系统安全及应用

---

前言

系统安全问题一直都是我们比较关注的问题，往往出现安全漏洞的时候会对我们的系统运行有一定程度的影响，严重的话还会造成系统瘫痪等问题

---

一、账号安全控制

1、系统账号清理

• 将非登录用户的Shell设为/sbin/nolgin
• 锁定长期不使用的账号
• 删除无用的账号
• 锁定账号文件
  passwd————passwd -l（锁定）、-u（解锁）
  shadow————usermod -L（锁定！）-U(解锁)
  

chattr +i + 目标文件		#锁定文件
chattr -i + 目标文件		#解锁文件
lsattr + 目标文件		#查看文件锁定状态
+i  #锁定————了解passwd和shadow的作用
	##passwd锁定后无法创建用户
	##shadow锁定后无法修改密码

2、密码安全控制

• 设置密码有效期
• 要求用户下次登录时修改密码
  可以通过chage -M +指定天数+目标用户
  也可以通过vi /etc/login.defs进去登录文本文件查询修改
  
  

3、历史命令限制

• 减少记录的命令条数
• 注销时自动清空命令历史

vi /etc/profile		#进入配置用户环境信息的文档
	HISTSIZE=200		#history存放200条命令
	
vi .bash_logout		#登出系统配置文件
##删除历史指令方法如下
	history c
	clear

bash配置文件读取

1. /etc/profile： 此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行, 并从/etc/profile.d目录的配置文件中搜集shell的设置
2. /etc /bashrc: 为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取
3. ~/.bash_profile: 每个用户都可使用该文件输入专用于自己使用的shell信息,当用户登录时,该文件仅仅执行一次!默认情况下,他设置一些环境变量,然后执行用户的.bashrc文件,交互式登录shell调用此文件
4. ~/.bashrc: 该文件包含专用于你的bash，shell的bash信息,当登录时以及每次打开新的shell时，该文件被读取。这里可以设置别名。若删除此文件， 提示符会变成 -bash-3.2$，可以复制/etc/skel/.bashrc到自己的家目录下。交互式非登录shell调用此文件
5. ~/.bash_logout:当每次退出系统(退出bash shell)时,执行该文件，另外,/etc/profile中设定的变量(全局)的可以作用于任何用户,而~/.bashrc等中设定的变量(局部)只能继承 /etc/profile中的变量,他们是"父子"关系
   注意：~/.bash_profile 是交互式、login 方式进入 bash 运行的；~/.bashrc 是交互式non-login 方式进入 bash 运行的
   通常二者设置大致相同，所以通常前者会调用后者

4、终端自动注销

二、系统引导和登录控制

1、使用su命令切换用户

1.1用途及用法

• 用途：Substitute User，切换用户
• 格式：su - 目标用户

1.1.2密码验证

• root—>任意用户，不需要验证密码
• 普通用户—>其他用户，验证目标用户的密码

1.1.3限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组
• 启用pam_wheel认证模块

1.1.4查看su记录操作

• 安全日志文件：/var/log/secure
  

2、使用sudo机制提升权限

2.1.1su命令的优缺点

优点：便于管理

缺点：多用户管理受限

2.1.2sudo命令的使用

用途：以其他用户身份（如root）执行授权的命令
用法：sudo 授权命令

三、PAM认证

1、su命令的安全隐患

• 默认情况下，任何用户都允许使用su命令，有机会进入其他用户（如root）的登录密码（但是直接通过su命令切换用户会带来一定程度上的安全风险）
• 为了加强su命令的控制使用，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

2、PAM（Pluggable Authentication Modules）可插拔式认证模块

PAM是使用/etc/pam.d目录下的配置文件来管理程序的认证方式，应用程序嗲用相应的PAM配置文件，如su命令的配置文件在/lib64/security目录下，通过动态加载的方式来实现认证的，当使用su命令的时候系统会提示root用户的密码，通过su命令的模块调用来实现的。
PAM是一种高效且灵活得用户界别的认证方式，也是当前Linux服务器普遍使用的认证方式
PAM认证开启后是会优先读取.so的配置文件

2.1 PAM 配置文件

1、服务名（application）
telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
2、模块类型（module-type）
control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
module-path 用来指明本模块对应的程序文件的路径名
Arguments 用来传递给该模块的参数
Auth 账号的认证和授权
3、Account 与账号管理相关的非认证类的功能，如：用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)

• Password 用户修改密码时密码复杂度检查机制等功能
• Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作，如：记录打开/关闭数据的信息，监视目录等
• -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

4、简单方式实现：一个关健词实现

• required：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序，即为必要条件
• sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件
• optional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略
• include： 调用其他的配置文件中定义的配置信息

5、复杂详细实现：使用一个或多个“status=action”
[status1=action1 status2=action …]
Status:检查结果的返回状态
Action:采取行为 ok，done，die，bad，ignore，reset

• ok 模块通过，继续检查
• done 模块通过，返回最后结果给应用
• bad 结果失败，继续检查
• die 结果失败，返回失败结果给应用
• ignore 结果忽略，不影响最后结果
• reset 忽略已经得到的结果
• module-path: 模块路径

2.2PAM认证的构成

查看某个程序是否支持PAM认证，可以用ls命令
ls /etc/pam.d | grep su
查看su的PAM配置文件：cat 、etc/pam.d/su
每一行都是一个独立的认证过程

• 每一行可以区分为三个字段
• 认证类型
• 控制类型
• PAM模块及其参数

每一行的内容

第一列代表PAM认证模块类型
①auth：对用户身份进行识别，如提示输入密码，判断是否为root。
②account：对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
③password：使用用户信息来更新数据，如修改用户密码。
④session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。

第二列代表PAM控制标记
①required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
②requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
③sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
④optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于 session 类型）。
⑤include：表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。

2.3PAM认证过程

1. 使用者执行passwd程序，并输入密码
2. passwd开始调用PAM模块，PAM模块会搜寻passwd程序的PAM相关设置文件，这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件，即PAM会搜寻/etc/pam.d/pam_unix_passwd.so此设置文件
3. 经由/etc/pam.d/pam_unix_passwd.so设定文件的数据，取用PAM所提供的相关模块来进行验证
4. 将验证结果回传给passwd这个程序，而passwd这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）

---

四、sudo机制提权

###为什么要了解sudo命令？
su命令是有缺点的！！执行su命令是需要知道root用户的密码的，因为root用户拥有系统的最高权限，很容易误操作造成系统挂掉。

1、sudo命令的用途与用法

• 用途：以其他用户身份（如root）执行授权的命令
• 用法：sudo 授权命令

2、配置sudo授权

##配置方式有以下两种
visudo
 	##visudo默认权限是440
vi /etc/sudoers
 
 使用者账户	登入者的来源主机名=（可切换的身份）	可下达的指令
root		ALL=（ALL）						ALL
vbird1		ALL=（ALL）						ALL		#新增

1. 使用者账号：系统的那个账号可以使用sudo这个指令
2. 登入者的来源主机名：该账号可能由哪一个网络主机登录来的，该设定值可以指定客户端计算机，一般默认值为root账户
3. 可切换的身份：该账号可以切换成什么身份来下达后续的指令（预设root可以切换成功任何身份且进行任何指令）
4. 可下达的指令：可用该身份下达的指令（需要通过绝对路径来编写）
   
   

3、启动sudo操作日志

visudo                 #进入编辑
Defaults logfile = /var/log/sudo   #添加该命令：wq保存并退出

4、创建别名

User_Alias USERS=admin，admin1，admin2      ##用户的别名users包括：admin，admin1，admin2
Host_Alias HOSTS=localhost,hellolee 	  ##主机别名hosts包括：localhost，hellolee
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel
USERS HOSTS=CMNDS   		    ##用户组   主机组  =  命令程序列表

####其中主机别名可以省略#######

---

五、开关机安全控制

1、BIOS引导设置

• 将第一引导设备设为当前系统所在硬盘
• 禁止从其他设备（光盘、U盘、网络)引导系统
• 将安全级别设为setup，并设置管理员密码

2、GRUB限制

• 使用grub2-mkpasswd-pbkdf2生成密钥
• 修改/etc/grub.d/00_header文件，添加密码记录
• 生成新的grub.cfg配置文件

grub2-mkpasswd-pbkdf2   		 #根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub . pbkd.. . ..#省略部分内容为经过加密生成的密码字符串
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak 
vim /etc/grub.d/00_header
 
cat << EOF
set superusers="root”   		  #设置用户名为root
password_pbkdf2 root grub. pbkd2. . . .       
#设置密码，省略部分内容为经过加密生成的密码字符串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg          #生成新的grub.cfg文件
#######重启系统进入GRtB菜单时，按e键将需要输入账号密码才能修改引导参数########

grub2-setpassword		# 一步到位，直接设置
 

3、禁止用户登录

###禁止root用户登录
vi /etc/securetty           
#tty5           想要不让在哪个终端登陆就在该终端前加注释#
tty6   

###禁止普通用户登录(一般都是临时设置，关机重启后可以继续登录)
touch /etc/nologin      #创建/etc/nologin文件即禁止普通用户登录
rm -rf /etc/nologin     #删除该文件即取消登录限制touch /etc/nologin    
  

---

六、弱口令检测

弱口令检测（Joth the Ripper） ，简称JR 一款密码分析工具，支持字典式的暴力破解，通过对 shadow 文件的口令分析，可以检测密码强度

• 安装方法：make clean 系统类型
• 主程序文件为 john
• 检测弱口令账号 获得Linux/Unix服务器的shadow文件
• 执行john程序，将shadow文件作为参数
• 密码文件的暴力破解 准备好密码字典文件，默认password.lst
• 执行john程序，结合–wordlist=字典文件

基本步骤

cd /opt tar zxvf john-1.9.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make		 #安装软件编译工具
cd /opt/john-1.9.0/src make clean linux-x86-64 		#切换到src子目录，进行编译安装
cp /etc/shadow /opt/shadow.txt 		#准备待破解的密码文件
cd /opt/john-1.9.0/run ./john /opt/shadow.txt		 #执行暴力破解
./john --show /opt/shadow.txt		 #查看已破解出的账户列表
john.pot 			#清空已破解出的账户列表，以便重新分析 ./john --wordlist=./password.lst /opt/shadow.txt 		#使用指定的字典文件进行破解
./john --wordlist=./ password.1st / opt/ shadow.txt   ##非使用指定的字典文件进行破解

---

七、网络端口扫描

###需要安装nmap软件包再进行操作
	yum install -y nmap       

nmap命令常用选项与对应扫描类型

• -p：指定扫描的端口
• -n：禁用反向 DNS 解析（以加快扫描速度）
• -sS：TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放
• -sT：TCP连接扫描，这是完整的TCP扫描方式（默认扫描类型），用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放
• -sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性
• -sU：UDP 扫描，探测目标主机提供哪些 UDP 服务，UDP 扫描的速度会比较慢
• -sP：ICMP 扫描，类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描
• -P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping 通而放弃扫描
  
  

---

总结

• 账号的几种安全问题：能否登录用户，锁定或删除长期不使用的用户账号和文件
• 密码的有效期设置与修改：设置要求用户重新登陆时强制修改密码后才能登录
• 历史命令的限制、删除与读取顺序：/etc/profile->/etc/bashrc->_{/.bash_profile->}/.bashrc->~/.bash_logout
• 用户终端限制自动注销
• su命令与sudo机制的比较
• 了解一下PAM认证的形成过程
• 开关机的安全控制与终端控制
• 了解一下弱口令破解与端口扫描的操作