Linux系统安全及应用

账号安全基本措施

系统账号清理

• 将非登录用户的Shell设为/sbin/nologin
  usermod -s /sbin/nologin 用户名
• 锁定长期不使用的账号
  usermod -L 用户名 #锁定账户
  usermod -U 用户名 #解锁账户
• 锁定密码
  passwd -l 用户名 #锁定密码
  passwd -u 用户名 #解锁密码
  
  passwd -S 用户名 #查看用户状态
• 删除无用的账号
  userdel [-r] 用户名 #-r连宿主目录一起删掉
• 锁定账号文件passwd、shadow
  锁定账号文件后系统将无法再创建用户或修改密码
  chattr +i /etc/passwd /etc/shadow
  lsattr /etc/passwd /etc/shadow
  chattr -i /etc/passwd /etc/shadow
  

密码安全控制

• 设置密码有效期

  • 99999代表无有效期

• 要求用户下次登录时修改密码

  • 修改密码配置文件适用于创建新用户时
    vim /etc/login.defs
    …
    PASS_MAX_DAYS 30
    

  • 已用户设置方法
    chage -M 30 zhangsan
    cat /etc/shadow | grep zhangsan
    

  • 下次登录时强制修改密码

  • chage -d 0 zhangsan
    

• 命令历史限制

• 查看输入的历史命令

  • history

• 减少记录的命令条数

  • 默认记录的命令条数是1000条，避免被窃取命令信息泄露一些敏感命令
  • vim /etc/profile
    HISTSIZE=200
    source /etc/profile #使它生效
    

• 登录时自动清空命令历史
  vim ~/.bashrc
  echo " " > ~/.bash_history
  init 6 #设置完毕重启
  

• 终端自动注销

• 闲置600秒后自动注销
  vim /etc/profile
  …
  export TMOUT=600
  source /etc/profile #验证效果
  

使用su命令切换用户

• 用途及用法
• 用途： 切换用户
• 格式 su -目标用户
• 密码验证
• root→任意用户，不验证密码
• 普通用户→其他用户，验证目标用户的密码
• 限制使用su命令切换用户
• 将允许使用su命令的用户加入wheel组
• 启用pam_wheel认证模块
  gpasswd -a zhangsan wheel
  vim /etc/pam.d/su
  在第二行：auth sufficient pam_rootok.so
  在第六行：auth required pam_wheel.so use_uid
  
  
  a)以上两行是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户间使用su命令进行切换的
  b)两行都注释也是允许所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码，如果第一行不注释，则root使用su切换普通用户不需要输入密码（pam_rootok.so模块的主要作用是使UID为0的用户即root用户能够直接通过认证而不用输入密码）
  c)如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
  d)如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root也被禁用su命令
• 查看su操作记录
• 安全日志文件：/var/log/secure

Linux中的PRM安全认证

• su命令的安全隐患
• 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（root）的登录密码，带来安全风险
• 为了加强su命令的使用控制，可借助PAM认证模块，只允许极个别用户使用su命令进行切换
• PAM（Pluggable Authentication Modules）可插拔式认证模块
  是一套可制定、动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/lib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的

RAM认证原理

• PAM认证 一般遵循的顺序
• Service（服务）→PAM（配置文件）→pam_*.so
• 首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/lib64/security下）进行安全认证
• 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证， 不同的应用程序所对应的PAM模块是不同的
• 如果想查看某个程序是否支持PAM认证，可以用 ls 命令查看/etc/pam.d |grep su或者进入/etc/pam.d目录ls看有没有su这条命令的文件来证明

PAM认证的构成

• 查看su的PAM配置文件：cat /etc/pam.d/su
• 每一行都是独立的认证过程
• 每一行可以区分为三个字段
  • 认证类型
  • 控制类型
  • PAM模块及其参数
    
• 第一列代表PAM认证模块类型
  auth：对用户身份进行识别，如提示输入密码，判断是否为root
  account：对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否达到最大用户数等。
  password：使用用户信息来更新数据，如修改用户密码
  session：定义登录前以及退出后所要进行的会话操作管理。如登录连接信息，用户数据的打开和关闭，挂载文件系统
• 第二列代表PAM控制标记
  required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
  requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
  sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
  optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型) 。
  include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证面不需要重新逐一去写配置项。
• 第三列代表PAM模块
  默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。
• 第四列代表PAM模块的参数
  这个需要根据所使用的模块来添加
  传递给模块参数，参数可以有多个，之间用空格分隔开

PAM安全认证流程

• 控制类型也称作Control Flags，用于PAM验证类型的返回结果
• 1.required验证失败时仍然继续，但返回Fail（失败）因为是必要条件所以必须通过最后结果才能通过
• 2.requisite验证失败则立即结束整个验证过程，返回Fail
• 3.sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
• 4.optional不用于验证，只显示信息常用与（session类型）
  

使用sudo机制提升权限

• su命令的缺点
• 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
• sudo命令的用途及用法
• 用途：以其他用户身份（如root）执行授权命令
• 用法
  
• 配置sudo授权
• visudo或者vi /etc/sudoers
• 语法格式
  
  
• 用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）
• 主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
• （用户）：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
• 命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的绝对路径，多个命令之间以逗号“，”进行分割。ALL则代表系统中的所有命令
  • 可以使用通配符“*”表示所有、取反符号“！”表示排除
  • %wheel ALL=NOPASSWD:ALL %表示wheel组成员，nopasswd表示无需密码即可使用sudo命令
    
    
    有一个密码缓存期5分钟内没有进行操作就需要再次输入密码
• 通过设置别名的方式
  使用关键字user_Alias、Host_Alias、Cmnd_Alias来设置别名（别名必须为大写）
  
• 查看sudo操作记录
• 启用sudo操作日志
  visudo
  Defaults logfile = “/var/log/sudo”
  
  
• sudo -l #查看当前用户获得哪些sudo授权
  

开关机安全控制

• 调整BIOS引导设置
• 将第一引导设备设为当前系统所在硬盘
• 禁止从其他设备（光盘、U盘、网络）引导系统
• 将安全级别设为setup，并设置管理员密码
• GRUB限制更改引导参数
• 通常情况下在系统开机进入GRUB菜单式，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁
• 可以为GRUB菜单设置一个密码，只有提供争取到密码才被允许修改引导参数

  • 使用grub2-mkpasswd-pbkdf2生成密钥
    

  • 修改/etc/grub.d/00_header文件中，添加密码记录
    
    

  • 生成新的grub.cfg配置文件
    grub2-mkconfig -o /boot/grub2//grub.cfg
    
    配置好了重启验证即可此时
    

终端登录安全控制

• 限制root只在安全终端登录

• 安全终端配置：/etc/securetty
  

• 禁止普通用户登录

• 建立/etc/nologin文件
  touch /etc/nolongin

• 删除nolongin文件或重启后即恢复正常
  rm -rf /etc/nolongin

系统弱密码检测

• Joth the Ripper，简称为JR

• 一款密码分析工具，支持字典式的暴力破解

• 通过对shadow文件的口令分析，可以检测密码强度

• 官方网站：http://www/openwall.com/john/

• 安装JR工具

• 安装方法

• 主程序文件为john

• 检测弱口令账号

• 准备好密码字典文件，默认为password.lst

• 执行john程序，结合 --wordlist=字典文件

• 操作步骤
  1.把john文件拖入到opt目录中
  
  2.解压john文件
  
  3.切换到src子目录进行编辑安装
  
  
  4.执行john程序进行破解
  

• 查看已破解出的账户列表
  ./john --wordlist shadow
  

• 使用密码字典文件
  清空已破解的账户列表，以便重新分析 > john.pot
  可以指定别的字典文件进行破解 ./john --wordilst=./password.lst shadow

网络扫描NMAP

• NMAP是一个强大的端口扫描类安全测评工具，支持ping扫描、多端口检测等多种技术

• 安装NMAP软件包

• rpm -qa | grep nmap

• yum install -y nmap

• NMAP命令常用的选项和扫描类型
  

• netstat -natp 查看正在运行的使用TCP协议的网络状态信息

• netstat -naup 查看正在运行的使用UDP协议的网络状态信息
  

• 分别查看本机开放的TCP端口、UDP端口

• nmap -sT 127.0.0.1

• nmap -sU 127.0.0.1

• 检测192.168.4.0/24网段有哪些主机提供HTTP服务

• nmap -p 80192.168.4.0/24

• 检测192.168.4.0/24网段有哪些存活主机

• nmap -n -sP 192.168.4.0/24