Linux及安全——Linux基础实践

Linux及安全——Linux基础实践

一、实践一：掌握软件源的维护方法，配置系统使用教育网内的软件源镜像。掌握通过软件源来查找，安装，卸载，更新软件的方法。

1.软件源的维护方法

Ubuntu的软件源列表存放在/etc/apt/sourcers.list，为了安全起见，我们在对源文件进行操作之前，先将软件源备份。

打开终端，输入命令

sudo cp /etc/apt/sources.list/ etc/apt/backup_sources.list

即把软件源备份的文件backup_sources.list存放在apt文件夹中

接下来，我们升级软件源，输入命令

sudo apt-get update

该命令用于对软件源进行更新，系统将自动从网上寻找资源并且下载。

升级软件版本，输入命令

sudo apt-get update &&sudo apt-get upgrade

查看源列表，输入命令

sudo gedit /etc/apt/sources.list

从上图可以看出，这个文件由注释和软源地址两部分组成。软件源的作用就是让系统自动在这些网址搜索所需软件，我们可以理解为使用apt-get命令就是linux平台下的一个软件商店，而软件源就是我们要下载的软件，其下载文件所在的目录。

2.配置系统使用教育网内的软件源镜像

常用的校内更新源

#电子科技大学

deb http://ubuntu.uestc.edu.cn/ubuntu/ natty main restricted universe multiverse
deb http://ubuntu.uestc.edu.cn/ubuntu/ natty-backports main restricted universe multiverse
deb http://ubuntu.uestc.edu.cn/ubuntu/ natty-proposed main restricted universe multiverse
deb http://ubuntu.uestc.edu.cn/ubuntu/ natty-security main restricted universe multiverse
deb http://ubuntu.uestc.edu.cn/ubuntu/ natty-updates main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ natty main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ natty-backports main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ natty-proposed main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ natty-security main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ natty-updates main restricted universe multiverse

＃中国科技大学

deb http://debian.ustc.edu.cn/ubuntu/ natty main restricted universe multiverse
deb http://debian.ustc.edu.cn/ubuntu/ natty-backports restricted universe multiverse
deb http://debian.ustc.edu.cn/ubuntu/ natty-proposed main restricted universe multiverse
deb http://debian.ustc.edu.cn/ubuntu/ natty-security main restricted universe multiverse
deb http://debian.ustc.edu.cn/ubuntu/ natty-updates main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/ubuntu/ natty main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/ubuntu/ natty-backports main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/ubuntu/ natty-proposed main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/ubuntu/ natty-security main restricted universe multiverse
deb-src http://debian.ustc.edu.cn/ubuntu/ natty-updates main restricted universe multiverse

＃北京理工大学

deb http://mirror.bjtu.edu.cn/ubuntu/ natty main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/ubuntu/ natty-backports main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/ubuntu/ natty-proposed main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/ubuntu/ natty-security main multiverse restricted universe
deb http://mirror.bjtu.edu.cn/ubuntu/ natty-updates main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/ubuntu/ natty main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/ubuntu/ natty-backports main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/ubuntu/ natty-proposed main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/ubuntu/ natty-security main multiverse restricted universe
deb-src http://mirror.bjtu.edu.cn/ubuntu/ natty-updates main multiverse restricted universe

＃兰州大学

deb ftp://mirror.lzu.edu.cn/ubuntu/ natty main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/ubuntu/ natty-backports main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/ubuntu/ natty-proposed main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/ubuntu/ natty-security main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/ubuntu/ natty-updates main multiverse restricted universe
deb ftp://mirror.lzu.edu.cn/ubuntu-cn/ natty main multiverse restricted universe

＃上海交通大学

deb http://ftp.sjtu.edu.cn/ubuntu/ natty main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/ubuntu/ natty-backports main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/ubuntu/ natty-proposed main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/ubuntu/ natty-security main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/ubuntu/ natty-updates main multiverse restricted universe
deb http://ftp.sjtu.edu.cn/ubuntu-cn/ natty main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/ubuntu/ natty main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/ubuntu/ natty-backports main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/ubuntu/ natty-proposed main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/ubuntu/ natty-security main multiverse restricted universe
deb-src http://ftp.sjtu.edu.cn/ubuntu/ natty-updates main multiverse restricted universe

其中第一部分DebType表示Deb软件包类型

• deb表示二进制软件包
• deb-src表示源码包

第二部分Address Type表示访问地址类型，常用类型有：http,ftp,file,cdrom等等

第三部分Distribution表示Ubuntu的各个发行版本，例如dapper,feisty。

第四部分Compomet表示软件包组件类别，是由技术支持程度不同而划分的类型，可选择main,restricted,universe和multisive中的一种或多种，一般使用main。

(1)方法一：自动配置

点击Ubuntu系统右上角的菜单

单击软件更新，出现“更新管理器”界面，单击左下方的设置，出现“软件源”菜单，选择后两个选项

单击“添加”按钮，在新窗口的输入框中添加软件源，如下图添加：

deb http://debian.ustc.edu.cn/ubuntu/ natty main restricted universe multiverse

（2）方法二：手动配置

在终端中输入以下命令打开软件源文件sources.list并编辑

sudo gedit /etc/apt/sources.list

在文件中粘贴新的源地址

保存退出，在终端中输入以下命令，更新源信息

sudo apt-get update

3.掌握通过软件源来查找，安装，卸载，更新软件的方法

（1）查找包含部分关键字的软件包

sudo apt-cache search packagename

以skype软件为例

（2）安装软件

sudo apt-get install packagename

（3）卸载软件

sudo apt-get remove packagename

（4）升级软件包

sudo apt-get -u install packagename

因为是最新安装的软件包，尚且无法升级。

二、实践二：掌握Linux权限管理的概念。掌握与权限管理相关的9bit的含义与设置方法。掌握chmod,chown指令的使用。掌握用户与用户组的维护方法。修改开机脚本或编写脚本。理解并修改PATH环境变量。

1.Linux权限管理的概念

Linux相比于Windows是一个多用户多任务操作系统，即可以在系统上建立多个用户，而多个用户可以在同一时间内登录同一个系统执行各自不同的任务。为保证互不影响，Linux进行文件权限划分与管理，每个用户在权限允许的范围内完成不同的任务。用户权限分为读，写和执行三种。一般文件只有读写权限，可执行文件增加了执行权限。

2.与权限管理相关的9bit的含义与设置方法

Linux中文件的拥有者可以把文件的访问属性设成3种不同的访问权限：可读(r)、可写(w)和可执行(x)。

文件有3个不同的用户级别：文件拥有者(u)、所属的用户组(g)和系统里的其他用户(o)。

第一个字符显示文件的类型。

“-”表示普通文件。

“d”表示目录文件。

“l”表示链接文件。

“c”表示字符设备。

“b”表示块设备。

“p”表示命名管道，比如FIFO文件（先进先出）。

“f”表示堆栈文件，比如LIFO（后进先出）。

“s”表示套接字。

第一个字符之后有三个三位字符组：

第一个三位字符组表示文件拥有者(u)对该文件的权限。

第二个三位字符组表示文件用户组(g)对该文件的权限。

第三个三位字符组表示系统其他用户(o)对该文件的权限。

若该用户组对此没有权限，一般显示“-”字符。

注意：目录权限和文件权限有一定的区别。对于目录权限而言，r代表允许列出该目录下的文件和子目录，w代表允许生成和删除该目录下的文件，x代表允许访问该目录。

3.chmod,chown指令的使用

（1）chmod

作用：改变一个或多个文件的存取模式

<1>用包含字母和操作符表达式的文字设定法

格式：chmod [who] [opt] [mode] 文件/目录名

其中who表示对象，是以下字母中的一个或组合：

u：表示文件所有者
g：表示同组用户
o：表示其它用户
a：表示所有用户
opt则是代表操作，可以为：
+：添加某个权限
-：取消某个权限
=：赋予给定的权限，并取消原有的权限 

而mode则代表权限：

r：可读
w：可写
x：可执行

例如：编写一个简单地脚本文件test.sh，因为脚本文件不能直接执行，只能dash test.sh来执行指令，因为test.sh没有执行权限而dash有。这里我们可以测试chmod指令，为test.sh增加执行权限之后，就可以直接执行test.sh了。

直接执行./test.sh，权限不够

使用chmod命令，输入如下命令，再输入./test.sh，可以执行

chmod u+rwx test.sh

<2>用数字设定法

格式：chmod [mode] 文件名

mode的取值：

我们将rwx看成二进制数，如果有则有1表示，没有则有0表示，那么rwx r-x r- -则可以表示成为：

111 101 100

再将其每三位转换成为一个十进制数，就是754。

如上图所例，输入命令ls -l查看其9bit时，为：

rwx rw- r--

就可以表示为111 110 100

转换成十进制数就是764

所以我们执行命令：

chmod  test.sh

4.用户与用户组的维护方法

更改root用户方法

sudo su

创建用户

useradd 用户名

cat /etc/passwd(在 /etc/passwd 文件中增添了一行记录)

创建组

groupadd 组名

grep 组名 存放地址（/etc/group）

删除用户

userdel 用户名

删除组

groupdel 组名

设置密码

passwd 用户名

5.修改开机脚本或编写脚本

（1）进入/etc/init文件夹，在其中找到rc-sysinit.conf文件，用root权限打开（此处如果不用root权限，则为只读模式，无法进行编辑）

输入如下命令：

打开文件后，找到第14行，会看到env DEFAULT_RUNLEVEL=2

这条语句的意思是指系统当前启动后runlevel是2，在这里可以将数字修改一下，就可实现切换用户模式的基本操作了。

Ubuntu的runlevel级别定义如下：

 – Halt，关机模式。不能将系统缺省运行级别设置为0，否则无法启动。

 – Single，单用户模式。

 - Full multi-user with display manager (GUI)。

 - Full multi-user with display manager (GUI)。

 - Full multi-user with display manager (GUI)。

 - Full multi-user with display manager (GUI)。

 – Reboot，重启。不能将系统缺省运行级别设置为6，否则会一直重启。

可以发现2~5级是没有任何区别的。他们为多用户模式

（2）修改/etc/rc2.d/Sxxgdm 为 /etc/rcx.d/Kxxgdm

可用命令：

sudo mv Sxxgdm Kxxgdm

（3）删除某开机自启动文件，可用指令

sudo update-rc.d –f xxx remove(其中xxx是文件名中除了S和K以外的非数字部分)

6.理解并修改PATH环境变量

环境变量是提供给系统及用户应用程序使用的一些值，比如系统目录位置、临时文件目录等。

这里把/etc/apache/bin目录添加到PATH中为例，方法如下：

（1）#PATH=$PATH:/etc/apache/bin

使用这种方法,只对当前会话有效，也就是说每当登出或注销系统以后，PATH 设置就会失效

（2）#vi /etc/profile

在适当位置添加 PATH=$PATH:/etc/apache/bin (注意：= 即等号两边不能有任何空格)

这种方法最好,除非手动强制修改PATH的值,否则将不会被改变

三、实践三：正确安装SSH服务,并理解配置文件。用命令行启动或停止相应服务，并从测试可正常从远程接入

1.安装SSH服务,并理解配置文件

使用apt-get命令安装SSH服务器

sudo apt-get install openssh-server

开启SSH服务

2.用命令行启动或停止相应服务，并从测试可正常从远程接入

输入命令，启动服务

service ssh status

输入命令，终止服务

service ssh stop

更改允许root登录权限：

在主机或其他终端中使用ssh服务（本例中使用windows中的putty软件接入）

连接成功：

四、实践四：利用用户名/密码 与 证书 分别实现身份验证

将之前使用putty登陆的IP地址保存，再次点击登录是失败的，我们安装证书之后就可以不用输入密码，登陆成功了。

首先，在终端中输入命令：

ssh-keygen –t rsa

然后直接回车－回车－回车

然后，再~.ssh/就会生成id_rsa，id_rsa.pub这个两个文件

使用cat指令，将公钥信息拷贝至.ssh/authorized_keys 内，使其在WinSCP中可见

COPY出来这两个文件，在WIN下面生成PPK文件，便可以用来认证登陆；

打开WinSCP，打开左下角的工具，运行PuTTYgen

打开file-Load Private Key，选择所有文件，选择id_rsa文件，

选择Save private key

填写文件名，保存私钥

在WinSCP的登录界面，点击编辑，高级，验证

密钥文件中选择刚刚生成的私钥文件

点击保存，然后登录，这回就可以自动登录

五、实践五：使用WinSCP客户端连接并进行文件传输；Windows中的PUTTY可运行XWindows程序

1.使用WinSCP客户端连接并进行文件传输

使用WinSCP传输文件，将我编写的test.sh拷贝到windows桌面

2.Windows中的PUTTY可运行XWindows程序

安装Xming-6-9-0-31-setup.exe，双击图标打开软件，在后台运行。

然后配置putty，勾选Enable X11 forwarding

然后使用putty的ssh与linux主机建立连接

在登录的ssh的shell中输入iceweasel=即可在windows上看到linux主机上的浏览器在windows上运行了

输入ls，运行加密文件gedit id_rsa

出现可视化界面