系统安全及应用
账号安全基本措施
系统账号清理
1、将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
2、锁定长期不使用的账号
usermod -L 用户名
或
passwd -l 用户名
3、查看账号
passwd -S 用户名
4、删除无用的账号
userdel [-r] 用户名
5、锁定账号文件passwd、shadow
chattr +i /etc/passwd 或者 /etc/shadow
lsatter /etc/passwd 或者 /etc/shadow 查看状态
chattr -i /etc/passwd/etc/shadow 解锁文件
密码安全控制
设置密码有效期
新用户:
#vim /etc/login.defs
PASS_MAX_DAYS 30
老用户:
#chage -M 30 lisi
要求用户下次登陆时修改密码
#chage -d 0 zhangsan
命令历史限制
1、减少记录的命令条数:
#vi/etc/profile
export HISTSIZE=50 减少命令到50条
2、登陆时自动清空命令历史:
#vi ~/.bashrc
echo " " > .bash_history
3、终端自动注销:
#vi /etc/profile
export TMOUT=180 闲置180秒后自动注销
使用su命令切换用户
用途及用法
用途:Substitute User,切换用户
格式:
su -目标用户
密码验证
root——任意用户,不验证密码
普通用户——其他用户,验证目标用户的密码
$su -root [-]选项表示将使用目标用户的登陆Shell环境
#whoami
限制使用su命令的用户
1、将允许使用su命令的用户加入wheel组
2、启用pam_wheel认证模块
#gpasswd -a zhangsan wheel
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok.so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码。
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令。
d)如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令。
:开启即把此行开头的#去掉,注释是将此行开头加上#
gpasswd -a zhangsan wheel #添加授权用户 zhangsan到wheel组中
groups zhangsan
vim /etc/pam.d/su
启用pam_wheel认证后,未加入到wheel组内的其他用户将无法使用su命令
PAM认证原理
1、一般遵循的顺序
Service(服务)——PAM(配置文件)——pam_*.so
2、首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
3、用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
4、不同的应用程序所对应的PAM模块是不同的
使用sudo机制提升权限
sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:
sudo 授权命令
配置sudo授权
visudo
或
vi /etc/sudoers
语法格式:
用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表
用户:直接授权指定的用户名,或采用"%组名"的形式(授权一个组的所有用户)
主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,R.JE则代表所有主机(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号",进行分隔。ALL则代表系统中的所有命令7
zhangsan ALL=/sbin/ifconfig zhangsan这个用户可以在任何主机上使用ifconfig这个命令
lisi localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff 通配符“*”表示所有、通配符“!”表示取反排除
lisi这个用户可以执行/sbin这个目录里所有操作。除了reboot重启和poweroff关机
%wheel ALL=NOPASSWD:ALL 表示wheel组成员无需验证即可使用sudo执行任何命令
Mike ALL=(root)NOPASSWD:/bin/kill,/usr/bin/killall
使用关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置别名(别名必须大写)
Host_Alias HOSTS=localhost,centos3
User_Alias USERS=TOM,Jerry,zhangsan
Cmnd_Alias CMNDS=/sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init
USERS HOSTS=CMNDS
启用sudo操作日志
visudo
Defaults logfile = "/var/log/sudo"
限制更改GRUB引导参数
通产不过情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器时一个极大的威胁。
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
grub2-mkpasswd-pbkdf2 根据提示设置GRUB菜单的密码
PBKDF2 hash of your passwd is …… 省略部分内容为经过加密生成的密码字符串
cp /boot/grub2/grub.cfg/boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak 也可以不备份
vim /etc/grub.d/00_header
cat <<EOF
set superusers="root" 设置用户名为root
passwd_pbkdf2 root grub.pbkdf2…… 设置密码,省略部分内容为经过加密生成的密码字符串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg 生成新的grub.cfg文件
重启系统进入GRUB菜单时,按e键将需要输入账号密码才可以i需改引导参数
终端登陆安全控制
限制root只在安全终端登陆
安全终端配置:/etc/securetty
#vi /etc/securetty
……
#tty5 禁止root用户从终端tty5、tty6登陆
#tty6
禁止普通用户登陆
1、建立/etc/nologin文件88
#touch /etc/nologin
2、删除nologin文件或重启后即恢复正常
#rm -rf /etc/nologin
系统弱口令检查
Joth the Ripper,简称为JR
一款密码分析工具,支持字典式的暴力破解
#解压工具包
cd /opt
tar zxf john-1.8.0.tar.gz
#安装软件编译工具
yum install -y gcc gcc-c++make
#切换到src子目录
cd /opt/john-1.8.0/src
#进行编译安装
make clean linux-x86-64
#准备待破解的密码文件
cp /etc/shadow /opt/shadow.txt
#执行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt
#查看已破解出的账户列表
./john --show /opt/shadow.txt
#使用密码字典文件
>john.opt 清空已破解出的账户列表,以便重新分析
./john --wordlist=./password.lst /opt/shadow.txt 使用指定的字典文件进行破解
网络端口扫描
NMAP
一款强大的网络扫描、安全检查工具
NMAP扫描
nmap [扫描类型] [选项] <扫描目标……>
常用的扫描类型
-p:指定扫描的端口
-n:禁用反向DNS解析(以加快扫描速度)。
-sS:TCP的SYN扫描(半开扫描) ,只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT:TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型) ,用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF: TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU:UDP扫描,探测目标主机提供哪些UDP服务, UDP扫描的速度会比较慢
-sP: ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-PO:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
常用选项
-a:显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n:以数字的形式显示相关的主机地址、端口等信息。
-t:查看TCP相关的信息。
-u:显示UDP协议相关的信息。
-p:显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r:显示路由表信息。
-l:显示处于监听状态的网络连接及端口信息。
netstat -natp # 查看正在运行的使用TCP协议的网络状态信息
netstat -naup # 查看正在运行的使用UDP协议的网络状态信息
#检测192.168.4.0/24网段有哪些主机提供HTTP服务
nmap -p 80 192.168.4.0/24
#检测192.168.4.0/24网段有哪些存活主机
nmap -n -sP 192.168.4.0/24