Linux系统安全及应用

账号安全控制

用户账号是计算机使用者的身份凭证或标识，每个要访问系统资源的人，必须凭借其用 户账号才能进入计算机。在Linux 系统中，提供了多种机制来确保用户账号的正当、安全使用。

 基本安全措施

1. 系统账号清理

各种非登录用户账号中，还有相当一部分是很少用到的，如 games。这些用户账号可以视为冗余账号，直接删除即可。

对于Linux服务器中长期不用的用户账号，若无法确定是否应该删除，可以暂时将其锁定。

[root@localhost ~]#usermod -L zhangsan I/锁定账号 
[root@localhost ~]#passwd -S zhangsan //查看账号状态 
[root@localhost ~]#usermod -U zhangsan I/解锁账号 
[root@localhost ~]#passwd -S zhangsan

如果服务器中的用户账号已经固定，不再进行更改，还可以采取锁定账号配置文件的方法。使用 chattr 命令，分别结合“+i”“-” 选项来锁定、解锁文件，使用 Isattr 命令可以查看文件锁定情况。

[root@localhost~]#chattr +i letc/passwd /etc/shadow //锁定文件 
[root@localhost ~]#Isattr letc/passwd letclshadow I/查看为锁定的状态 
[root@localhost ~]#chattr -i/etc/passwd /etc/shadow //解锁文件 
[root@localhost ~]#Isattr letc/passwd letc/shadow I/查看为解锁的状态

在账号文件被锁定的情况下，其内容将不允许变更，因此无法添加、删除账号，也不能更改用户的密码、登录 Shell 、 宿主目录等属性信息。

[root@localhost~]#chattr +i /etc/passwd /etc/shadow 
[root@localhost ~]#useradd billgate useradd: 无法打开/etc/passwd

2. 密 码 安 全 控 制

在不安全的网络环境中，为了降低密码被猜出或被暴力破解的风险，用户应养成定期更 改密码的习惯，避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置密码，否则将拒绝登录。

执行以下操作可将密码的有效期设为30天(chage命令用于设置密码时限)。

[root@localhost~]#vi /etc/login.defs PASS_MAX_DAYS 30 
[root@localhost ~]#chage -M 30 lisi

在某些特殊情况下，如要求批量创建的用户初次登录时必须自设密码，根据安全规划统 一要求所有用户更新密码等，可以由管理员执行强制策略，以便用户在下次登录时必须更改密码。

[root@localhost ~]# chage -d 0 zhangsan

3.命令历史、自动注销

Shell  环境的命令历史机制为用户提供了极大的便利，但另一方面也给用户带来了潜在 的风险。只要获得用户的命令历史文件，该用户的命令操作过程将会一览无余，如果曾经在命令行输入明文的密码，则无意之中服务器的安全壁垒又多了一个缺口。

Bash  终端环境中，历史命令的记录条数由变量 HISTSIZE   控制，默认为1000条。通过修改/etc/profile 文件中的HISTSIZE变量值，可以影响系统中的所有用户。例如，可以设置最多只记录 200 条历史命令。

[root@localhost~]#vi /etc/profile ……/省略部分内容 HISTSIZE=200

除此之外，还可以修改用户宿主目录中的～1.bash_logout 文件，添加清空历史命令的操作语句。这样，当用户退出已登录 Bash  环境以后，所记录的历史命令将自动清空。

[root@localhost~]#vi~1.bash_logout history -c clear

Bash  终端环境中，还可以设置一个闲置超时时间，当超过指定的时间没有任何输入时 即自动注销终端，这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置超时由变量 TMOUT  来控制，默认单位为秒 (s)。

[root@localhost ~]#vi /etc/profile //适用于新登录用户 
……//省略部分内容
export TMOUT=600
[root@localhost~]#export TMOUT=600 //适用于当前用户

用户切换与提权

大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏，另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因，需要为普通用户提供一种身份切换或权限提升机制，以便在必要的时候执行管理任务。

Linux系统为我们提供了su、sudo两种命令，其中su命令主要用来切换用户，而sudo命令用来提升执行权限，下面分别进行介绍。

1.su命令-切换用户

(1)su 命令用法

使用su  命令，可以切换为指定的另一个用户，从而具有该用户的所有权限。当然，切换时需要对目标用户的密码进行验证(从root 用户切换为其他用户时除外)。

上述命令操作中，选项“-”等同于“-login”  或“-”,表示切换用户后进入目标用户的登录  Shell  环境，若缺少此选项则仅切换身份、不切换用户环境。对于切换为root 用户的情况“root”可以省略。

默认情况下，任何用户都允许使用su  命令，从而有机会反复尝试其他用户(如root)的登录密码，这样带来了安全风险。为了加强su  命令的使用控制，可以借助于pam_whee  l 认证模块，只允许极个别用户使用su命令进行切换。实现过程如下：将授权使用su命令的用户添加到wheel组，修改/etc/pam.d/su认证配置以启用pam_wheel认证。

[root@localhost~]# gpasswd -a tsengyia wheel //添加授权用户 tsengyia 
正在将用户“tsengyia”加入到“wheel”组中 
[root@localhost~]# grep wheel letc/group //确认wheel 组成员 
[root@localhost~]#vi /etc/pam.d/su auth sufficient pam_rootok.so auth required pam_wheel.so use_uid //去掉此行开头的 # 号

启用 pam_wheel  认证以后，未加入到 wheel 组内的其他用户将无法使用 su 命令，尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。

(2) PAM 安全认证

PAM(Pluggable     Authentication     Modules),  是 Linux 系统可插拔认证模块，是一种高效而且灵活便利的用户级别的认证方式，它也是当前 Linux 服务器普遍使用的认证方式。

PAM提供了对所有服务进行认证的中央机制，适用于login,远程登录(telnet,rlogin,fsh,ftp ), su  等应用程序中。系统管理员通过PAM 配置文件来制定不同应用程序的不同认证策略。

PAM认证原理如下所示：

> PAM 认证一般遵循的顺序： Service     ( 服 务 ) →PAM  ( 配 置 文 件 ) →pam_*.so;

> PAM 认证首先要确定哪一项服务，然后加载相应的PAM 的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security  下)进行安全认证；

> 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

2.sudo  命令-提升执行权限

通过su命令可以非常方便地切换为另一个用户，但前提条件是必须知道目标用户的登录密码。例如，若要从jerry用户切换为root用户，必须知道root 用户的密码。对于生产环境中的 Linux 服务器，每多一个人知道特权密码，其安全风险也就增加一分。

通过sudo执行特权命令

对于已获得授权的用户，通过sudo  方式执行特权命令时，只需要将正常的命令行作为sudo  命令的参数即可。由于特权命令程序通常位于/sbin 、/usr/sbin    等目录下，普通用户执行时应使用绝对路径。

系统引导和登录控制

限制更改GRUB引导参数

如果任何人都能够修改 GRUB    引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制，可以为GRUB  菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

为GRUB   菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2   ”命令生成，表现为经过 PBKDF2   算法加密的字符串，安全性更好。生成密码后在/etc/grub.d/00_header    配置文件中，添加对应的用户、密码等配置

使用 grub2-mkconfig     命令生成新的 grub.cfg   配置文件。

[root@localhost~]# grub2-mkconfig -o /boot/grub2/grub.cfg

终端及登录控制

在 Linux  服务器中，默认开启了六个tty  终端，允许任何用户进行本地登录。关于本地登录的安全控制，可以从以下几个方面着手。

1.禁止root用户登录

在Linux系统中,login程序会读取/etc/securetty文件，以决定允许root用户从哪些终端(安全终端)登录系统。若要禁止root  用户从指定的终端登录，只需从该文件中删除或者注释掉对应的行即可。

2. 禁止普通用户登录

当服务器正在进行备份或调试等维护工作时，可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在，如果存在，则拒绝普通用户登录系统 (root  用户不受限制)。

此方法实际上是利用了shutdown延迟关机的限制机制，只建议在服务器维护期间临时使用。当手动删除/etc/nologin文件或者重新启动主机以后，即可恢复正常

弱口令检测、端口扫描

弱口令检测     John the Ripper

在 Internet  环境中，过于简单的口令是服务器面临的最大风险。尽管大家都知道设置一个更长、更复杂的口令会更加安全，但总是会有一些用户因贪图方便而采用简单、易记的口令字串。对于任何一个承担着安全责任的管理员，及时找出这些弱口令账号是非常必要的，这样便于采取进一步的安全措施(如提醒用户重设更安全的口令)。

John the Ripper 是一款开源的密码破解工具，能够在已知密文的情况下快速分析出明文的密码字串，支持DES 、MD5 等多种加密算法，而且允许使用密码字典(包含各种密码 组合的列表文件)来进行暴力破解。通过使用 John the Ripper,  可以检测 Linux/UNIX 系统用户账号的密码强度。

1. 下载并安装 John  the  Ripper

John the Ripper 的官方网站是 John the Ripper password cracker通过该网站可以获取稳定版源码包

切换到 src 子目录并执行“make   clean   linux-x86-64”命令，即可执行编译过程。

2. 检测弱口令账号

在安装有John the Ripper 的服务器中，可以直接对/etc/shadow  文件进行检测。对于其他Linux服务器，可以对shadow 文件进行复制，并传递给john程序进行检测。只需执行run目录下的john 程序，将待检测的shadow文件作为命令行参数，就可以开始弱口令分析了。

[root@localhost src]# cp letc/shadow /root/shadow.txt //准备待破解的密码文件 
[root@localhost src]#cd ./run 按 Ctrl+C 组合键中止后续过程

在执行过程中，分析出来的弱口令账号将即时输出，第一列为密码字串，第二列的括号内为相应的用户名(如用户kadmin   的密码为“123456”)。默认情况下，john  将针对常见的弱口令设置特点，尝试破解已识别的所有密文字串，如果检测的时间太长，可以按Ctrl+C组合键强行终止。破解出的密码信息自动保存到john.pot    文件中，可以结合“--show” 选项进行查看。

3. 使用密码字典文件

对于密码的暴力破解，字典文件的选择很关键。只要字典文件足够完整，密码破解只是时间上的问题。因此，“什么样的密码才足够强壮”取决于用户的承受能力，有人认为超过72 小时仍无法破解的密码才算安全，也可能有人认为至少暴力分析一个月仍无法破解的密码才足够安全。

John the Ripper默认提供的字典文件为password.Iist, 其列出了3000多个常见的弱口令。如果有必要，用户可以在字典文件中添加更多的密码组合，也可以直接使用更加完整的其他字典文件。