基本的系统安全控制

实验环境:

某公司新增了一台企业级服务器,已安装运行RHEL6操作系统,由系统运维部,软件开发部,技术服务部共同使用,由于用户数量众多,且使用时间不固定,要求针对帐号和登录过程采取基本的安全措施。

拓扑:

需求描述:

? 允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份

? 授权用户zhangsan管理所有员工的帐号,但禁止其修改root用户的信息

? 授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证

? 所有的su、sudo操作,必须在系统日志文件中进行记录

? 禁止使用ctrl+alt+delete快捷键,只开放tty3、tty5终端,为grub引导菜单设置密码

实验步骤

1. 限制使用su命令

1)修改认证文件/etc/pam.d/su,启用pam_wheel.so认证模块(删除第六行的注释)

clip_image002

2)将radmin用户加入到wheel组

clip_image004

3)验证除root、radmin以外,其他使用均不能使用su命令进行切换

clip_image006

clip_image008

2. 设置sudo授权

1)授权用户zhangsan使用useradd、userdel、passwd、usermod命令,但禁止执行“passwd root”,“usermod * root”操作

clip_image010

2)授权liis用户使用/sbin/*、/usr/sbin/*命令,添加NOPASSWD,以取消验证

clip_image012

3)添加”Defaults logfile”配置行,以启用sudo日志

clip_image014

4)分别以zhangsan、lisi用户登录,验证授权的sudo操作,并查看日志

用户zhangsan:

clip_image016

clip_image018

clip_image020

clip_image022

用户lisi:执行命令不会有密码验证

clip_image024

clip_image026

查看日志

clip_image028

3. 限制引导及登录过程

1)禁用ctrl+alt+del快捷键,禁用tty1,tty2,tty4,tty6四个终端

禁用ctrl+alt+del快捷键

clip_image030

禁用tty1,tty2,tty4,tty6四个终端

clip_image032

clip_image034

2)在grub.conf文件中的第一个title行之前添加密码配置

clip_image036

clip_image038

3)重启后进入GRUB菜单界面,验证直接按e键已无法编辑引导参数,需要输入密码

clip_image040

clip_image042

总结:

1. 使用su命令,可以切换为其他用户身份,并拥有该用户的所有权限。切换时以目标用户的密码进行验证

2. 使用sudo命令,可以以其他用户的权限执行已授权的命令,初次执行时以使用者自己的密码进行验证

3. 通过为GRUB菜单设置密码,可以防止未经授权的修改

4. 对于远程管理的linux服务器,可以减少开发的本地终端数量

5. John the Ripper是一款密码破解工具,可以用来检测系统帐号的密码安全性

6. NMAP是一款端口扫描类工具,可用来检查目标主机,网络所开放的端口/服务等信息