系统安全及应用

账号安全控制

系统账号清理

1. 将非登录用户的shell设为不可登陆

   usermod -s /sbin/nologin 用户名   ##禁止用户登录
   usermod -s /bin/false 用户名  ###禁止用户登录
   

2. 锁定长期不使用的账号

   usermod -L 用户名   ##锁定用户账户
   passwd -l 用户名   ##锁定用户账户
   passwd -u 用户名   ##解锁用户账户
   

3. 删除无用的账号

   userdel [-r] 用户名 
   

4. 锁定账号文件

   chattr +i /etc/passwd /etc/shadow  ##锁定账号文件
   lsattr /etc/passwd /etc/shadow  ##查看账号文件
   chattr -i /etc/passwd /etc/shadow  ##解锁账号文件
   

密码安全控制

1. 设置密码有效期

   vi etc/login.defs (新建用户)
   chage -M 30 test (已有用户)
   

2. 要求用户下次登陆时更改密码

   chage -d 0 test
   
   

3. 命令历史限制

   减少记录的命令条数:
   1. history -c   ##暂时删除，重启又恢复了
   2. vi /etc/profile
   登陆时自动清空历史命令：
   3. vi ~/.bashrc
   
   

4. 终端自动注销

    vi /etc/profile   ##修改配置文件
     export TMOUT=600   ##闲置600秒后自动注销
     source /etc/profile  ##刷新配置文件
   
   

su命令切换用户

1. 用途及用法

   • 用途：切换用户

   • 格式：

     su -目标用户 切换到目标用户的家目录
     su 目标用户 还是本用户的家目录

2. 密码验证

   • root切换到任意用户，不验证密码
   • 普通用户切换到其他用户，验证目标用户的密码

3. 限制使用su命令切换用户

   • 第一步：.将允许使用su命令的用户加入wheel组

     gpasswd -a zhangsan wheel ##将zhangsan用户添加到wheel组中
     
     

   • 第二步启用pam_wheel认证模块

     vim /etc/pam.d/su   ##修改su所在的配置文件
     auth sufficient pam_rootok.so
     ##root用户默认开启，不用修改
     原（#auth required pam.wheel.so use_uid）
     改 ~~#~~auth required pam.wheel.so use_uid 
     ##把#去掉，开启认证，使wheel组里的用户可以切换其他用户
     

// auth sufficient pam_rootok.so
// #auth required pam.wheel.so use_uid

- 以上两行是默认状态（即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
- 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户
需要输入密码:如果第一行不注释，则root使用su切换普通用户就不需要输入
密码(pam rootok.so模块的主要作用是使uid为o的用户，即 root用户能够
直接通过认证而不用输入密码。）
- 如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。
- 如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

• 查看日志文件
  • cat /var/log/secure

PAM认证的构成

• 查看某个程序是否支持PAM认证，可以用 ls 命令

  ls /etc/pam.d | grep su

• 查看su的PAM配置文件：cat /etc/pam.d su

  • 每一行都是一个独立的认证过程
  • 每一行可以区分为三个字段
    • 认证类型
    • 控制类型
    • PAM模块及其参数

PAM安全用户

• su命令的安全隐患
  • 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
  • 为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

PAM可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式 也是当前Linux服务器普遍使用的认证方式

PAM认证原理

• 一般遵循的规律： Service（服务）→ PAM（配置文件）→ pam_*.so

• 首先要确定哪一项服务，然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下)，最后调用认证文件(位于 /lib64/security 下)进行安全认证

• 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证

• 不同的应用程序所对应的 PAM 模块是不同的

• 如果想要查看某个程序是否支持 PAM 认证，可以使用 ls 命令，进行查看 /etc/pam.d/

• 第一列代表PAM认证模块类型

  内容	解释
  auth	对用户身份进行识别，如提示输入密码，判断是否为root
  account	对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否到达最大用户数等
  password	使用用户信息来更新数据，如修改用户密码
  session	定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统

• 第二列代表PAM控制标记

  内容	解释
  required	表示需要返回一个成功值，如果返回失败，不会立即将失败结果返回，而是继续进行同类型的下一步验证，所有此类型的模块都执行完成后，再返回失败
  requisite	与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
  sufficient	如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
  optional	不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型)
  include	表示在验证过程中调用其他的 PAM 配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项

• 第三列代表PAM模块

  • 默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径
  • 同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数

• 第四列代表PAM模块的参数

  • 根据所使用的模块进行添加，默认为空
  • 传递给模块的参数，参数可以有多个，之间用空格分隔开

PAM安全认证流程

1. required验证失败时仍然继续，但返回Fail
2. requisite验证失败则立即结束整个验证过程，返回Fail
3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4. optional不用于验证，只显示信息(通常用于session类型)

使用sudo机制提升权限

• su命令的缺点
  • 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
• sudo的用途和用法
  • 用途：以其他用户身份（如root）执行授权的命令
  • 用法：sudo 授权命令

配置sudo授权

• visudo或者vi /etc/sudoers

• 记录格式：

  • 用户 主机名=命令程序列表

  • 用户 主机名=（用户） 命令程序列表

    注：记录格式可使用通配符

    1. *代表表示所有
    2. ！代表取反符号，表示排除

• 记录说明

记录组成部分	说明
用户	直接授权指定的用户名，或采用“组名"的形式(权一个组的所有用户)
主机名	使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
（用户）	用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
命令程序列表	允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令

• 具体操作

  zhangsan ALL=/sbin/ifconfig  ##张三在所有主机上都能使用ifconfig命令
  lisi localhost=/sbin/*.!/sbin/reboot  ##李四在本机上能使用/sbin目录下的命令（除了重启）
  %wheel ALL=NOPASSWD: ALL  ##wheel成员不用密码就可执行sudo命令
  
  User_Alias USERS=zhangsan.lisi.test
  Host_Alias HOSTS=localhost  ##设置别名
  Cmnd_Alias CMNDS=/sbin/ifconfig.user/sbin/useradd
  USERS HOSTS=CMNDS  ##设置别名(CMND)时，一定要激活配置
  

  ##设置别名后，test用户也能使用sudo命令获取网卡

查看sudo操作记录

• 第一步visudo进入配置文件

• 第二步添加默认日志文件

• 第三步查看（cat）

  Defaults logfile="/var/log/sudo" ##配置日志文件
  cat /var/log/sudo  ##查看sudo命令记录
  

查询授权的sudo操作

• sudo -l

统引导和登陆控制

调整BIOS引导设置

1. 将第一引导设备设为当前系统所在盘
2. 禁止从其他设备（光盘、U盘、网络）引导系统
3. 将安全级别设为setup，并设置管理员密码

开关机安全控制

• 调整BIOS引导设置
  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘·网络)引导系统
  • 将安全级别设为setup，并设置管理员密码

GRUB限制

• 概述：通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB参数，这对服务器是一个极大的威胁。这样我们可以为GRUB菜单设置一个密码，就能提高安全性了

简要操作

1. 使用 grub2-mkpasswd-pbkdf2 密钥
2. 修改 /etc/grub.d/00_header 件中，添加密码记录
3. 生成新的 grub.cfg 配置文

具体操作

grub2-mkpasswd-pbkdf2  ##获取加密密码
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak ##复制一下文件
vim /etc/grub.d/00_header.bak  ##进入grub菜单的配置文件
把获取的密码添加进配置文件进行加密
grub2-mkconfig -o /boot/grub2/grub.cfg  ##生成新的配置文件

终端登陆安全控制

• 限制root只在安全终端登陆（/etc/securetty）

  vi /etc/securetty  ##进入配置文件
  限制那份终端就在前面添加#
  

• 限制普通用户

  1. 建立/etc/nologin文件
  2. 删除nologin文件或重启即可恢复

  touch /etc/nologin
  rm -rf /etc/nologin
  

系统弱口令检测

Joth the Ripper ，简称JR

1. 一款密码分析工具，支持字典式的暴力破解
2. 通过对 shadow 文件的口令分析，可以检测密码强度
3. 官网网站：http://www.openwall.com/john/

安装JR工具

1. 安装方法：make clean 系统类型
2. 主程序文件为 john

检测弱口令账号

1. 获得Linux/Unix服务器的shadow文件
2. 执行john程序，将shadow文件作为参数

密码文件的暴力破解

1. 准备好密码字典文件，默认为password.lst
2. 执行john程序，结合–wordlist=字典文件

具体步骤

cd /opt
rz -E    ##导入压缩包
tar zxvf john-1.8.0/src.tar.gz  ##解压压缩包
yum install -y gcc gcc-c++ make  ##编译安装yum必须的插件
cd john-1.8.0/src  ##切换目录
make clean linux-x86-64  ##编译安装
cp /etc/shadow /opt/shadow.txt  ##复制密码文件
./john /opt/shadow.txt  ##暴力破解
./john --show /opt/shadow.txt
> john.pot  ##清空已破解的账户
./john --wordlist=./passwd.list /opt/shadow.txt  ##使用字典破解密码
vim password.lst  ##进入密码表，手动添加密码

端口扫描

网络扫描：NMAP

• 一款强大的网络扫描、安全检测工具
• 安装：rpm -qa |grep nmap 或者 yum install -y nmap

NMAP常用的选项和扫描类型

选项	说明
-p	指定扫描端口
-n	禁用反向DNS解析（以加快扫描速度）
-sS	TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放
-sT	TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务；否则认为目标端口并未开放
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU	UDP扫描，探测目标主机提供哪些UDP服务， UDP扫描的速度会比较慢
-sP	ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放弃扫描

查看本机开放的端口

nmap -sT 127.0.0.1 ##TCP端口

nmap -sU 127.0.0.1 ##UDP端口

检测主机

1. 检测192.168.10.0/24网段有哪些主机提供http服务
   nmap -p 80 192.168.10.0/24
2. 检测192.168.10.0/24网段有哪些存活主机
   nmap -n -sP 192.168.10.0/24

控制台命令 netstat

• 常用格式

  • netstat -natp 查看正在运行的使用TCP协议的网络状态信息
  • netstat -naup 查看正在运行的使用UDP协议的网络状态信息

• 常用选项

  选项	说明
  -a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
  -n	以数字的形式显示相关的主机地址、端口等信息
  -t	查看TCP协议相关的信息 -u显示UDP协议相关的信息
  -p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
  -r	显示路由表信息
  -l	显示处于监听状态的网络连接及端口信息