账号安全控制
基本安全措施
1.系统账号清理
在Linux系统中,除了用户手动创建的各种账号外,还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户 root 之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登录的,因此也称为非登录用户账号。
常见的非登录用户:bin、deamon、adm、Ip、mail等。为了确保系统安全,这些用户账号的登录Shell通常是/sbin/nologin,表示禁止终端登录,应该确保不被人为改动,如:
各种非登录用户账号中,还有一部分是很少用到的,如games,可以视为冗余账号,直接删除即可。除了这些,还有一些随应用程序安装的用户账号,但是在应用程序卸载后未能自动删除,这些需要管理员手动清理。
对于长期不用且无法确认是否应该删除的用户账号,可以暂时锁定账号。使用passwd、usermod命令都可用来锁定或解锁账号,具体操作如下
从上到下的四行命令的作用分别是:锁定用户,查看用户状态,解锁用户,查看用户状态。
如果账号状态已经固定,不再进行更改,还可以采用锁定账号配置文件的的方法。使用chattr命令,分别结合“+i”、“-i”等来为账号添加、取消只读状态,使用lsattr命令可以查看文件状态,具体操作如下:
从上到下的四行命令的作用分别是:锁定文件,查看文件状态,解锁文件,查看文件状态。
在帐号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也无法更改用户的密码、登录Shell、宿主目录等属性信息
2.密码安全控制
管理员可以在服务器限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。以此来降低密码被猜出或被暴力破解的风险。
执行以下操作可以将密码的有效期设置为30天(chage命令用于设置密码时限)。
在某些特殊情况下,00例如要求批量创建的用户在首次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登陆时必须更改密码。以下操作可以要求用户在下次登录时重设密码:
3.命令历史、自动注销
Shell环境的命令历史机制为用户提供了很大的便利,但另一方面也为用户带来了潜在的风险。只要获得用户的命令历史文件,如果曾经在命令行输入过明文的密码,则会在无形之中为服务器的安全壁垒增加一个缺口。
在Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认1000条,可以通过修改/ect/profile文件终端HISTSIZE变量值,修改后可以影响系统中的所有用户。
具体操作为,使用vi或vim进入/etc/profile将HISTSIZE=1000修改为HISTSIZE=200,然后保存并退出。
还可以通过修改用户宿主目录中的~/3bash_logout文件,添加清空历史命令的操作。这样,当用户推出后,所有的历史命令都会自动清空。
在Bash终端环境中,还可以是设置一个闲置超时时间,当超过指定时间没有任何输入时即自动注销终端,这样可以尽量避免当管理员不在时其他人员对服务器的误操作风险。限制超时由变量TMOUT来控制,默认单位为秒(s)。
用户切换与提权
Linux服务员一般不建议直接以root用户登录。好处是可以减少因误操作而导致的破坏和降低特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供身份切换或权限提升机制,以便在必要的时候执行管理任 务。
1.su命令——切换用户
用法:使su命令可以从当前用户切换到另一个指定的用户,从而具有该用户的所有权限,除了从root用户切换到其他用户之外,使用其他用户进行切换需要对目标用户的密码进行验证。
切换到root用户的操作如下
在上述操作中“-”等同于“-login”或“-l”,表示切换用户后进入目标用户的登录 Shell 环境,若缺少此选项则仅切换身份、不切换用户环境。若是切换为root则“root”可以省略
为了防止其他用户通过su命令反复尝试其他用户的密码,为了加强su命令的使用控制,可以使用pam_wheel认证模块,只允许极个别用户能够使用su命令。
实现过程如下:将需要授权的用户添加到wheel组,然后修改文件/etc/pam.d/su的认证配置,启用pam_wheel认证。
进入到该文件后找到下图中的代码,删除前面的#号即可
2.sudo命令——提升执行权限
使用sudo可以提升执行权限,从而让普通用户获得一部分管理权限。不过,需要由管 理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。
(1)在配置文件/etc/sudoers 中添加授权
sudo 机制的配置文件为/etc/sudoers,文件的默认权限为 440,需使用专门的 visudo 工具进行编辑。虽然也可以用 vi 进行编辑,但保存时必须执行“:w!”命令来强制操作
配置文件/etc/sudoers 中,授权记录的基本配置格式如下所示:
user MACHINE=COMMANDS
![](https://img-blog.csdnimg.cn/direct/1ebe8eff753e45d1a7ed6ffb69f38e2c.png)
![](https://img-blog.csdnimg.cn/direct/9bba8576a1d1417aab428bc7e7c3c506.png)
系统引导和登录控制
当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他用户的非授权介入
开关机安全控制
1.调整 BIOS 引导设置
(1)将第一优先引导设备(First Boot Device)设为当前系统所在磁盘。
2.限制更改 GRUB 引导参数
从系统安全的角度来看,如果任何人都能够修改 GRUB 引导参数,对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制,可以为 GRUB 菜单设置一个密码
终端及登录控制
关于本地登录的安全控制,可以从以下几个方面着手。
1.禁止 root 用户登录
在 Linux 系统中,login 程序会读取/etc/securetty 文件,以决定允许 root 用户从哪些终端(安全终端)登录系统。若要禁止 root 用户从指定的终端登录,只需从该文件中删除或者注释掉对应的行即可。例如,若要禁止 root 用户从 tty5、tty6 登录,可以修改/etc/securetty文件,将 tty5、tty6 行注释掉。
2.禁止普通用户登录
如果不希望普通用户登录,只需要创建一个/etc/nologin文件即可。login 程序会检查/etc/nologin 文件是否存在,如果存在,则拒绝普通用户登录系统(root 用户不受限制)。
touch /etc/nologin
弱口令检测、端口扫描
弱口令检测——John the Ripper
John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明 文的密码字串,支持 DES、MD5 等多种加密算法,而且允许使用密码字典(包含各种密码 组合的列表文件)来进行暴力破解。通过使用 John the Ripper,可以检测 Linux/UNIX 系统用户账号的密码强度。
1.下载并安装 John the Ripper
可以去John the Ripper的官网http://www.openwall.com/john/来获取文件的的源码包,如john-1.8.0.tar.gz。
以john-1.8.0.tar.gz举例,解压后可以看到三个子目录———doc、run、src,分别表示手册文档、运行程序、源码文件,除此之外还有一个链接的说明文件README。
切换到 src 子目录并执行“make clean linux-x86-64”命令,即可执行编译过程。编译完成以后,run 子目录下 会生成一个名为 john 的可执行程序。
2.检测弱口令账号
![](https://img-blog.csdnimg.cn/direct/421b8471b1624fa999704549e4b133a5.png)
![](https://img-blog.csdnimg.cn/direct/8f90002b495e435aba5d3f36439bbc36.png)
3.使用密码字典文件
网络扫描——NMAP
1.安装NAMP软件包
2.扫描语法及类型
NMAP 的扫描程序位于/usr/bin/nmap 目录下,使用时基本命令格式如下所示。
nmap [扫描类型] [选项] <扫描目标...>