务; 2.在192.168.1.0/24网段中构建一台DHCP服务器,IP地址为192.168.1.2,可以为192.168.1.0/24、192.168.2.0/24、192.168. 3.0/24网段中的客户机自动分配IP地址等网络参数; 3.为各客户机动态分配IP地址,默认租约时间设为21600秒,最大租约时间设为43200秒; 4.为各客户机设置使用的DNS服务器地址为202.106.0.20,202.106.148.1; 5.对应于3个物理网段,用于动态分配的IP地址范围分别为: 192.168.1.20--192.168.1.200;192.168.2.20--192.168.2.200;192.168.3.20--192.168.3.200; 6.各网段中客户机的默认网关地址使用DHCP中继服务器在该网段内的接口IP地址
实验步骤: DHCP 服务器上1.安装软件包 2.修改配置文件 3.配置ip 地址及设置默认网关 4. 启动服务
DHCP 中继服务器上1.安装软件包 2.修改配置文件 3.配置IP 地址 4.启动服务 客户机上验证:使用XP 虚拟机即可。
第二章构建文件服务器 实验一:构建Samba文件共享服务器 需求描述: 1.在/var/share/目录下创建子目录public training devel public目录用户存放公共数据,如公司的规章制度,员工手册等; training目录用于存放公司的技术培训资料; devel目录用于存放项目开发数据 2.将/var/share/public/目录共享为“public”,所有员工可以匿名访问,但是只能读取文件,不能写入 3.将/var/share/training/目录共享为“peixun”,只允许管理员admin以及技术部的员工只读访问 4.将/var/share/devel/目录共享为“kaifa”,技术部的员工都可以读取该目录中的文件,但是只有管理员admin和benet项目组的员工有写入权限 实验步骤: 1.安装软件包 2. 创建目录以及相关用户、组
实验一Linux安装和环境熟悉以及常用命令的练习 一、实验内容 掌握Linux下常用的文件及目录的操作命令;掌握文件打包及压缩命令;学会使用帮助信息。 二、实验目的及要求 1.了解Linux下的Shell常用命令; 2.掌握文件及目录操作命令; 3.掌握文件打包、压缩命令; 4.掌握联机帮助命令的使用方法。 三、实验环境及条件 奔腾以上微机一台,Linux操作系统。 四、实验设计及实施指导(写出每个命令的测试用例及期望输出与实际输出) 1、文件及目录操作命令 (1)练习常用shell命令 Date、bc、echo、last、history等。 (2)练习文件及目录常用的管理命令 ls find cat grep sort comm diff cp rm mv wc; mkdir rmdir chmod chown ln pwd cd。 (3)重定向和管道命令: 输入重定向 输入重定向是指把命令(或可执行程序)的标准输入重定向到指定的文件中。输入重定向主要用于改变一个命令的输入源,特别是改变那些需要大量输入的输
入源。 例如: wc< /etc/passwd wc<this text forms the content >this text forms the content2s >this text forms the contents >! ?输出重定向 输出重定向是指把命令(或可执行程序)的标准输出或标准错误输出重新定向到指定文件中。这样,该命令的输出就不显示在屏幕上,而是写入到指定文件中。 例如: ls >directory.out ls >>directory.out 利用重定向将命令组合在一起,可实现系统单个命令不能提供的新功能。例:统计/usr/bin目录下的文件个数: ls /usr/bin>/tmp/dir wc –w
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
A W S服务器配置部署手 册 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
aws服务器配置部署手册 一、实例的启动(创建) 1.什么是实例 在所有工作之前,我们来看一看什么是AmazonEC2.根据其官方文档的解释如下: 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型,以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号,进入EC2的控制面板,启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base,。 其他过程直接选择默认配置,点击配置安全组。 默认的安全组只有一个规则,这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的,为了方便我们之后服务器的配置以及网站的部署,我们得添加其他的规则,下图是我配置帕累托后台所用的安全组。(有关安全组端口作用在附件中有部分说明,详见附件1) 完成相关工作之后,点击审核和启动,会跳出如下页面,这一步很重要!因为在这创建的密钥对,以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP,点击分配新地址。创建好之后右击,选择关联地址,将其关联到我们的实例上。
二、服务器的配置 1.远程桌面连接 实例在创建完成之后,就要配置服务器了。在配置服务器时,需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口,如果没有进行添加配置(导航栏中找到安全组,点击进入)。 若实例需要添加安全组,在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后,就可以进行远程桌面连接了。右击我们的实例,点击连接,跳出如下画面。 首先通过之前保存的密钥对获取密码,然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮,选择服务器管理器(实例中默认的服务器只有一个,我们的工作只需要一个,所以暂不做添加修改。) 点击第二项添加角色和功能,一路下一步,直到服务器和角色页面,勾选Web 服务器(IIS)选项(根据个人需求进行相关筛选), 在功能页面同样勾选需要的功能,最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置,导致本人焦头烂额,始终无法从外部网络连接至服务器。
《Linux系统管理与维护》实验指导书 实验一初识Linux操作系统 一实验名称 初识Linux操作系统 二实验目的与要求 掌握Linux的启动、登录与注销。 三实验内容 1.以root用户和普通用户两种不同身份登录Linux,说出其登录后得差异。 2.图形模式下的注销、重启与关机。 3.学会在虚拟机上登录和注销Linux。 四操作步骤与结果分析 五问题与建议
实验二Linux的桌面应用 一实验名称 Linux的桌面应用 二实验目的与要求 熟悉Linux操作系统桌面环境 熟悉Linux文件系统及常用的操作 掌握Linux下使用外部存储设备、网络设备 掌握Linux下安装应用程序 三实验内容 1.查看GNOME提供的“应用程序”、“位置”或者“系统”菜单,运行其中的应用程 序和工具。 2.查看Linux文件目录结构,学会常用的文件目录操作,如复制、粘贴、移动、删 除、更名、创建文档、创建文件夹等。 3.练习在Linux下使用光盘和U盘。 4.学会网络配置,使计算机能够进行网络浏览等操作。 5.学会在Linux下安装新的应用软件。 四操作步骤与结果分析 五问题与建议
实验三Linux操作系统的安装 一实验名称 Linux操作系统的安装 二实验目的与要求 掌握安装Linux操作系统 三实验内容 1.通过学习《项目五Linux操作系统的安装及远程服务》的内容,学会如何安装Linux。 环境:windows 系统、vmware虚拟机、Redhat Linux镜像光盘。 通过安装向导将安装分为两步:1、基本安装,2、配置及具体安装。 在第一阶段重点如何分区,在第二阶段重点掌握如何设置密码及安装桌面环境。四操作步骤与结果分析 五问题与建议
实验一Linux的认识 一、实验的目的要求 通过实验,使学生初步熟悉Linux环境,了解Linux的目录结构和文件,了解Linux命令的特点,能够完成登录和密码修改工作。 二、实验内容 1、虚拟机的基本操作及应用 虚拟机的启动、关闭,虚拟机的基本管理 2、系统登录和用户管理 1)用用户名root、密码linux登录系统 登录系统后修改自己的密码。修改密码用命令passwd。 2)用“a学号”作为用户名,建立一个用户,并设置密码 建立用户用命令adduser 3)用vi查看/etc/passwd和/etc/shadow文件,读懂各域的意义 3、用列目录命令,查看系统的文件。 ls –l 列当前目录下的文件 cd <路径名> 修改当前的目录 4、退出系统 用户不再使用系统,需要退出,否则别人可能利用你的工作环境进入系统,对信息进行破坏。 退出系统用 logout 或 exit 5、关闭系统 和Windows系统一样,Linux必须用关机命令关闭系统。 关机:shutdown –h now 重新启动用:shutdown –r now 四、操作与思考 1、从你上机的体验中,说明为什么说Linux是多用户操作系统。 2、logout(或exit)并不是关闭Linux服务器,关闭服务器的命令是“shutdown –h now”。非root用户能执行该命令码?想想为什么。
实验二文件操作命令 一、实验的目的要求 通过实验,使学生掌握Linux的文件和目录的安全机制,并能正确使用安全机制保护自己的文件,能熟练使用常用的文件操作命令。 二、常用命令 df 查看已安装文件系统的使用情况 mount 安装文件系统 umount 拆卸文件系统 ls 列文件目录 cd 改变当前目录 mkdir 创建目录 cat 显示文件内容 cp 拷贝文件 rm 删除文件 mv 移动文件 chown 改变文件属主 chmod 改变文件权限 三、实验内容 0、用df和mount查看已安装文件系统的情况 1、用ls和cd 命令查看系统各目录中的文件及属性 2、用cat命令查看/etc/passwd等文件的内容。 3、建立如下的目录结构: | |-------etc | |-----user | | | |-----system | |--------bin | |-----default | |--------sbin | |--------usr 4、把/bin下的文件ls拷贝到bin/default下,并把权限该成同组用户具有所有权限,其他用户没有任何权限。 5、把/etc/passwd拷贝到bin目录下,在把它移动到etc/system中。 6、把/etc扩张名为conf的文件拷贝到etc目录下,并删除已l开头的文件。 7、综合运用所学命令。 四、操作与思考 1、你能在/bin下建立目录吗?你能删除/bin下的文件吗?为什么? 2、你能进入其他用户的目录吗?为什么?
Linux操作系统 (适用于计算机专业专科学生) 实 验 指 导 书 信息科学与技术学院二0一0年八月制
目录 实验一 Red Hat Linux 9.0系统的安装 (3) 实验二常用命令的使用(一) (15) 实验三常用命令的使用(二) (21) 实验四 Vi编辑器的使用 (27) 实验五 Linux系统管理与配置 (29) 实验六 shell编程(一) (32) 实验七 shell编程(二) (37) 实验八 shell编程及图形环境的使用 (39)
实验一 Red Hat Linux 9.0系统的安装 一、实验目的 1.掌握安装Linux系统时收集计算机硬件信息的方法 2.掌握Linux硬盘的分区方法和硬盘分区的大小 3.掌握Linux系统安装的过程和在安装过程中各选项的设置 二、实验环境 微型计算机一台,Red Hat Linux9.0系统盘一套 VMware Workstation v5.5.16325 sn:8UX0R-686FT-Z054V-4PDQPORLCT4T-24GFE-A816V-4MTQQ 三、实验内容及步骤 1.安装前的准备工作 步骤一:关闭BIOS中的病毒报警功能,如果硬盘大于8G设置硬盘为LBA模式。 步骤二:备份硬盘上的所有重要数据! 步骤三:为Linux系统准备足够的硬盘空间。 2.安装Red Hat Linux 9.0 将Red Hat Linux 9.0安装光盘插入光驱,然后启动计算机,即可从CD-ROM启动Linux 安装程序。 步骤1:boot:提示。 机器启动之后,显示boot: 提示屏幕,其中包括了几个不同的引导选项,每个引导选项还有一个或多个与之关联的帮助屏幕。要访问帮助屏幕,可按在屏幕底部列出的恰当的功能键。 为以图形方式从光盘中安装Red Hat Linux,单击回车键。 步骤2:安装程序检测用户系统并试图识别光驱。如果找到了,会进入安装进程的下一阶段。 这时若要中止安装进程,应取出引导磁盘或光盘,重新引导机器。在“即将安装”屏幕(步骤19) 之前的任何时候,都可以安全地中止安装。 步骤3:欢迎使用Red Hat Linux。 “欢迎”屏幕并不提示做任何输入。可阅读左侧面板内的帮助文字来获得附加的说明,以及关于如何注册Red Hat Linux产品的信息。
9.1网络需求 某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程 配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信 UJLQ 用户 用户 (1) 配置网络联通性 定义IP 地址对象、 开放端口对象 Internet 网御防火墙 交掬机 Internet
(2)定义IP地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM
公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择 web 端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择 web 端口 注:对内服务、对外服务可以不一致,即对外服务为 8080,对内服 务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口
WEB+FTP+Email服务器安全配置手册 作者:阿里西西 2006-8-11
目录第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置 第七章:Email服务器安全权限配置 第八章:远程管理软件配置 第九章:其它安全配置建议 第十章:篇后语
一、硬件环境 服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统:Windows Server 2003 Enterprise Edition sp1 WEB系统:Win操作系统自带IIS6,支持.NET 邮件系统:MDaemon 8.02英文版 FTP服务器系统:Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库:MSSQL2000企业版 相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件 相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus [相关说明] *考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。 *安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。
《UNIX/LINUX系统管理I》课程设计任务书 目录 《UNIX/LINUX系统管理I》课程设计任务书 (1) 3.1 解决grub引导过程故障 (3) 3.2 解决系统网络接口卡无法激活故障 (4) 3.3 解决PUTTY窗口的登陆问题 (5) 3.4 解决PUTTY窗口的乱码问题 (6) 3.5 解决软件yum安装故障 (7) 3.6 解决X-WINDOWS启动故障 (8) 3.7 解决核功能问题 (8) 3.8 完成系统IO性能优化任务, (10) 3.9 完成系统监控任务, (11) 3.10 完成自动维护任务, (12) 3.11 解决资源配给问题, (13) 3.12 完成性能分析任务 (14)
第一部分、课程情况 课程名称:UNIX/LINUX系统管理I 课程代码:NW3005 学分/学时:2学分/34学时 面向专业方向:网络设计与管理方向、网络安全技术方向 任务书编写人:安明忠 第二部分、学习目的 UNIX/LINUX系统管理I的课程平台是rhel6系列,主要学习故障分析及解决能力,是通过学习,增强学生对系统工作原理的认知,掌握基本的管理系统能力。 课程设计中考虑了LINUX/UNIX系统日常维护和管理中的若干项基本工作容,组织成7个课堂实验任务,5个可选任务。每个任务都是基于实验主机的真实故障或优化管理来设计,要求学生通过独立的思考和操作,灵活使用校园网和主机在线手册等资源,排除这些系统故障或按照要求调整优化系统性能。 第三部分、本学期的学习容和要求
3.1解决grub引导过程故障 3.1.1任务描述 主机已经安装完成的RHEL6 系统启动失败,初步估计是GRUB配置参数错误或系统引导文件丢失,采用手工引导GRUB,查找故障确切原因并修复。 实验环境:VMWARE平台RHEL6基本系统(包含GRUB数据错误) 教师指导:搜索引擎工具GRUB基本介绍PC系统启动过程知识 任务要求:两课时完成,通过grub引导命令修复GRUB故障,系统可以正常启动。按照要求完成报告容。 3.1.2任务分析过程 1.主要现象描述:
《Linux操作系统》实验指导书
实验四 实验题目:磁盘管理 实验目的:熟悉并掌握磁盘管理常用命令;掌握利用虚拟机增加新硬盘,使用fdisk对磁盘分区操作;熟悉和了解磁盘显示信息内容;掌握使用卷组进行磁盘管理操作。 实验类型:综合 实验要求:必修 仪器设备:计算机 实验内容、方法、步骤: 1,使用GUI方式建立用户user01,具体属性如下: 登录shell为/bin/bash, 主目录/user01, 用户id: 520, 用户组grp01 2,使用修改配置文件方式建立用户user02,具体属性如下: 登录shell为/bin/bash, 主目录/user02, 用户id: 530, 用户组grp02 3,使用命令方式建立用户user03,具体属性如下: 登录shell为/bin/bash, 主目录/user03, 用户id: 530, 用户组grp03,附属组grp02 4,对user01,user02,user03,设置密码并登录。 一、磁盘和分区信息查看 1 fdisk查看当前系统硬盘及分区情况,在实验报告中说明当前的磁盘容量,分区数量、名称和大小,分区挂载点,分区使用方式(卷组名称、逻辑卷名称和大小)。 步骤:fdisk –l 2 显示当前文件系统使用情况,在实验报告中说明当前主要文件系统信息及使用情况(包括主要文件系统名称、挂载点、容量、使用量及百分比等)
步骤:df –h 二、添加新硬盘 内容:关闭虚拟机操作系统,添加2块硬盘,大小分别为5G和10G。开机后查看新硬盘是否成功添加。 步骤: 1 关机:init 0 2 添加新硬盘:右键单击虚拟机,选择setting(设置)。在Add中按照要求添加2块新硬盘(HardDisk) 3 开机后,打开终端。输入命令fdisk –l 或ls /dev/sd*查看新硬盘是否添加成功。 三、对新添加硬盘进行分区 内容: 1. 将第二块硬盘sdb分区(5G),要求分区1(sdb1)为主分区,类型为swap (82),大小为500M;分区2(sdb2)为主分区,类型为linux(83),大小为2G;分区3为扩展分区(sdb3),大小为sdb所有剩余容量;分区5为逻辑分区,类型为lvm(8e),大小为2G。分区后,查看sdb新添加所有分区,将截图添加到实验报告中。 2. 将第三块硬盘sdc分区(10G),要求分区1(sdc1)为扩展分区,大小为10G;
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )