Linux系统安全入门
1. 起源与属性
- 1991年由芬兰大学生开创
- 是源代码开放的UNIX的分支
- Linux的发行遵循GNU的通用公共许可证
2. 内核说明
- 组成方式: 主版本号.次版本号.修订次数
- 如: 2.4.17
3. 重要目录(宗旨:一切皆文件)
- bin : 底下的指令可以被任何用户使用
- boot : 开机配置文件,核心文件等
- etc : 主要配置文件,用户管理员的账号密码,各种服务的启动脚本
- home:默认的用户家目录
- lib: 函数库
- media : 放置的是可以出的装备,软盘,光盘,DVD等暂时挂载于此的
- opt : 给第三方协力软件放置的目录
- root : 系统管理员目录
- sbin : 包括了开机,修复,还原系统的指令
- srv : 可视为service的缩写,是一些网路服务启动之后,服务所需取用的数据目录
- tmp : 让使用者,或者正在执行的程序暂时放置的地方
4. 重要子目录
- /usr/lib : 软件的函数库,目标文件,不常用脚本
- /usr/local : 本机自行下载安装的软件
- /var/lib : 程序本身执行的过程中,需要使用到的数据文件放置的目录
- /var/log : 登陆文件放置的目录,里面比较重要的文件如:
a) /var/log/messages (记录登陆者的信息)
b) /var/log/wtmp
5. 重要文件解读
- /etc/passwd:
- test: x :501:501:test user:/home/test:bin/bash
- 1 . test :用户名称,和用户UID对应,这是用户登录时使用的账号名称,在系统中是唯一的,不能重复。
- 2 .x :密码的代表字符,由于安全原因,把这个密码字段内容移动到/etc/shadown中,这里可以看到一个字母表示该用户密码在/etc/shadown中保护
- 3 .501:UID 用户ID,在系统中是唯一的。,范围是0~65535
- 4 .501:GID 用户组ID(Group ID),范围是0~65535
- 5 .test user :用户全名
- 6 ./home/test :用户登录后首先进入的目录,一般为(/home/用户名)这样的目录
- 7 ./bin/bash :用户shell,即当前用户登录后所使用的shell,在centos/rhel等linux中,默认的shell为bash,就是在这里设置的。如果不希望用户登录系统,可以用个usermod或者手工修改passwd配置,将该字段改为/sbin/nologin即可。如果仔细看passwd文件,会发现大部分内置系统虚拟账号的这个字段都是/sbin/nologin,表示禁止登录系统,这是出于安全考虑的。
- /etc/shadow
- test: 1 1 1uw5trwWW8$ZME0pmArsfjkdlERadW1:14780:0:99999:7:::
- 1 .test :用户名
- 2 .1 : 加密算法类型(1:md5,5:SHA256,6:SHA512)
- 3 .uw5trwWW8 :salt(加盐,随机数)
- 4 .ZME0pmArsfjkdlERadW1 :密文
- 5 .14780 : 最后一次的密码修改时间(距日期1970.1.1的天数)
- 6 .0 : 密码使用天数
- 7 .99999 : 密码多少天过期
- 8 .7 :密码过期前几天提醒
- 9 . 过期后锁定
- 10 .密码锁定时间 (距日期1970.1.1的天数)
- 11 .
6. linux用户类型
- 第一类:root(超级管理员),UID为0,这个用户有极大的权限,可以直接无视很多的限制,包括读写执行的权限。
- 第二类:系统用户,UID为1~499。一般是不会被登入的。
- 第三类就是普通用户,UID范围一般是500~65534。这类用户的权限会受到基本权限的限制,也会受到来自管理员的限制。不过要注意nobody这个特殊的帐号,UID为65534,这个用户的权限会进一步的受到限制,一般用于实现来宾帐号。
7. 用户命令
- 创建用户 useradd
1 . 创建特定组的用户并设置密码
2 . # useradd esuser -g esgroup -p espassword- 创建组 groupadd # groupadd esgroup
- 更改文件所有权 chown
1 . # chown -R esuser:esgroup /opt/software/elasticsearch/elasticsearch-7.2.0- 更改组所有权 chgrp
1.把文件 asd 的权限由esuser改为root
2 . sudo chgrp root file1- 设置权限(读写执行权限) chmod
- 权限赋予 sudo
- 添加用户 useradd
- 删除用户 userdel -r
- 锁定用户 passwd -l
- 用户属性 usermod
- 查询已经登录系统的用户–w
1 . USER :当前登录的用户名称
2 . TTY :分配给用户的会话终端.ttyX表示控制台登录, pts/X和ttypX表示网络连接
3 . FROM :远程登录主机的ip地址
4 .LOGIN@ :登录用户的本地起始时间
5 .IDLE :最近一个进程运行开始算起的时间长度
6 .JCPU :该网络连接或控制台全部进程所有的时间
7 .PCPU :WHAT栏中进程所使用的处理器时间
8 .WHAT :用户正在运行的进程
8. 端口命令
- 查看端口开放情况
1.netstat -pan 查看当前开放的端口
ii. lsof -I 显示进程和端口对应关系(根据PID对应端口)
iii. ps -aux 查看进程
9. 服务命令
- 服务信息
1 . chkconfig –list 查看服务启动的信息
2 . 各种服务的启动脚本存放在 /etc/init.d 和 /etc/xinetd.d目录下
3 . 六种运行模式 : 0 1 2 3 4 5 6
4 . 若都为off 说明所有的模式都不会自动运行,需要手动启动
10. 安全配置(常规加固)
- a) 管理重要目录和文件权限的方法
- 检查权限 : ls -l
- 对重要文件,目录 进行仅root可读可写权限,如下:
1 .chmod -R 750 /etc/rc.d/init.d/*- 权限说明
- 处理umak值
1 .说明:umask值用于设置用户在创建文件时的默认权限,当我们在系统中创建目录或文件时,目录或文件所具有的默认权限就是由umask值决定的。对于root用户,系统默认的umask值是0022;对于普通用户,系统默认的umask值是0002。执行umask命令可以查看当前用户的umask值。
2 .设置默认的umask值,增强安全性
3 .加固方法:使用命令 “vi /etc/profile” 修改配置文件,添加 “umask 027”,即新建的文件属性读写执行权限,同组用户读和执行权限,其他用户无权限,使用命令”umask027” 应用设置
- Bash历史命令
a) 防止他人通过保留的历史命令了解系统信息
b) 检查方法:
i. 使用命令cat /etc/profile|grp HISTSIZE 或者 cat /etc/profile|grep HISTFILESIZE= 查看保留历史命令的条数
c) 加固方法:
i. vi /etc/profile 修改成 HISTSIZE=5 HISTFILESIZE=5 只保留五条
- 登陆超时,设置超时时间
a) 检查方法
i. cat /etc/profile|grep TMOUT
b) 加固方法
i. vi /etc/profile 添加 UT=180 为3分钟超时
11. 账户安全
- 禁用无用账号
a) 检查方法- 使用 cat /etc/passwd 查看口令文件 不需要登陆的,应该是/sbin/nologin
b) 加固方法- passwd -l 用户名 //锁定不必要的账号
- 账号策略
a) 检查方法- 使用 cat /etc/pam.d/ system-auth 查看噢诶之文件
b) 加固方法- 如 : 设置连续10次密码错误,锁定账号五分钟
- 修改vi /etc/pam.d/ system-auth
- 添加命令 auth required pam_tally.so onerr=fail deny=10 unlock_time=300
- 检查特殊账号(awk 行处理器)
a) 检查方法- 使用 awk -F:’($2=="")’ /etc/shadow 查看空口令账号
- 使用 awk -F:’($3==0)’ /etc/shadow 查看UID为0的账号
b) 加固方法- passwd 用户名 为空口令设置密码
只有root用户可以UID为0 其他的需要更改为非0 :usermod -u UID 用户名
12. vim操作
操作命令 | 命令说明 |
---|---|
q | 退出程序 |
w | 保存 |
! | 强制 |
:wq | 储存后离开,若为 :wq! 则为强制储存后离开 (常用) |
a | 所在字符后转化为输入模式 |
A | 移动到这一行的最后面字符处(常用) |
o | 所在字符下方新建一行,并且转化为输入模式 |
O | 所在字符上方新建一行,并且前转化为输入模式 |
x | 删除当前光标所在字符 |
s | 删除当前光标所在字符,并且前转化为输入模式 |
dd | 删除一行 |
yy | 复制一行 |
p | 粘贴 |
r | 替换光标处的字符 |
$ | 或功能键[End] 移动到这一行的最后面字符处 |
0 | 或功能键[Home] 数字0:移动到这一行的最前面字符处 |
/ | 正则 所在位置向后查找 |
? | 正则 所在位置向前查找 |
n | 重复前一个搜索动作 |
N | 搜寻动作后退 |
13. uname命令(渗透提权常用)
14.ls命令
操作命令 | 命令说明 |
---|---|
-a | 显示所有文件及目录 (. 开头的隐藏文件也会列出) |
-l | 除文件名称外,亦将文件型态、权限、拥有者、文件大小等资讯详细列出 |
-r | 将文件以相反次序显示(原定依英文字母次序) |
-t | 将文件依建立时间之先后次序列出 |
-A | 同 -a ,但不列出 “.” (目前目录) 及 “…” (父目录) |
-F | 在列出的文件名称后加一符号;例如可执行档则加 “*”, 目录则加 “/” |
-R | 若目录下有文件,则以下之文件亦皆依序列出 |
ls -ltr com* | 列出当前工作目录下所有名称是 com 开头的文件,越新的排越后面 (常用) |
ll | 查看目录详情 |
15.基本操作
操作命令 | 命令说明 |
---|---|
cd | 变换目录 |
pwd | 显示当前目录位置 |
mkdir | 穿件一个新的目录 |
rmdir | 删除一个空目录 |
echo hello word > 123.txt | 把字符 hello word储存进123.txt文件中 |
date - d “10 day ago” | 设置系统时间为十天前 |
dare -s “20210101” | 设置系统时间为2021年1月1日 |
init0 | 关机 |
init3 | 完全多用户模式 |
init5 | 切换到图形界面 |
init6 | 重启 |
top | 查看当前进程信息 |
ps | 查看当前进程信息 |
ifconfig | 查看网络状态信息, eth0 : 当前使用的虚拟网卡 |
who | 查看当前登录主机用户 |
id | 查看当前登录主机用户 |
whoami | 查看当前登录主机用户 |
history | 显示示历史执行过的命令,可用 ! + 命令前数字标记,执行 |