账号安全控制
1、基本安全措施
(1)系统账号清理
- 除了超级用户root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登录的,因此也称为非登录用户账号,常见的非登录用户账号 包括 bin、daemon、adm、lp、mail 等,为了确保系统安全,这些用户账号的登录 Shell 通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动
设置登录shell为/sbin/nologin
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd
1、锁定账号
对于 Linux 服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定
[root@localhost ~]# usermod -L zhangsan //锁定账号
[root@localhost ~]# usermod -U zhangsan //解锁账号
[root@localhost ~]# passwd -S zhangsan //查看账号状态
2、锁定文件
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow //锁定文件
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow //解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow //查看文件状态
备注1:chattr(设置文件的隐藏属性)
参数的设置方法:
+:增加某个参数
-:删除某个参数
=:仅有后面接的参数
备注2:lsattr(显示文件隐藏属性)
参数的设置方法:
-a:将隐藏文件的属性也显示出来
-d:如果接的是目录,仅列出目录本身的属性而不是目录内的文件名
-R:连同子目录的数据也显示出来
- 参数含义
- A 设置A属性后,若你访问此文件或目录时,它的访问时间atime不会被修改,可避免I/O较慢的机器过度访问磁盘。这对速度较慢的计算机有帮助
- S 一般文件是异步写入磁盘,加上S属性后,文件将同步写入磁盘
- a 当设置a后,文件只能增加数据,既不能删除也不能修改数据,只有root才能设置这个属性
- c 设置c属性后,会自动将文件压缩,在读取时自动解压缩
- d 当dump程序执行时,设置d属性将可使改文件或目录不被dump备份
- i i属性可使文件不能被删除、改名,设置连接也无法写入或添加数据。对于系统安全性有很大帮助。只有root能设置此属性
- s 当文件设置s属性时,如果文件被删除,将从硬盘彻底删除
- u 与s相反,当文件设置u属性时,文件删除后数据内容还存在磁盘,可以使用来找回该文件
(2)密码安全控制
1、密码有效期设置
[root@localhost ~]# cat /etc/shadow
zhangsan:$6$apnY60ss$I0a0XR1oPh.Xsc.JkOqjOEFUk/ILKrED72gNHTqtTZNf9PXIEzFdPDztKNE3FZNoHtUHyqC4OdYGYbenldwwv0:19166:0:99999:7:::
备注:
第1字段:用户的登录名
第2字段:加密(sha加密算法)的用户密码
第3字段:最近一次修改密码的时间
第4字段:最短密码使用期限
第5字段:最长密码使用期限
第6字段:过期前若干天提醒用户
第7字段:密码过期后多少天禁用此账户
第8字段:账号失效时间
第9字段:保留
[root@localhost ~]# vim /etc/login.defs
...
PASS_MAX_DAYS 99999 //密码最长过期天数
PASS_MIN_DAYS 0 //密码最小过期天数
PASS_MIN_LEN 5 //密码最小长度
PASS_WARN_AGE 7 //密码过期警告天数
...
2、可以设置用户最短密码策略
[root@localhost ~]# vim /etc/pam.d/system-auth
......
添加:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12
3、设置用户下次登录时重设密码
[root@localhost ~]# chage -d 0 (zhangsan)
//切换到TTY终端下,用zhangsan登录系统,需要重设密码
(3)命令历史、自动注销
1、为新登录的用户设置命令历史
[root@localhost ~]# vim /etc/profile //适用于新登录的用户
.....
HISTSIZE=20
2、为已登录的当前用户设置命令历史
[root@localhost ~]# export HISTSIZE=200 //适用当前用户
3、清空历史命令
[root@localhost ~]# vi ~/.bash_logout
history -c
clear
在终端输入logout注销出去,重新登录后history查看命令历史的清除效果
4、空闲自动注销
新登录用户设置
[root@localhost ~]# vi /etc/profile //适用于新登录用户
export TMOUT=600
当前已登录用户设置
[root@localhost ~]# export TMOUT=600 //适用于当前用户
2、用户切换与提权
(1)su命令
1、su切换用户
[root@localhost ~]# su zhangsan
密码: //输入用户 root 的口令
[root@localhost ~]# //验证成功后获得root 权限
2、只允许指定用户使用su进行切换
[root@localhost ~]# gpasswd -a zhangsan wheel //添加授权用户 tsengyia
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group //确认 wheel 组成员
wheel:x:10:zhangsan
[root@localhost ~]# vi /etc/pam.d/su
auth required pam_wheel.so use_uid //注意:去掉前面的#号
(2)pam安全认证(Pluggable Authentication Modules)
1、允许wheel组成员使用su命令
PAM 提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp),su 等应用程序中。系统管理员通过 PAM 配置文件来制定不同应用程序的不同认证策略
[root@localhost ~]# cat /etc/pam.d/su
auth required pam_wheel.so use_uid
每一行都是一个独立的认证过程
每一行可以区分为三个字段:
认证类型
控制类型
PAM 模块及其参数
2、PAM 认证类型包括四种:
- 认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证
- 帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等
- 密码管理(password management):主要是用来修改用户的密码
- 会话管理(session management):主要是提供对会话的管理和记账
- 密码管理(password management):主要是用来修改用户的密码
- 帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等
控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果
(3)sudo 命令 —— 提升执行权限
需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令
1、若要授权用户zhangsan能够执行 ifconfig 命令来修改 IP 地址,而 wheel 组的用户无需验证密码即可执行任何命令;在配置文件/etc/sudoers 中添加授权
[root@localhost ~]# visudo
zhangsan localhost=/sbin/ifconfig
lisi localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
%wheel ALL=NOPASSWD: ALL
备注:
user MACHINE=COMMANDS,多个命令可以用逗号隔开
ALL=NOPASSWD: ALL 表示无需验证密码即可执行任何命令
lisi ALL=(ALL) NOPASSWD: ALL
sudo 配置记录的命令部分允许使用通配符“*”、、取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令时特别有用
2、默认情况下,通过 sudo 方式执行的操作并不记录若要启用 sudo 日志记录以备管理员查看,应在/etc/sudoers 文件中增加“Defaults logfile”设置
[root@localhost ~]# visudo
添加:
Defaults logfile = "/var/log/sudo"
3、通过sudo执行特权命令
由于特权命令程序通常位于/sbin、lusr/sbin 等目录下,普通用户执行时应使用绝对路径;在当前会话过程中,第一次通过 sudo 执行命令时,必须以用户自己的密码(不是 root用户或其他用户的密码)进行验证;若要查看用户自己获得哪些 sudo 授权,可以执行“sudo -”命令。未授权的用户将会得到“may not run sudo”的提示,已授权的用户则可以看到自己的 sudo 配置
系统引导和登录控制
1、调整 BIOS 引导设置
- 将第一优先引导设备(First Boot Device)设为当前系统所在磁盘
- 禁止从其他设备(如光盘、U盘、网络等)引导系统,对应的项设为“Disabled”
- 将 BIOS的安全级别改为“setup”,并设置好管理密码,以防止未授权的修改
2、限制更改 GRUB 引导参数(为GRUB添加密码)
- 如果任何人都能够修改 GRUB 引导参数,对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制,可以为GRUB 菜单设置一个密码,为 GRUB 菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2”命令生成,表现为经过PBKDF2 算法加密的字符串,安全性更好
[root@localhost ~]# grub2-mkpasswd-pbkdf2 //根据提示指定密码
Enter password:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.59C69312C10F5734DC5F6A427874AE6049C912EE7... //经过加密的密码字符串
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
[root@localhost ~]# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
export superusers
password_pbkdf2 root
grub.pbkdf2.sha512.10000.59C69312C10F5734DC5F6A427874AE6049C912EE7...
EOF
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg 生成新的grub.cfg文件
2.使用明文GRUB密码
[root@localhost ~]# vi /etc/grub.d/01_users
cat << EOF
set superusers="root"
password root pwd123
EOF
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
3、终端及登录控制
(1)禁止 root 用户登录
[root@localhost ~]# vim /etc/securetty
若要禁止 root 用户从 tty5、tty6 登录,就注释掉tty5和tty6
#tty5
#tty6
(2)禁止普通用户登录
需要简单地建立/etc/nologin 文件即可。login 程序会检査/etc/nologin 文件是否存在,如果存在,则拒绝普通用户登录系统(root用户不受限制)
[root@localhost ~]# touch /etc/nologin
弱口令检测、端口扫描
1、弱口令检测——John the Ripper
John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明文的密码字串,支持 DES、MD5 等多种加密算法,而且允许使用密码字典(包含各种密码组合的列表文件)来进行暴力破解
(1)安装 John the Ripper
- John the Ripper 的官方网站是 OpenWal.com is for sale | HugeDomains通过该网站可以获取稳定版源码包,如john-1.8.0.tar.gz
[root@localhost ~]# tar zxf john-1.8.0.tar.gz
[root@localhost ~]# cd john-1.8.0
[root@localhost john-1.8.0]# cd src/
[root@localhost src]# yum -y install gcc
[root@localhost src]# make clean linux-x86-64
(2)检测弱口令
[root@localhost src]# cp /etc/shadow /root/shadow.txt //准备待破解的密码文件
[root@localhost src]# cd /root/john-1.8.0/run/
[root@localhost run]# ./john /root/shadow.txt //执行暴力破解
[root@localhost run]# ./john --show /root/shadow.txt //查看已破解出的账户列表
(3)使用密码字典检测
[root@localhost run]# vim /root/pass.list //编写密码字典,将所有的用户密码写进去
[root@localhost run]# ./john --wordlist=/root/pass.list /root/shadow.txt
[root@localhost run]# ./john --show /root/shadow.txt
root:aptech::0:99999:7:::
lisi:111:19166:0:50:7:::
2、网络扫描——NMAP
(1)安装 NMAP软件包
在 CentOS7 系统中,既可以使用光盘自带的 nmap-6.40-7.el7.x86 64.rpm 安装包,也可以使用从 NMAP 官方网站下载的最新版源码包
[root@localhost ~]# yum install -y nmap
(2)扫描语法及类型
nmap [扫描类型][选项]<扫描目标...>
[root@localhost ~]# nmap 127.0.0.1
[root@localhost ~]# nmap -sU 127.0.0.1 //扫描常用端口
[root@localhost ~]# ifconfig
[root@localhost ~]# nmap -p 21 192.168.10.0/24 //扫描网段中哪些主机启用的端口21
[root@localhost ~]# nmap -n -sP 192.168.10.0/24 //扫描存活主机
[root@localhost ~]# nmap -p 139,445 192.168.10.10-20 //扫描主机是否开了共享
- 扫描目标可以是主机名、IP地址或网络地址等,多个目标以空格分隔:常用的选项有“-p”“-n”,分别用来指定扫描的端口、禁用反向 DNS 解析(以加快扫描速度)
- sS,TCP SYN 扫描(半开扫描):只向目标发出 SYN 数据包,如果收到 SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放
- -sT,TCP 连接扫描:这是完整的 TCP 扫描方式,用来建立一个 TCP 连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
- -sF,TCP FIN 扫描:开放的端口会忽略这种数据包,关闭的端口会回应 RST 数据包。许多防火墙只对 SYN 数据包进行简单过滤,而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性
- -sU,UDP 扫描:探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢
- -SP,ICMP 扫描:类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描
- -P0,跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫描