系统安全及应用

账号安全控制

在 Linux 系统中，提供了多种机制来确保用户账号的正当、安全使用。

基本安全措施

1.系统账号清理

在Linux系统中，除了用户手动创建的各种账号外，还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户 root 之外，其他大量账号只是用来维护系统运作、启动或保持服务进程，一般是不允许登录的，因此也称为非登录用户账号。

常见的非登录用户：bin、deamon、adm、Ip、mail等。为了确保系统安全，这些用户账号的登录Shell通常是/sbin/nologin，表示禁止终端登录，应该确保不被人为改动，如：

各种非登录用户账号中，还有一部分是很少用到的，如games，可以视为冗余账号，直接删除即可。除了这些，还有一些随应用程序安装的用户账号，但是在应用程序卸载后未能自动删除，这些需要管理员手动清理。

对于长期不用且无法确认是否应该删除的用户账号，可以暂时锁定账号。使用passwd、usermod命令都可用来锁定或解锁账号，具体操作如下

从上到下的四行命令的作用分别是：锁定用户，查看用户状态，解锁用户，查看用户状态。

如果账号状态已经固定，不再进行更改，还可以采用锁定账号配置文件的的方法。使用chattr命令，分别结合“+i”、“-i”等来为账号添加、取消只读状态，使用lsattr命令可以查看文件状态，具体操作如下：

从上到下的四行命令的作用分别是：锁定文件，查看文件状态，解锁文件，查看文件状态。

在帐号文件被锁定的情况下，其内容将不允许变更，因此无法添加、删除账号，也无法更改用户的密码、登录Shell、宿主目录等属性信息

2.密码安全控制

管理员可以在服务器限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置密码，否则将拒绝登录。以此来降低密码被猜出或被暴力破解的风险。

执行以下操作可以将密码的有效期设置为30天（chage命令用于设置密码时限）。

在某些特殊情况下，00例如要求批量创建的用户在首次登录时必须自设密码，根据安全规划统一要求所有用户更新密码等，可以由管理员执行强制策略，以便用户在下次登陆时必须更改密码。以下操作可以要求用户在下次登录时重设密码：

3.命令历史、自动注销

Shell环境的命令历史机制为用户提供了很大的便利，但另一方面也为用户带来了潜在的风险。只要获得用户的命令历史文件，如果曾经在命令行输入过明文的密码，则会在无形之中为服务器的安全壁垒增加一个缺口。

在Bash终端环境中，历史命令的记录条数由变量HISTSIZE控制，默认1000条，可以通过修改/ect/profile文件终端HISTSIZE变量值，修改后可以影响系统中的所有用户。

具体操作为，使用vi或vim进入/etc/profile将HISTSIZE=1000修改为HISTSIZE=200，然后保存并退出。

还可以通过修改用户宿主目录中的~/3bash_logout文件，添加清空历史命令的操作。这样，当用户推出后，所有的历史命令都会自动清空。

在Bash终端环境中，还可以是设置一个闲置超时时间，当超过指定时间没有任何输入时即自动注销终端，这样可以尽量避免当管理员不在时其他人员对服务器的误操作风险。限制超时由变量TMOUT来控制，默认单位为秒（s）。

需要注意的是，当正在执行程序代码编译、修改系统配置等耗时较长的操作时，应避免

设置 TMOUT 变量。必要时可以执行 “unset TMOUT” 命令取消 TMOUT 变量设置。

用户切换与提权

Linux服务员一般不建议直接以root用户登录。好处是可以减少因误操作而导致的破坏和降低特权密码在不安全的网络中被泄露的风险。鉴于这些原因，需要为普通用户提供身份切换或权限提升机制，以便在必要的时候执行管理任 务。

1.su命令——切换用户

用法：使su命令可以从当前用户切换到另一个指定的用户，从而具有该用户的所有权限，除了从root用户切换到其他用户之外，使用其他用户进行切换需要对目标用户的密码进行验证。

切换到root用户的操作如下

在上述操作中“-”等同于“-login”或“-l”，表示切换用户后进入目标用户的登录 Shell 环境，若缺少此选项则仅切换身份、不切换用户环境。若是切换为root则“root”可以省略

为了防止其他用户通过su命令反复尝试其他用户的密码，为了加强su命令的使用控制，可以使用pam_wheel认证模块，只允许极个别用户能够使用su命令。

实现过程如下：将需要授权的用户添加到wheel组，然后修改文件/etc/pam.d/su的认证配置，启用pam_wheel认证。

进入到该文件后找到下图中的代码，删除前面的#号即可

2.sudo命令——提升执行权限

使用sudo可以提升执行权限，从而让普通用户获得一部分管理权限。不过，需要由管 理员预先进行授权，指定允许哪些用户以超级用户（或其他普通用户）的身份来执行哪些命令。

（1）在配置文件/etc/sudoers 中添加授权

sudo 机制的配置文件为/etc/sudoers，文件的默认权限为 440，需使用专门的 visudo 工具进行编辑。虽然也可以用 vi 进行编辑，但保存时必须执行“:w!”命令来强制操作

配置文件/etc/sudoers 中，授权记录的基本配置格式如下所示:

user MACHINE=COMMANDS

授权配置主要包括用户、主机、命令三个部分，即授权哪些人在哪些主机上执行哪些命

令。各部分的具体含义如下。

用户（ user ）：直接授权指定的用户名，或采用 “% 组名 ” 的形式（授权一个组的所有用户）。

主机（ MACHINE ）：使用配置文件的主机名称。此部分主要是方便在多个主机间共用同一份 sudoers 文件，一般设为 localhost 或者实际的主机名即可。

命令（ COMMANDS ）：允许授权的用户通过 sudo 方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,” 进行分隔。

（ 2 ）通过 sudo 执行特权命令

对于已获得授权的用户，通过 sudo 方式执行特权命令时，只需要将正常的命令行作为sudo 命令的参数即可。由于特权命令程序通常位于 /sbin 、 /usr/sbin 等目录下，普通用户执行时应使用绝对路径。以下操作验证了使用 sudo 方式执行命令的过程。

若要查看用户自己获得哪些 sudo 授权，可以执行 “sudo -l” 命令。未授权的用户将会得

到 “may not run sudo” 的提示，已授权的用户则可以看到自己的 sudo 配置。

系统引导和登录控制

当服务器所在的机房环境缺乏严格、安全的管控制度时，如何防止其他用户的非授权介入

开关机安全控制

1．调整 BIOS 引导设置

（1）将第一优先引导设备（First Boot Device）设为当前系统所在磁盘。

（ 2 ）禁止从其他设备（如光盘、 U 盘、网络等）引导系统，对应的项设为 “Disabled” 。

（3 ）将 BIOS 的安全级别改为 “setup” ，并设置好管理密码，以防止未授权的修改。

2．限制更改 GRUB 引导参数

从系统安全的角度来看，如果任何人都能够修改 GRUB 引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制，可以为 GRUB 菜单设置一个密码

为 GRUB 菜单设置的密码建议采用 “grub2-mkpasswd-pbkdf2” 命令生成，表现为经过

PBKDF2 算法加密的字符串，安全性更好。生成密码后在 /etc/grub.d/00_header 配置文件

中，添加对应的用户、密码等配置。具体操作如下

        首先在终端中输入grub2-mkpasswd-pbkdf2 ，会生成一串经过加密的密码字符串

        复制这串字符串，备份好/boot/grub2/grub.cfg.bak文件和/etc/grub.d/00_header.bak文件

        再将字符串加入到/etc/grub.d/00_header.bak文件的的末尾

        最后使用 grub2-mkconfig 命令生成新的 grub.cfg 配置文件

        grub2-mkconfig -o /boot/grub2/grub.cfg

通过上述配置，重新开机进入 GRUB 菜单时，按 E 键将无法修改引导参数。若要获得

编辑权限，必须根据提示输入正确的 GRUB 密码

终端及登录控制

关于本地登录的安全控制，可以从以下几个方面着手。

1．禁止 root 用户登录

在 Linux 系统中，login 程序会读取/etc/securetty 文件，以决定允许 root 用户从哪些终端（安全终端）登录系统。若要禁止 root 用户从指定的终端登录，只需从该文件中删除或者注释掉对应的行即可。例如，若要禁止 root 用户从 tty5、tty6 登录，可以修改/etc/securetty文件，将 tty5、tty6 行注释掉。

2.禁止普通用户登录

如果不希望普通用户登录，只需要创建一个/etc/nologin文件即可。login 程序会检查/etc/nologin 文件是否存在，如果存在，则拒绝普通用户登录系统（root 用户不受限制）。

touch /etc/nologin

弱口令检测、端口扫描

弱口令检测——John the Ripper

John the Ripper 是一款开源的密码破解工具，能够在已知密文的情况下快速分析出明 文的密码字串，支持 DES、MD5 等多种加密算法，而且允许使用密码字典（包含各种密码 组合的列表文件）来进行暴力破解。通过使用 John the Ripper，可以检测 Linux/UNIX 系统用户账号的密码强度。

1．下载并安装 John the Ripper

可以去John the Ripper的官网http://www.openwall.com/john/来获取文件的的源码包，如john-1.8.0.tar.gz。

以john-1.8.0.tar.gz举例，解压后可以看到三个子目录———doc、run、src，分别表示手册文档、运行程序、源码文件，除此之外还有一个链接的说明文件README。

切换到 src 子目录并执行“make clean linux-x86-64”命令，即可执行编译过程。编译完成以后，run 子目录下 会生成一个名为 john 的可执行程序。

2．检测弱口令账号

在安装有 John the Ripper 的服务器中，可以直接对 /etc/shadow 文件进行检测。对于

其他 Linux 服务器，可以对 shadow 文件进行复制，并传递给 john 程序进行检测。只需执

行 run 目录下的 john 程序，将待检测的 shadow 文件作为命令行参数，就可以开始弱口令

分析了。

在执行过程中，分析出来的弱口令账号将即时输出，第一列为密码字串，第二列的括号

内为相应的用户名。默认情况下，john 将针对常见的弱口令设置特点，尝试破解已识别的所有密文字串，如果检测的时间太长，可以按 Ctrl＋C组合键强行终止。破解出的密码信息自动保存到 john.pot 文件中，可以结合“--show”选项进行查看

3.使用密码字典文件

John the Ripper 默认提供的字典文件为 password.lst ，其列出了 3000 多个常见的弱口 令。如果有必要，用户可以在字典文件中添加更多的密码组合，也可以直接使用更加完整的 其他字典文件。执行 john 程序时，可以结合 “--wordlist=” 选项来指定字典文件的位置，以便 对指定的密码文件进行暴力分析。

网络扫描——NMAP

1.安装NAMP软件包

在 CentOS 7 系统中，既可以使用光盘自带的 nmap-6.40-7.el7.x86_64.rpm 安装包，

也可以使用从 NMAP 官方网站下载的最新版源码包，下面命令使用yum进行安装

yum -y install nmap

2．扫描语法及类型

NMAP 的扫描程序位于/usr/bin/nmap 目录下，使用时基本命令格式如下所示。

nmap [扫描类型] [选项] <扫描目标...>

其中，扫描目标可以是主机名、 IP 地址或网络地址等，多个目标以空格分隔；常用的 选项有“-p”“-n” ，分别用来指定扫描的端口、禁用反向 DNS 解析（以加快扫描速度）；扫描类型决定着检测的方式，也直接影响扫描的结果。

常用的扫描类型如下：

-sS ， TCP SYN 扫描（半开扫描）：只向目标发出 SYN 数据包，如果收到 SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放。

-sT ， TCP 连接扫描：这是完整的 TCP 扫描方式，用来建立一个 TCP 连接，如果

成功则认为目标端口正在监听服务，否则认为目标端口并未开放。

-sF ， TCP FIN 扫描：开放的端口会忽略这种数据包，关闭的端口会回应 RST 数 据包。许多防火墙只对 SYN 数据包进行简单过滤，而忽略了其他形式的 TCP 攻 击包。这种类型的扫描可间接检测防火墙的健壮性。

-sU ， UDP 扫描：探测目标主机提供哪些 UDP 服务， UDP 扫描的速度会比较慢。

-sP ， ICMP 扫描：类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描。

-P0 ，跳过 ping 检测：这种方式认为所有的目标主机是存活的，当对方不响应 ICMP 请求时，使用这种方式可以避免因无法 ping 通而放弃扫描。