linux基本防护与ssh授权

linux 基本防护 （系统管理部分）
安装系统时会体是创建普通用户
useradd jim ---- echo 123456 | passwd – stdin jim
使用chage 工具
-d 0 ，强制修改密码
-E yyyy-mm-dd ，指定失效日期 （-1 取消）
chage -l jim
最近一次密码修改时间    ：12月 28, 2018
密码过期时间    ：从不
密码失效时间    ：从不
帐户过期时间    ：从不
两次改变密码之间相距的最小天数    ：0
两次改变密码之间相距的最大天数    ：99999
在密码过期之前警告的天数    ：7
cal 12 (一年12月)
chage -E 2018/12/31 jim （设置jim 用户到期时间为 2018/12/31）
chage -d 0 jim （0 表示必须改密码）

帐号的锁定/解锁
使用 passwd 命令
-l 锁定 -u 解锁 -S 看状态
passwd jim （改密码）
passwd -S jim （看状态）
jim LK 2018-12-28 0 99999 7 -1 (密码已被锁定。) —（锁定还是初始密码）

强制定期修改密码
配置文件 /etc/login.defs
主要控制属性
UMASK 077 （用户 权限为700）
PASS_MAX_DAYS    99999
PASS_MIN_DAYS    0
PASS_MIN_LEN    5
PASS_WARN_AGE    7

ls -a /home/jim
. … .bash_logout .bash_profile .bashrc .mozilla （初始状态）
ls -a /etc/skel

cp -r mongodb /etc/skel/
useradd tom
echo 123456 | passwd --stdin tom
ls -a /home/tom
. … .bash_logout .bash_profile .bashrc mongodb .mozilla

伪装登入提示
配置文件
/etc/issue 、/etc/issue.net
分别适用于本地、远程登入
默认会提示内核、系统等版本信息
cat /etc/redhat-release （操作系统版本）
Red Hat Enterprise Linux Server release 7.4 (Maipo)
uname -r (显示内核)
3.10.0-693.el7.x86_64
vim /etc/issue （修改操作系统信息，隐藏真实信息）

程序和服务控制
禁用非必要的服务
使用 systemctl 、chkconfig 工具
systemctl disable httpd （开机不自起）
chkconfig httpd off （红帽6版本 开机不自起）
chkconfig httpd on （开机自起）

锁定/解锁保护文件
ext3/ext4的文件属性控制
chattr （修改） 、lsattr(查看)

、 - 、= 控制方式 +（添加） - （驱除）
属性i ： 不可变 （immutable）
属性 a ： 仅可追加 （append only） (能 拷贝、移动、能追加。不能删除)
/etc/resolv.conf /etc/hosts
chattr +i a.txt ( i不可 删除、修改、移动。可以拷贝)
lsattr a.txt
----i----------- a.txt （a.txt 不可变。包括管理员也改不了）
用户切换与提权
su (切换到本机管理员帐号)
su jim （只切换到jim 用户。环境还是root 用户）-----[jim@m1 root]$
su - jim （切换到 jim 用户 环境也切换到 jim）—[jim@m1 ~]$

[jim@m1 ~]$ whoami
jim

[jim@m1 root]$ su - root -c “mkdir /root/bb.txt” (普通用户在root 用户 创建)
密码： root密码
[root@m1 ~]# su - jim -c “mkdir /home/jim/lll.txt” (以root身份给用户 jim 创建 目录)—普通用户家目录是 /home

分析 su 切换的使用情况
安全日志 /var/log/secure
记录su验证、shell 开启与关闭
tail /var/log/secure

sudo 提升执行权限
用户提权 （操作系统员 root 有提权权限）
提权是让系统的普通用户有执行root 权限

管理员预先为用户设置执行许可
被授权用户有权执行的命令，验证自己的口令
命令格式
用法1： sudo 特权命令
用法2： sudo 【-u 目标用户】 特权命令

查看自己的sudo 授权
sudo -l

配置sudo 授权
修改方法
visudo ====vim /etc/sudoers
授权记录格式
用户 主机列表命令列表
grep ^root /etc/sudoers
root    ALL=(ALL) ALL NOPASSWD：ALL （提权用户执行命令不用密码验证）
可以是 % 组名

127.0.0.1 localhost （回还地址）
which systemctl -------》 /usr/bin
vim /etc/sudoers （编辑文件 授权）

93 tom localhost,m1=/usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf
wq!

（文件用户名 本机回还地址（localhost），本机主机名（m1）=命令列表）
[tom@m1 ~]$ sudo -l
用户 tom 可以在 m1 上运行以下命令：
(root) /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf
lucy localhost,m1=/usr/bin/systemctl * mysqld, !/usr/bin/vim /etc/my.cnf (!, 不允许)

[tom@m1 ~]$ sudo /usr/bin/systemctl start httpd (开启httpd)----必须用绝对路径
可以给用户，组提权

%wheel ALL=(ALL) ALL
usermod -G wheel lll
%wheel ALL=(ALL) ALL
lll 用户会有所有权限

用户组提权
useradd jack
useradd jerry
groupadd admgrp
usermod -G admgrp jack
usermod -G admgrp jerry
%admgrp localhost,m1=/usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf, /usr/bin/systemctl * mysqld, /usr/bin/vim /etc/my.cnf，NOPASSWD:ALL (给组 admgrp 设置提权,且不需要输入密码)

分析sudo 提权的使用情况
修改全局配置，启用日志 （vim /etc/sudoers）
Defaults logfile="/var/log/sudo" （添加日志文件）

sudo 别名设置
主要用途
提高可重用性、易读性
简化配置、使记录更用条理
30 Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
94 tom localhost,m1=SOFTWARE, /usr/bin/systemctl * httpd, /usr/bin/vim /etc/httpd/conf/httpd.conf (注别名名称必须全大写)

[tom@m1 ~]$ sudo /bin/rpm -q elinks
[tom@m1 ~]$ sudo /usr/bin/yum -y install elinks

ssh 访问控制【服务常用配置项目 加深密钥对认证登入的使用】
selinux 安全防护

ssh 防护概述
存在的安全隐患
密码嗅觉、键盘记录
暴力枚举帐号、猜解密码
常见的防护措施
用户限制、黑白名单
更改验证方式 （密码—》 密钥对）
防火墙
sshd基本安全配置
文件 （/etc/ssh/sshd_config）

17 #Port 22
18 #AddressFamily any
19 #ListenAddress 0.0.0.0 //默认所有都可连
PermitRootlogin no //禁止root 登入

修改文件
Port 2222
#AddressFamily any
ListenAddress 192.168.4.50
systemctl restart sshd （重启）
验证 ：
[root@student000000 ~]# ssh -p 2222 -X root@192.168.4.50 (真机连接)

37 #LoginGraceTime 2m //不解析客户机地址
40 #MaxAuthTries 6 //登入限时
115 #UseDNS no // 每连接最多认证次数
man 5 sshd_config (man 帮助)

黑名单 （在列表用户不允许连接 sshd 服务）
白名单 （在列表用户才能连接）

配置白名单
AllowUsers 用户列表
AllowGroups 用户组名列表

配置黑名单
DenyUsers 用户列表
DenyGroups 用户组名列表

AllowUsers dcc root@192.168.4.254 ( dcc 用户 可以所有主机登入 root只能254 上连接及真机上连接）
[root@m2 ~]# ssh -p 2222 dcc@192.168.4.50

sshd 口令验证（默认 用户名、密码）
65 PasswordAuthentication yes (默认密码与用户名连接)

密钥验证 （公钥 私钥）
43 #PubkeyAuthentication yes （密钥开启）
47 AuthorizedKeysFile .ssh/authorized_keys （存放客户端公钥名称）

在真机上生成公钥私钥 给 51 主机
rm -rf ~/.ssh (还原无密码登入)
cat /root/.ssh/id_rsa.pub (    密钥文件)----id_rsa.phb (公钥)
[root@m1 ~]# ls /root/.ssh/authorized_keys (客户端存放)
[root@student000000 ~]# ssh-add (若登入要密码。则手动)
PasswordAuthentication no (在51主机上关闭用户名与密码连接)–及只能密钥登入
#PermitEmptyPasswords no 要连接的主机上没有密码的用户 不能来连接

为了能让 52主机也能连接上主机51
ssh root@192.168.4.50
Permission denied (publickey,gssapi-keyex,gssapi-with-mic). —没有对应的
52 主机上
rm -rf /root/.ssh/
mkdir ~/.ssh
scp root@192.168.4.254:/root/.ssh/id_rsa /root/.ssh/
chmod u+x /root/.ssh/id_rsa
ssh root@192.168.4.50

或： 『在真机上
scp ~/.ssh/id_rsa root@192.168.4.52:/root/.ssh (将51 主机私钥文件拷贝给52 )
52主机 chmod u+x /root/.ssh/id_rsa (方便连接主机51)』

什么是selinux
sestatus -----getenfore (查状态)
添加禁用 selinux=0
添加允许 enforcing=0
修改配置文件 (/etc/selinux/config)
disabled （禁用） permissive （宽松） enforcing (强制)
targeted - Targeted processes are protected, //保护常用服务

minimum - Modification of targeted policy. Only selected processes are protected. //设置保护
mls - Multi Level Security protection. //360 全副保护
查看安全上下文
为文件/目录/设备标记访问控制属性
属性构成
用户：角色：访问类型：选项…
system_u:object_r:passwd_file_t:s0 —ls -Z /etc/passwd
system_u:system_r:httpd_t:s0 httpd ps -aux Z | grep -i httpd
system_u:system_r:mysqld_t:s0 mysql ps aux -Z | grep -i mysqld
object_r:admin_home_t:s0 -----》 root家目录
ls -Z (查看) /文件/目录/进程
ls -l /etc/passwd
-rw-r–r--. 1 root root 2426 12月 28 15:24 /etc/passwd
ls -lZ /etc/passwd
-rw-r–r--. root root system_u:object_r:passwd_file_t:s0 /etc/passwd

修改安全上下文
使用 chcon 工具
-t ，指定访问类型
-R ， 递归修改
一般操作规律
创建的文件，继承父目录的安全上下文 (及在什么目录下创建就和此目录属性一致)
[root@m1 ~]# touch abc.txt
[root@m1 ~]# ls -Z abc.txt
-rw-r–r--. root root unconfined_u:object_r:admin_home_t:s0 abc.txt

移动的文件，原有的上下文属性不变
mv /root/a.html /var/www/html/
[root@m1 html]# ls -Z a.html
-rw-r–r--. root root unconfined_u:object_r:admin_home_t:s0 a.html

[root@m1 html]# chcon -t httpd_sys_content_t a.html (修改selinux 上下文)
ls -Z a.html （httpd_sys_content_t 为 /var/www/html 属性）
-rw-r–r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 a.html

复制的文件，自动继承目标位置的上下文 （与/var/www/html 上下文一致）
[root@m1 ~]# cp /root/b.html /var/www/html/
[root@m1 html]# ls -Z b.html
-rw-r–r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 b.html

修改文件的访问类型
chcon -t 访问类型 文件名
chcon -R -t 访问类型 文件夹

重置安全上下文
使用 restorecon 『文件名』 工具 （restorecon /var/www/html/b.html）
恢复为所在位置的默认上下文属性
-R 递归修改 『目录名』
/.autorelabel 文件
下次重启后全部重置

设置 selinux 布尔值 bool （功能开关）
getsebool -a 。 列出所有布尔值 『getsebool -a | grep -i httpd
』
setsebool -P 选项 on| off 永久更改，重启后仍然有效

50 运行ftp 服务。允许匿名用户对 /var/ftp/shared 目录有上传和下载文件权限
vim /etc/vsftpd/vsftpd.conf
29 #anon_upload_enable=YES //允许匿名用户有权限
mkdir /var/ftp/shared
chmod o+w /var/ftp/shared
cp /etc/hosts /var/ftp/shared
systemctl restart vsftpd （ftp端口：21）

测试：yum -y install ftp
ftp 192.168.4.50
上传文件 ： ftp --》 回车 --》 cd shared --》 lcd /etc --》 put passwd
下载文件 ftp … cd shared --》 ls --》 get hosts
上传开启bool 值

When SELinux is enforcing check for SE bool allow_ftpd_anon_write, allow_ftpd_full_access
setsebool -P ftpd_anon_write on
setsebool -P ftpd_full_access on

报错信息查看
rpm -qa | grep -i shoot
setroubleshoot-3.2.28-3.el7.x86_64
setroubleshoot-plugins-3.0.65-1.el7.noarch
setroubleshoot-server-3.2.28-3.el7.x86_64
[root@m2 ~]# rpm -qa | grep -i setroubleshoot
setroubleshoot-3.2.28-3.el7.x86_64
setroubleshoot-plugins-3.0.65-1.el7.noarch
setroubleshoot-server-3.2.28-3.el7.x86_64

grep -i ‘setroubleshoot’ /var/log/messages | tail -1
Dec 28 08:20:01 m2 setroubleshoot: SELinux is preventing /usr/lib64/firefox/plugin-container from name_connect access on the tcp_socket port 6010. For complete SELinux messages run: sealert -l 65a9663b-ae7a-4e65-a42b-8e55c6f23e95
[root@m2 ~]# sealert -l 65a9663b-ae7a-4e65-a42b-8e55c6f23e95
Do (解决方法)
allow this access for now by executing:

ausearch -c ‘plugin-containe’ --raw | audit2allow -M my-plugincontaine
semodule -i my-plugincontaine.pp