目录
系统账号清理
将非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
锁定长期不使用的账号
usermod -L 用户名 passwd -l 用户名
passwd -S 用户名
删除无用的账号
userde [-r] 用户名
锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow 锁定文件并查看状态
lsattr /etc/passwd /etc/shadow
chattr -i /etc/passwd /etc/shadow 解锁文件
账号安全基本措施
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
chage -d 0 用户名
#强制在下次登录时修改密码
cat /etc/shadow | grep 用户名
#第三个字段会被修改为 0
账号安全基本措施
命令历史限制
Shell 环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险
只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在 命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。
Bash 终端环境中,历史命令的记录条数由变量 HISTSIZE 控制,默认为 1000 条。
通过修改/etc/profile 文件中的 HISTSIZE 变量值,可以影响系统中的所有用户
编辑全局变量配置文件,适用于新登录用户
vim /etc/profile
...
export HISTSIZE=200
配置最多只记录200历史命令
已有用户
export HISTSIZE=200
除此之外,还可以修改用户宿主目录中的~/.bash_logout 文件,添加清空历史命令的操作语句。
这样,当用户退出已登录 Bash 环境以后,所记录的历史命令将自动清空
vim ~/.bash_logout
histrory -c
clear
vi ~/.bashrc
echo "" > ~/.bash_history
init 6
重启虚拟机试试看
history
终端自动注销
vi /etc/profile //适用于新登录用户
…… //省略部分内容 export TMOUT=600
export TMOUT=600 //适用于当前用户
需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免 设置 TMOUT 变量。
必要时可以执行“unset TMOUT”命令取消 TMOUT 变量设置。
用户切换与提权
su 命令——切换用户
su 用户名
限制su命令切换用户
gpasswd -a zhangsan whell #添加授权用户张三
正在将用户‘zhangsan’加入到‘wheel’组中
grep wheel /etc/group #确认wheel组成员
wheel:x:10:zhangsan
vim /etc/pam.d/su
#%PAM-1.0
auth syfficent pam_rootok.so
.....//省略部分内容
auth required pam_wheel.so use_uid //去掉此行开头的 #号
...//省略部分内容
使用su 命令切换用户的操作将会记录到安全日志
cat /var/log/secure
PAM 安全认证
1.su命令的安全隐患
- 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
- 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户su命令进行切换
2.PAM(Pluggable Authentication Modules)可插拔式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式
- 也是当前liunx服务器普遍使用的认证方式
PAM认证原理
一般遵循的顺序
Service(服务)>PAM(配置文件) >pam_*.so
首先要确定哪一项服务,然后加载相应的APM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到APM模块进行认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块时不同的
PAM认证的构成
查看某个程序是否支持APM认证,可以用ls命令
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段
第一列报表PAM认证模块类型
auth | 对用户身份进行识别,如提示输入密码,判断是否为root |
account | 对账号各项属性进行检查,如是否允许登录系统,账号是否已经过期,是否达到最大用户数等 |
password | 使用用户信息来更新数据,如修改用户密码 |
session | 定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统 |
第二列代表PAM控制标记
required | 表示需要返回一个成功值,如果返回失败,不会立刻失败结果返回,而是继续进行同类型的下一验证,所以此类型的模块都执行完成后,再返回失败 |
requisite | 与required类似,但如果此模块返回失败,侧立刻返回失败并表示此类型失败 |
sufficient | 如果此模块返回吃饭,侧直接向程序返回成功,表示此类型成功,如果失败,也不影响这类型的返回值 |
optional | 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型) |
include | 表示在验证过程中调用其他的PAM配置文件,比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项 |
第三列代表PAM模块,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同模块类型编制不同的执行函数
第四列代表APM模块的参数,这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个,之间用空格分隔开
用户1 | 用户2 | 用户3 | 用户4 | |||
auto | required | 模块1 | pass | pass | pass | pass |
auto | sufficient | 模块2 | pass | pass | fail | paas |
auto | required | 模块3 | pass | pass | pass | fail |
结果 | pass | fail | pass | pass |
APM安全认证流程
控制类型也称做Conteol Flags,用于APM验证类型的返回结果
- required验证失败时依然继续,但返回fail
- 2.requisite验证失败则立即结束整个验证过程,返回Fail
- sufficient金证成功则立即返回,不再继续,否则忽略结果并继续
- optional不用于验证,只显示信息 (通常用于session类型)
使用sudo机制提升
visudo
或
vi /etc/sudoers(此文件的默认权限为 440,保存退出时必须执行“:wq!”命令来强制操作)
语法格式:
用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表
用户:直接授权指定的用户名,或采用"%组名"的形式(授权一个组的所有用户)
主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配置过主机名侧用实际的主机名,ALL侧代表所有主机
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令的完整路径,多个命令之间以逗号","进行分隔。ALL则代表系统中的所有命令
Tom ALL=/sbin/ifconfig
#通配符"*"表示所有、取反符号"!"表示排除
Jerry localhost=/sbin/*,!/sbin/reboot,!/sbin/passwd
#表示wheel组成员无需验证密码即可使用sudo执行任何命令
%wheel ALL=NOPASSWD: ALL
Mike ALL=(root)NOPASSWD: /bin/killall
使用关键字 User_Alias、Host_Alias、Cmnd_Alias来进行设置别名(别名必须)
User_Alias USERS=Tom,Jerry,Mike
Host_Alias HOSTS=localhost,bogon
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/Useradd,/usr/sbin/userdel
USERS HOSTS=CMNDS
启动sudo操作日志
需要启用 Defaults logfile
vim /var/log/sudo
tail -5 /var/log/sudo
Defaults logfile="/var/log/ sudo"
查询授权的sudo操作
sudo -l
开关机安全控制
调整DIOS引导设置
将第一引导设备为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_heade文件中,添加密码记录
生成新的grub.cfg配置文件
终端登录安全控制
限制root只在安全终端登录
安全终端配置
/etc/securetty
#tty5
#tty6
禁止root用户从终端tty5、tty6登录
禁止普通用户登录
touch /etc/nologin
#创建/etc/nologin文件即禁止普通用户登录
#以上方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时使用
rm -rf /etc/nologin
#删除该文件即取消登录限制,恢复正常
弱口令检测——John the Ripper
1.下载并安装John the Ripper
John the Ripper 的官方网站是 John the Ripper password cracker,在该网站可以获取最新的稳定版源码包
cd /opt
#Xshell 软件里直接将下载好的软件“拖”进来
tar zxvf john-1.9.0.tar.gz
#解压工具包
yum -y install gcc gcc-c++ make
#安装软件编译相关工具
cd /opt/john-1.9.0/src
make clean linux-x86-64
#切换到src子目录,执行编译过程
ls ../run/john
../run/john
2.检测弱口令账号
cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件
cd /opt/john-1.9.0/run
./john /opt/shadow.txt #切换到run子目录,执行暴力破解
./john --show /opt/shadow.txt #查看已破解出的账户列表
3.使用密码字典文件
#清空已破解出的账户列表,以便重新分析
:> john.pot
#使用指定的字典文件进行破解
./john --wordlist=./password.lst /root/shadow.txt
网络端口扫描
NMAP
- 一款强大的网络扫描,安全检测工具
- 官网网站:http://nmap.org/
- CentOS 7.3光盘中安装包nmap-6.40.el7.x86_64.rpm
安装NMAP软件包
rpm -vih nmap
yum install -y nmap
nmap命令常用的选项和扫描类型
常用选项 | 对应扫描类型 |
-sS | TCP 的 SYN 扫描(半开扫描):只向目标发出 SYN 数据包,如果收到 SYN/ACK 响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放 |
-sT | TCP 连接扫描:这是完整的 TCP 扫描方式(默认扫描类型),用来建立一个 TCP 连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放 |
-sF | TCP 的 FIN 扫描:开放的端口会忽略这种数据包,关闭的端口会回应 RST 数据包;许多防火墙只对 SYN 数据包进行简单过滤,而忽略了其他形式的 TCP 攻击包;这种类型的扫描可间接检测防火墙的健壮性 |
-sU | UDP 扫描:探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢 |
-sP | ICMP 扫描:类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描 |
-P0 | 跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应 ICMP 请求时,可以使用这种方式,避免因无法 ping 通而放弃扫描 |
扫描操作示例
1.针对本机进行扫描,检查开放了哪些常用的 TCP 端口、UDP 端口
2.快速检测 192.168.126.0/24 网段中有哪些存活主机(能 ping 通)
3.检测 IP 地址位于 192.168.126.(0~200)的主机是否开启文件共享服务(指定扫描 139,445 端口)
nmap -n -sP 192.168.126.0/24