一.账号安全的基本措施
1.将非登录用户的Shell设为nologin
usermod -s nologin 用户名 #禁止登录
2.锁定长期不使用的账号(含解锁方式)
usermod -L lisi#锁定账户
usermod -U lisi#解锁账户
passwd -l lisi#锁定账户方
passwd -u lisi#解锁账户
3.删除无用的账号
userdel 用户名#删除用户
4.chattr锁定重要账号文件(如passwd、shadow、fstab等)
lsattr /etc/passwd /etc/shadow#查看文件的状态
chattr +i /etc/passwd /etc/shadow#锁定文件
chattr -i /etc/passwd /etc/shadow#解锁文件
二.密码安全控制
对于新建用户,可以进入/etc/login.defs进行修改属性,设置密码规则,使得在下次创建用户时密码信息生效
设置密码有效期
要求用户下次登录时修改密码
1.适用于新建用户
vim /etc/login.defs #修改配置文件
PASS_MAX_DAYS 30#修改密码有效期为30天
2.适用于已有用户
chage -M 30 dn#修改密码有效期
3.强制在下次登录成功时修改密码(/etc/shadow第三个字段被修改为0)
chage -d 0 dn#设置下次登录强制修改密码
三.命令历史记录限制
减少记录的命令条数;
登录时自动清空命令历史;
系统默认保存1000条历史命令记录;
history -c 命令只可以临时清除记录,重启后记录还在。
1.临时修改当前用户的历史命令条数
export HISTSIZE=200
#临时修改历史命令条数为200条
[root@localhost ~]# echo $HISTSIZE
200
2.进入配置文件永久修改历史命令条数
vim /etc/profile
#进入配置文件
HISTSIZE=300
#将全局历史命令条数由1000改为300
source /etc/profile
#刷新配置文件,使文件立即生效
3.退出当前终端将命令清除
vim .bash_logout
echo " " > ~/.bash_history
source .bash_logout
4.开机后当前终端将命令清除
vim .bashrc
echo " " > ~/.bash_history
5.设置登录超时时间
vim /etc/profile
#进入配置文件
TMOUT=600
#设置全局自动注销时间,声明600s没有操作就登出
source /etc/profile
#更新配置文件
四.切换和限制用户
1.su:切换用户
可以切换用户身份,并且以指定用户的身份执行命令
1.1 切换用户的方式
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
1.2 密码验证
超级管理员切换普通用户,不需要密码
普通用户切换普通用户,需要密码
普通用户切换超级管理员,需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,
否则会生成很多的bash子进程,环境可能会混乱。
1.3 限制使用su命令的用户
(1)su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,
带来安全风险
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
(2)限制使用su命令的用户
将允许使用su命令的用户加入wheel组。
启用pam_wheel认证模块。则只有wheel组内的用户可以使用su命令切换用户(编辑/etc/pam.d/su文件)。
(3)查看su操作记录
安全日志:/var/log/secure
示例:有zxc和123两个用户,要求设置123可以使用su命令切换用户,zxc用户不允许使用
vim /etc/pam.d/su #编辑/etc/pam.d/su配置文件
auth required pam_wheel.so use_uid #将此行的注释取消即可
gpasswd -a 123 wheel #将希望可以使用su命令的用户加入到wheel组中
2.PAM安全认证
2.1su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户的登录密码,带来安全风险。
为了加强su命令的使用控制,可借助于PAM认证模块,只允许及个别用户使用su命令切换
2.2PAM可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式
也是当前linux服务器普遍使用的认证方式
2.3PAM认证原理
一般遵循的顺序
service(服务)——PAM(配置文件)——pam_*.so
首先要确定那一项服务,然后加载相应的PAM配置文件(文件位置位于/etc/pam.d下),最后调用认证文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序对应的PAM模块是不同的
2.4 PAM相关文件
包名: pam
模块文件目录:/lib64/security/*.so
特定模块相关的设置文件:/etc/security/
应用程序调用PAM模块的配置文件
1. 主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置
2. 注意:如/etc/pam.d存在,/etc/pam.conf将失效
ls /lib64/sccurity/ 认证模块的位置
/etc/pam.d/* 配置文件位置
第一列:type类型 第二列:control控制位 第三列:PAM模块
type 类型
- auth 用户身份认证
- account 帐户的有效性,与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例如:root用户只能从控制台登录)
- password 用户修改密码时密码复杂度检查机制等功能
- session 用户会话期间的控制,如:最多打开的文件数,最多的进程数等
- -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
Control: ( 控制位)
- required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕,再将失败结果返回给应用程序,即为必要条件
- requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
- sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件,优先于前面的
- equired和requisiteoptional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
include: 调用其他的配置文件中定义的配置
- optional 可选项
control 总结:
1)required 验证失败时仍然继续,但返回 Fail
2)requisite 验证失败则立即结束整个验证过程,返回 Fail
3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
4)optional 不用于验证,只是显示信息(通常用于 session 类型)
PAM模块(一共有61个任务模块)
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,
这是由于每个模块针对不同的模块类型编制了不同的执行函数。
2.5 shell模块
功能:检查有效shell
帮助:man pam_shells
案例:不允许使用/bin/csh的用户本地登录
3.使用sudo机制提升权限
3.1 sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
3.2 配置sudo授权
可以使用visudo(通常使用visudo,因为visudo可以自动检查语法是否输入错误)
也可以使用vim /etc/sudoers进行配置(此文件默认权限为440,保存时必须 wq!强制执行操作)
权限生效后,输入密码后5分钟可以不用重新输入密码
3.3 格式
用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表
dn ALL=(root) /sbin/ifconfig#举例
[root@localhost pam.d]# vim /etc/sudoers
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
使用命令的用户 主机列表=代表谁去执行命令 可以执行哪些命令
用户: 直接授权指定的用户名,或采用“&组名"的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机。
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令。
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,
需填写命令程序的完整路径,
多个命令之间以逗号“。"进行分隔。ALL则代表系统中的所有命令。
查看当前sudo配置文件,启用sudo操作日志
启用sudo操作日志
需启用Defaults logfile配置
默认日志文件:/var/log/sudo
操作:在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"
查询授权的sudo操作 --包含详细的信息
sudo -l
示例1:配置文件使dn可以通过sudo命令使用ifconfig
第一步:切换至用户dn进行测试
[dn@localhost ~]$ ifconfig ens33:1 192.168.233.21/24
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
SIOCSIFNETMASK: 不允许的操作
[dn@localhost ~]$ sudo -l ifconfig ens33:1 192.168.168.12/24
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] dn 的密码:
提示要输入密码
第二步:在/etc/sudoers末尾插入相关配置,然后强制保存退出
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 dn ALL=(root) /sbin/ifconfig #配置文件
[root@localhost pam.d]# su - dn
上一次登录:日 2月 19 19:53:15 CST 2023pts/2 上
[dn@localhost ~]$ sudo ifconfig ens33:1 192.168.233.12/24 ---不在提示安全指示
[sudo] dn 的密码:
示例2:设置wheel组进行sudo操作时无需密码验证,并将ky27用户添加到wheel组中测试
[root@localhost dn]# useradd ky27
[root@localhost dn]# echo 123 | passwd --stdin ky27
更改用户 ky27 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@localhost dn]# su - ky27
[ky27@localhost ~]$ sudo ky27
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] ky27 的密码:#要输入密码才能使用
[root@localhost dn]# vim /etc/sudoers
98 ## Allows people in group wheel to run all commands
99 #%wheel ALL=(ALL) ALL #注释掉
100
101 ## Same thing without a password
102 %wheel ALL=(ALL) NOPASSWD: ALL #取消注释
[root@localhost dn]# gpasswd -a ky27 wheel #把用户KY27加入wheel组内
正在将用户“ky27”加入到“wheel”组中
示例3:使用关键字来进行设置别名,批量控制用户
要求:控制用户进行sudo操作时无法使用重启(reboot)、关机(poweroff)、
切换init和无法删除
第一步:vim /etc/sudoers 或者visudo 修改配置文件
visudo和vim /etc/sudoers效果一样
98 ## Allows people in group wheel to run all commands
99 #%wheel ALL=(ALL) ALL #注释掉
[dn@localhost ~]$ sudo reboot
[sudo] dn 的密码:
对不起,用户 dn 无权以 root 的身份在 localhost.localdomain 上执行 /sbin/reboot。
五.开关机安全控制
1.调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码(进boot中有一个Set Supervisor Password)
2.GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
3.grub加密方法(为GRUB菜单设置密码)
不安全,可以进光盘的系统,通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
第一步:按e键查看未设置之前的状态
重启之后按e,查看配置,不建议修改
第二步:设置GRUB密码并重启
[root@localhost ~]# grub2-setpassword
Enter password:
Confirm password:
[root@localhost ~]# reboot
在重启界面按e,输入账号密码才可以登录
4.终端登录安全控制
4.1 限制root只在安全终端登录
安全终端配置:/etc/securetty
tty1~ 6是文本型控制台,tty7 是X Window图形显示管理器。可以通过CtrI+Alt+F1 (F1-F7键) 切换到对应的登录控制台。
示例:禁止root在tty2和tty3终端登录
第一步:更改安全终端配置文件
vim /etc/securetty
把tty2和tty3注释掉
4.2 禁止普通用户登录
建立/etc/nologin文件
删除nologin文件或者重启后即恢复正常
touch /etc/nologin
#禁止普通用户登录
rm -rf /etc/nologin
#取消上述登录限制,删除后即可恢复
系统弱口令检测工具:
john-1.8.0.tar.gz
yum install -y gcc gcc-c++ make
cd /opt
tar -zxvf john-1.8.0.tar.gz #解压工具包
yum -y install gcc gcc-c++ make #安装软件编译工具
cd /opt/john-1.8.0/src
make clean linux-x86-64 #切换到src子目录,进行编译安装
cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件
cd /opt/john-1.8.0/run
./john /opt/shadow.txt #切换到run子目录,执行暴力破解
./john --show /opt/shadow.txt #查看已破解出的账户列表
5.网络扫描—NMAP
一款强大的网络扫描、安全 检测工具
官方网站:Nmap: the Network Mapper - Free Security Scanner
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
nmap常见选项:
选项功能
-p 指定扫描的端口。
-n 禁用反向DNS解析(以加快扫描速度) ip转换成 域名 12222 2www.baidu.com
-sS TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0 跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描。
netstat常见选项:
常用选项 作用
-a 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。
-n 以数字的形式显示相关的主机地址、端1等信息。
-t 查看TCP相关的信息。
-u 显示UDP协议相关的信息。
-p 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r 显示路由表信息。
-l 显示处于监听状态的网络连接及端口信息。
总结安全加固的措施
1.将非登录用户shell设置为nologin
2.锁定长期不使用的账号(锁定用户)
3.删除无用账号
4.chattr锁定配置文件(重要文件passwd、shadow、fstab等加 i 权限,不让删除)
5.设置密码复杂性规则(长度、特殊字符、失效时间等)密码策略
6.修改history,记录历史命令,尽量缩短记录历史命令的条数
7.禁止su root,切换超级管理员
8.设置sudo权限,禁用不安全命令
9.给GRUB设置密码
10.只允许BIOS从硬盘启动,关闭除了硬盘启动外的(光驱、udisk 、网络)
11.给BIOS设置密码
12.限制root只在安全终端登录
13.禁止普通用户登录
14.改掉大家都知道的服务端口
15.做好日志权限管理
16.内核参数调整