文章目录
一.账号安全的基本措施
1.将非登录用户的Shell设为nologin
usermod -s nologin 用户名 #禁止登录
2.锁定长期不使用的账号(含解锁方式)
usermod -L lisi #锁定账户
usermod -U lisi #解锁账户
passwd -l lisi #锁定账户方
passwd -u lisi #解锁账户
3.删除无用的账号
userdel 用户名 #删除用户
4.chattr锁定重要文件(如passwd、shadow、fstab等)
lsattr /etc/passwd /etc/shadow #查看文件的状态
chattr +i /etc/passwd /etc/shadow #锁定文件
chattr -i /etc/passwd /etc/shadow #解锁文件
二.密码安全控制
对于新建用户,可以进入/etc/login.defs进行修改属性,设置密码规则,使得在下次创建用户时密码信息生效
设置密码有效期
要求用户下次登录时修改密码
1.适用于新建用户
vim /etc/login.defs #修改配置文件
-----此处省略部分注释及配置-------
第25行:
PASS_MAX_DAYS 30 #修改密码有效期为30天
2.适用于已有用户
chage -M 30 dn #修改密码有效期
3.强制在下次登录成功时修改密码(/etc/shadow第三个字段被修改为0)
chage -d 0 dn #设置下次登录强制修改密码
三.命令历史记录限制
减少记录的命令条数;
登录时自动清空命令历史;
系统默认保存1000条历史命令记录;
history -c 命令只可以临时清除记录,重启后记录还在。
1.临时修改当前用户的历史命令条数
export HISTSIZE=200
#临时修改历史命令条数为200条
[root@localhost ~]# echo $HISTSIZE
200
2.进入配置文件永久修改历史命令条数
vim /etc/profile
#进入配置文件
HISTSIZE=300
#将全局历史命令条数由1000改为300
source /etc/profile
#刷新配置文件,使文件立即生效
3.退出当前终端将命令清除
vim .bash_logout
echo " " > ~/.bash_history
source .bash_logout
4.开机后当前终端将命令清除
vim .bashrc
echo " " > ~/.bash_history
每次登录和退出都会清空历史记录
设置登录超时时间
vim /etc/profile
#进入配置文件
TMOUT=600
#设置全局自动注销时间,声明600s没有操作就登出
source /etc/profile
#更新配置文件
四.切换和限制用户
1.su:切换用户
可以切换用户身份,并且以指定用户的身份执行命令
1.1 切换用户的方式
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
1.2 密码验证
超级管理员切换普通用户,不需要密码
普通用户切换普通用户,需要密码
普通用户切换超级管理员,需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,
否则会生成很多的bash子进程,环境可能会混乱。
1.3 限制使用su命令的用户
(1)su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,
带来安全风险
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
(2)限制使用su命令的用户
将允许使用su命令的用户加入wheel组。
启用pam_wheel认证模块。则只有wheel组内的用户可以使用su命令切换用户(编辑/etc/pam.d/su文件)。
(3)查看su操作记录
安全日志:/var/log/secure
wheel 组
wheel 组是一个特殊的组,它通常被用于控制系统管理员(root)权限的访问。
具体来说,wheel 组可以被用来授权一些非特权用户访问一些只有管理员才能访问的系统命令或文件,
这些用户可以使用 sudo 命令以 root 用户身份执行这些命令或访问这些文件。
在默认情况下,只有 root 用户才能访问某些敏感文件或命令,
这样可以保证系统的安全性。
但是,在一些情况下,
管理员可能希望授权一些非特权用户执行特定的命令或访问某些文件,这时候就可以使用 wheel 组来实现。
默认情况下 wheel 组是没有任何成员的,管理员需要手动将用户添加到该组中,
并配置相应的 sudo 访问规则,
以授权这些用户执行特定的命令或访问特定的文件。
需要注意的是,在使用 wheel 组授权用户时,管理员应该仔细考虑授权的范围和权限,
以免不必要的安全风险。同时,管理员还应该遵循最小权限原则,
只授权用户执行必要的任务所需的最小权限,以减少系统遭受攻击的风险。
示例:有dn和ky29两个用户,要求设置dn可以使用su命令切换用户,ky27用户不允许使用
vim /etc/pam.d/su #编辑/etc/pam.d/su配置文件
auth required pam_wheel.so use_uid #将第六行的注释取消即可
gpasswd -a dn wheel #将希望可以使用su命令的用户加入到wheel组中
[root@localhost dn]# passwd -S dn #查询密码状态
dn PS 1969-12-31 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
dn:指定用户的用户名。
PS:用户密码的状态标识符。这里的 P 表示密码已经设置,且可用。
1969-12-31:密码最近一次修改的日期。这里表示密码没有被修改过
0:密码最短使用期限。这里的 0 表示没有限制。
99999:密码最长使用期限。这里的 99999 表示密码永不过期。
7:密码到期前的提醒天数。
-1:密码最后一次修改的日期。这里的日期与最近一次修改的日期相同,表示密码从未被修改过。
SHA512:密码的加密算法和加密方式。这里的 SHA512 crypt 表示使用 SHA512 算法进行加密。
[root@localhost dn]# su - dn
[dn@localhost ~]$ su - ky29
[ky27@localhost ~]$ su - dn
密码:
su: 拒绝权限
拒绝ky29用户使用su命令
PAM安全认证
PAM 认证模块分为四个不同的类型:
认证模块:用于验证用户身份,例如基于密码的认证方式。
授权模块:用于控制用户对系统资源的访问权限,例如文件权限、进程权限等。
账户管理模块:用于管理用户账户信息,例如密码过期策略、账户锁定策略等。
会话管理模块:用于管理用户会话,例如记录用户会话信息、强制注销用户会话等。
PAM认证原理
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),
最后调用认证模块(位于/lib64/security/下)进行安全认证。
//修改su的PAM配置文件
[root@localhost ~]#vim /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
--取消上面这行注释的配置,使wheel组以外的用户不能使用su命令
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session include postlogin
session optional pam_xauth.so
//将允许使用的用户加入到wheel组当中
[root@localhost ~]#usermod -G wheel zhangsan
[root@localhost ~]#id zhangsan
uid=1002(zhangsan) gid=1002(zhangsan) 组=1002(zhangsan),10(wheel)
使用sudo机制提升权限
sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
配置sudo授权
使用vim /etc/sudoers进行配置(此文件默认权限为440,保存时必须 wq!强制执行操作)
权限生效后,输入密码后5分钟可以不用重新输入密码
[root@localhost pam.d]# vim /etc/sudoers
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
使用命令的用户 主机列表=代表谁去执行命令 可以执行哪些命令
用户: 直接授权指定的用户名,或采用“&组名"的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可用localhost, 有配过主机名则用实际的主机名,ALL则代表所有主机。
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令。
命令程序列表:允许授权的用户通过sudo方式执行的特权命令, 需填写命令程序的完整路径,
多个命令之间以逗号“,“进行分隔。ALL则代表系统中的所有命令。 查看当前sudo配置文件,启用sudo操作日志 启用sudo操作日志
需启用Defaults logfile配置 默认日志文件:/var/log/sudo 操作:在/etc/sudoers末尾添加
Defaults logfile=”/var/log/sudo"
示例1:配置文件使dn可以通过sudo命令使用ifconfig
第一步:切换至用户dn进行测试
[dn@localhost ~]$ ifconfig ens33:1 192.168.233.21/24
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
SIOCSIFNETMASK: 不允许的操作
[dn@localhost ~]$ sudo ifconfig ens33:1 192.168.168.12/24
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] dn 的密码:
提示要输入密码
第一步:vim /etc/sudoers
99和102行注释掉!!!
98 ## Allows people in group wheel to run all commands
99 #%wheel ALL=(ALL) ALL
100
101 ## Same thing without a password
102 # %wheel ALL=(ALL) NOPASSWD: ALL
第二步:在/etc/sudoers末尾插入相关配置,然后强制保存退出
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 dn ALL=(root) /sbin/ifconfig #配置文件
[root@localhost pam.d]# su - dn
上一次登录:日 2月 19 19:53:15 CST 2023pts/2 上
[root@localhost ~]# gpasswd -a dn wheel #必须添加到wheel组中才能直接生效。否则还会提示输密码
[dn@localhost ~]$ sudo ifconfig ens33:1 192.168.233.12/24 #直接生效,必须添加到wheel组中才能直接生效。
否则还会提示输密码
示例2:使用关键字来进行设置别名,批量控制用户
要求:控制用户进行sudo操作时无法使用重启(reboot)、关机(poweroff)、切换init和无法删除
第一步:vim /etc/sudoers
98 ## Allows people in group wheel to run all commands
99 #%wheel ALL=(ALL) ALL #注释掉
在底行添加:
Host_Alias MYHOSTS = localhost #设置主机名
User_Alias MYUSERS = dn #设置限制的用户名
Cmnd_Alias MYCMNDS = /sbin*, !/sbin/reboot, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm #禁止的命令
MYUSERS MYHOSTS=MYCMNDS #固定格式
[dn@localhost ~]$ sudo reboot
[sudo] dn 的密码:
对不起,用户 dn 无权以 root 的身份在 localhost.localdomain 上执行 /sbin/reboot。
开关机安全控制
1.调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
grub加密方法(为GRUB菜单设置密码)
按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
第一步:按e键查看未设置之前的状态
重启之后按e,查看配置,不建议修改
第二步:设置GRUB密码并重启
[root@localhost ~]# grub2-setpassword
Enter password:
Confirm password:
[root@localhost ~]# reboot
在重启界面按e,输入账号密码才可以登录
终端登录安全控制
限制root只在安全终端登录
安全终端配置:/etc/securetty
tty1~ 6是文本型控制台,tty7 是X Window图形显示管理器。
可以通过CtrI+Alt+F1 (F1-F7键) 切换到对应的登录控制台。
示例:禁止root在tty2和tty3终端登录
第一步:更改安全终端配置文件
vim /etc/securetty
把tty2和tty3注释掉
禁止普通用户登录
建立/etc/nologin文件
删除nologin文件或者重启后即恢复正常
touch /etc/nologin
#禁止普通用户登录,只对图形化界面生效
rm -rf /etc/nologin
#取消上述登录限制,删除后即可恢复
网络扫描—NMAP
一款强大的网络扫描、安全 检测工具
官方网站: Nmap: the Network Mapper - Free Security Scanner
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
nmap常见选项:
选项 功能
-p 指定扫描的端口。
-n 禁用反向DNS解析(以加快扫描速度) ip转换成 域名 12222 2www.baidu.com
-sS TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0 跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描。