前言
系统安全问题一直都是我们比较关注的问题,往往出现安全漏洞的时候会对我们的系统运行有一定程度的影响,严重的话还会造成系统瘫痪等问题
一、账号安全控制
1、系统账号清理
- 将非登录用户的Shell设为/sbin/nolgin
- 锁定长期不使用的账号
- 删除无用的账号
- 锁定账号文件
passwd————passwd -l(锁定)、-u(解锁)
shadow————usermod -L(锁定!)-U(解锁)
chattr +i + 目标文件 #锁定文件
chattr -i + 目标文件 #解锁文件
lsattr + 目标文件 #查看文件锁定状态
+i #锁定————了解passwd和shadow的作用
##passwd锁定后无法创建用户
##shadow锁定后无法修改密码
2、密码安全控制
- 设置密码有效期
- 要求用户下次登录时修改密码
可以通过chage -M +指定天数+目标用户
也可以通过vi /etc/login.defs进去登录文本文件查询修改
3、历史命令限制
- 减少记录的命令条数
- 注销时自动清空命令历史
vi /etc/profile #进入配置用户环境信息的文档
HISTSIZE=200 #history存放200条命令
vi .bash_logout #登出系统配置文件
##删除历史指令方法如下
history c
clear
bash配置文件读取
- /etc/profile: 此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行, 并从/etc/profile.d目录的配置文件中搜集shell的设置
- /etc /bashrc: 为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取
- ~/.bash_profile: 每个用户都可使用该文件输入专用于自己使用的shell信息,当用户登录时,该文件仅仅执行一次!默认情况下,他设置一些环境变量,然后执行用户的.bashrc文件,交互式登录shell调用此文件
- ~/.bashrc: 该文件包含专用于你的bash,shell的bash信息,当登录时以及每次打开新的shell时,该文件被读取。这里可以设置别名。若删除此文件, 提示符会变成 -bash-3.2$,可以复制/etc/skel/.bashrc到自己的家目录下。交互式非登录shell调用此文件
- ~/.bash_logout:当每次退出系统(退出bash shell)时,执行该文件,另外,/etc/profile中设定的变量(全局)的可以作用于任何用户,而~/.bashrc等中设定的变量(局部)只能继承 /etc/profile中的变量,他们是"父子"关系
注意:~/.bash_profile 是交互式、login 方式进入 bash 运行的;~/.bashrc 是交互式non-login 方式进入 bash 运行的
通常二者设置大致相同,所以通常前者会调用后者
4、终端自动注销
二、系统引导和登录控制
1、使用su命令切换用户
1.1用途及用法
- 用途:Substitute User,切换用户
- 格式:su - 目标用户
1.1.2密码验证
- root—>任意用户,不需要验证密码
- 普通用户—>其他用户,验证目标用户的密码
1.1.3限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组
- 启用pam_wheel认证模块
1.1.4查看su记录操作
- 安全日志文件:/var/log/secure
2、使用sudo机制提升权限
2.1.1su命令的优缺点
优点:便于管理
缺点:多用户管理受限
2.1.2sudo命令的使用
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
三、PAM认证
1、su命令的安全隐患
- 默认情况下,任何用户都允许使用su命令,有机会进入其他用户(如root)的登录密码(但是直接通过su命令切换用户会带来一定程度上的安全风险)
- 为了加强su命令的控制使用,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
2、PAM(Pluggable Authentication Modules)可插拔式认证模块
PAM是使用/etc/pam.d目录下的配置文件来管理程序的认证方式,应用程序嗲用相应的PAM配置文件,如su命令的配置文件在/lib64/security目录下,通过动态加载的方式来实现认证的,当使用su命令的时候系统会提示root用户的密码,通过su命令的模块调用来实现的。
PAM是一种高效且灵活得用户界别的认证方式,也是当前Linux服务器普遍使用的认证方式
PAM认证开启后是会优先读取.so的配置文件
2.1 PAM 配置文件
1、服务名(application)
telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
2、模块类型(module-type)
control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
module-path 用来指明本模块对应的程序文件的路径名
Arguments 用来传递给该模块的参数
Auth 账号的认证和授权
3、Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)
- Password 用户修改密码时密码复杂度检查机制等功能
- Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等
- -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
4、简单方式实现:一个关健词实现
- required:一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序,即为必要条件
- sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件
- optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
- include: 调用其他的配置文件中定义的配置信息
5、复杂详细实现:使用一个或多个“status=action”
[status1=action1 status2=action …]
Status:检查结果的返回状态
Action:采取行为 ok,done,die,bad,ignore,reset
- ok 模块通过,继续检查
- done 模块通过,返回最后结果给应用
- bad 结果失败,继续检查
- die 结果失败,返回失败结果给应用
- ignore 结果忽略,不影响最后结果
- reset 忽略已经得到的结果
- module-path: 模块路径
2.2PAM认证的构成
查看某个程序是否支持PAM认证,可以用ls命令
ls /etc/pam.d | grep su
查看su的PAM配置文件:cat 、etc/pam.d/su
每一行都是一个独立的认证过程
- 每一行可以区分为三个字段
- 认证类型
- 控制类型
- PAM模块及其参数
每一行的内容
第一列代表PAM认证模块类型
①auth:对用户身份进行识别,如提示输入密码,判断是否为root。
②account:对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。
③password:使用用户信息来更新数据,如修改用户密码。
④session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
①required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
②requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
③sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
④optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于 session 类型)。
⑤include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。
2.3PAM认证过程
- 使用者执行passwd程序,并输入密码
- passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/pam_unix_passwd.so此设置文件
- 经由/etc/pam.d/pam_unix_passwd.so设定文件的数据,取用PAM所提供的相关模块来进行验证
- 将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
四、sudo机制提权
###为什么要了解sudo命令?
su命令是有缺点的!!执行su命令是需要知道root用户的密码的,因为root用户拥有系统的最高权限,很容易误操作造成系统挂掉。
1、sudo命令的用途与用法
- 用途:以其他用户身份(如root)执行授权的命令
- 用法:sudo 授权命令
2、配置sudo授权
##配置方式有以下两种
visudo
##visudo默认权限是440
vi /etc/sudoers
使用者账户 登入者的来源主机名=(可切换的身份) 可下达的指令
root ALL=(ALL) ALL
vbird1 ALL=(ALL) ALL #新增
- 使用者账号:系统的那个账号可以使用sudo这个指令
- 登入者的来源主机名:该账号可能由哪一个网络主机登录来的,该设定值可以指定客户端计算机,一般默认值为root账户
- 可切换的身份:该账号可以切换成什么身份来下达后续的指令(预设root可以切换成功任何身份且进行任何指令)
- 可下达的指令:可用该身份下达的指令(需要通过绝对路径来编写)
3、启动sudo操作日志
visudo #进入编辑
Defaults logfile = /var/log/sudo #添加该命令:wq保存并退出
4、创建别名
User_Alias USERS=admin,admin1,admin2 ##用户的别名users包括:admin,admin1,admin2
Host_Alias HOSTS=localhost,hellolee ##主机别名hosts包括:localhost,hellolee
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel
USERS HOSTS=CMNDS ##用户组 主机组 = 命令程序列表
####其中主机别名可以省略#######
五、开关机安全控制
1、BIOS引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setup,并设置管理员密码
2、GRUB限制
- 使用grub2-mkpasswd-pbkdf2生成密钥
- 修改/etc/grub.d/00_header文件,添加密码记录
- 生成新的grub.cfg配置文件
grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub . pbkd.. . ..#省略部分内容为经过加密生成的密码字符串
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
vim /etc/grub.d/00_header
cat << EOF
set superusers="root” #设置用户名为root
password_pbkdf2 root grub. pbkd2. . . .
#设置密码,省略部分内容为经过加密生成的密码字符串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg #生成新的grub.cfg文件
#######重启系统进入GRtB菜单时,按e键将需要输入账号密码才能修改引导参数########
grub2-setpassword # 一步到位,直接设置
3、禁止用户登录
###禁止root用户登录
vi /etc/securetty
#tty5 想要不让在哪个终端登陆就在该终端前加注释#
tty6
###禁止普通用户登录(一般都是临时设置,关机重启后可以继续登录)
touch /etc/nologin #创建/etc/nologin文件即禁止普通用户登录
rm -rf /etc/nologin #删除该文件即取消登录限制touch /etc/nologin
六、弱口令检测
弱口令检测(Joth the Ripper) ,简称JR 一款密码分析工具,支持字典式的暴力破解,通过对 shadow 文件的口令分析,可以检测密码强度
- 安装方法:make clean 系统类型
- 主程序文件为 john
- 检测弱口令账号 获得Linux/Unix服务器的shadow文件
- 执行john程序,将shadow文件作为参数
- 密码文件的暴力破解 准备好密码字典文件,默认password.lst
- 执行john程序,结合–wordlist=字典文件
基本步骤
cd /opt tar zxvf john-1.9.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make #安装软件编译工具
cd /opt/john-1.9.0/src make clean linux-x86-64 #切换到src子目录,进行编译安装
cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件
cd /opt/john-1.9.0/run ./john /opt/shadow.txt #执行暴力破解
./john --show /opt/shadow.txt #查看已破解出的账户列表
john.pot #清空已破解出的账户列表,以便重新分析 ./john --wordlist=./password.lst /opt/shadow.txt #使用指定的字典文件进行破解
./john --wordlist=./ password.1st / opt/ shadow.txt ##非使用指定的字典文件进行破解
七、网络端口扫描
###需要安装nmap软件包再进行操作
yum install -y nmap
nmap命令常用选项与对应扫描类型
- -p:指定扫描的端口
- -n:禁用反向 DNS 解析(以加快扫描速度)
- -sS:TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放
- -sT:TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
- -sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性
- -sU:UDP 扫描,探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢
- -sP:ICMP 扫描,类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描
- -P0:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫描
总结
- 账号的几种安全问题:能否登录用户,锁定或删除长期不使用的用户账号和文件
- 密码的有效期设置与修改:设置要求用户重新登陆时强制修改密码后才能登录
- 历史命令的限制、删除与读取顺序:/etc/profile->/etc/bashrc->/.bash_profile->/.bashrc->~/.bash_logout
- 用户终端限制自动注销
- su命令与sudo机制的比较
- 了解一下PAM认证的形成过程
- 开关机的安全控制与终端控制
- 了解一下弱口令破解与端口扫描的操作