linux系统安全及应用

一 账号基本安全措施

1.1 系统账号清理

1. 将非登录用户的Shell设为/sbin/nologin
   usemod -s /sbin.nologin 用户名
2. 锁定长期不使用的账号
   usermod -L 用户名（锁定）
   usermod -U 用户名（解锁）
   passwd -l 用户名（锁定）
   passwd -u 用户名（解锁）
   passwd -S 用户名（查看用户状态，是否被锁定）
3. 删除无用的账号
   userdel [-r] 用户名
   -r：连宿主目录一并删除
4. 锁定账号文件passw、shadow

chattr +i /etc/passwd /etc/shadow  //锁定文件
lsattr /etc/passwd /etc/shadow    //查看文件状态
chattr -i /etc/passwd /etc/shadow    //解锁文件

1.2 密码安全控制

① 设置密码有效期
② 要求用户下次登录时修改密码

1. 操作步骤
   vi /etc/login.defs 用vi编辑器修改密码配置文件，适用于新建用户

PASS_MAX_DAYS 30   需修改的配置文件
chage -M 30 zhangsan  适用于已有用户
chage -d 0 zhangsan    shadow文件中的三个字段被修改为0后，就会强制该用户在下次登录时需要更改密码

1.3 命令历史清理及自动注销

• 命令历史限制
  • 减少命令的命令条数（默认1000条）
    • vi /etc/profile
      使用vi编辑器修改系统环境变量配置文件
    • export HISTSIZE=20
      将命令历史条数限制为20
    • source /etc/profile
      使/etc/profile生效
  • 登录时自动清空命令历史
    • vi ~/.bashrc
      用vi编辑器对~/.bashrc文件进行编辑
    • echo " " > ~/.bash_history
      使用空值覆盖~/.bash_history里的信息

• 终端自动注销
  • 闲置300秒后自动注销
    • vi /etc/profile
      使用vi编辑器修改系统环境变量配置文件
    • export TMOUT=300
      将闲置自动注销命令修改成300，默认单位秒
    • source /etc/profile
      使/etc/profile生效

二 用户切换与提权

1.1 使用su命令切换用户

用途：Substitute User,切换用户

格式：su - 目标用户
带“-”不仅切换用户，而且也切换目标的shell环境

• 密码验证

  • root→任意用户，不验证密码
  • 普通用户→其他用户，验证目标用户的密码
  • whoami：查看当前用户

• 限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
  • 启用pam_wheel认证模块
    • gpasswd -a qz wheel
      将用户qz加入到wheel组
    • vi /etc/pam.d/su
    • auth required pam_wheel.so use_uid
      将此行前面的"#"删除，即取消注释
    • 启动pam_wheel 认证以后，未加入到wheel组内的其他用户将无法使用su命令

• 查看su操作记录

  • 安全日志文件: /var/log/secure

• vim /etc/pam.d/su
  auth sufficient pam_rootok.so（第二行）
  #auth required pam_wheel.so use_uid（第六行）

  • 1.以上两行是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户间使用su命令进行切换的。
  • 2.两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换善通用户就不需要输入密码
    pam_rootok.so模块的主要作用是使uid为0的用户，即 root用户能够直接通过认证而不用输入密码
  • 3.如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。
  • 4.如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

• su命令的安全隐患

  • 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root)的登录，从而带来安全风险
  • 为了加强su命令的使用空值，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

2.2 Linux中的PAM安全认证

1. PAM（Pluggable Authentication Modules）可插拔式认证模块

2. PAM是一种高效而且灵活便利的用户级别的认证方式

3. PAM也是当前Linux服务器普遍使用的认证方式

4. Linux-PAM，是Linux插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。

5. PAM使用/etc/pam.d/下的配置文件，来管理对程序的认证方式。应用程序调用相应的PAM配置文件，从而调用本地的认证模块，模块放置在/lib64/security 下，以加载动态库的形式进行认证。比如使用su命令时，系统会提示输入root用户的密码，这就是su命令通过调用PAM模块实现的。

6. PAM的配置文件中每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

2.2.1PAM认证原理

1. PAM 认证一般遵循的顺序:service（服务）→PAM（配置文件）→pam_*.so
2. PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam. d 下)，最后调用认证模块(位于/ lib64/security/下)进行安全认证。
3. 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的如果想查看某个程序是否支持 PAM认证，可以用ls命令进行查看/etc/pam.d/

• PAM认证的构成

  • 查看某个程序是否支持PAM认证，可以用ls命令
    • ls /etc/pam.d | grep su
  • 查看su的PAM配置文件:cat /etc/pam.d/su
    • 每一行都是一个独立的认证过程
    • 每一行可以区分为三个字段
      • 认证类型
      • 控制类型
      • PAM模块及其参数

1. 第一列代表PAM认证模块类型

名称	说明
auth	对用户身份进行识别，如提示输入密码，判断是否为root
account	对账号各项属性进行检查，例如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等
password	使用用户信息来更新数据，例如修改用户密码
session	定义登录前以及退出后所要进行的会话操作管理，例如登录连接信息，用户数据的打开和关闭，挂载文件系统

2. 第二列代表PAM控制标记

名称	说明
required必要条件	表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败
requisite	与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
sufficient充分条件	如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
optional	不进行成功与否的返回，一般不用于验证，只是显示信（通常用于 session类型)
include	表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/ systen-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新i逐一去写配置项

3. 第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
   说明：同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

4. 第四列代表PAM模块的参数，这个需要根据所使用的模块来添加传递给模块的参数。参数可以有多个，之间用空格分隔开。

5. 控制标记的补充说明

名称	说明
required	表示该行以及所涉及模块的成功是用户通过鉴别的【必要条件】。也可理解为，只有当对应于应用程序的所有带required标记的模块全部成功后，该程序才能通过鉴别。同时，如果任何带required标记的模块出现了错误，PAM并不立刻将错误消息返回给应用程序，而是在所有此类型模块都调用完毕后才将错误消息返回调用它的程序说白了，就是必须将所有的此类型模块都执行一次，其中任何一个模块验证出错，验证都会继续进行，并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝，通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop一样，以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达
requisite	与required相仿，只有带此标记的模块返回成功后，用户才能通过鉴别。不同之处在于其一旦失败就不再执行后面的其他模块，并且鉴别过程到此结束，同时也会立即返回错误信息。与required相比，似乎要显得更光明正大一些
sufficient	表示该行以及所涉及模块验证成功是用户通过鉴别的【充分条件】。也就是说只要标记为sufficient的模块一旦验证成功，那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的模块使用了requisite或者required控制标志也是一样。当标记为sufficient的模块失败时，suffictient模块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不会导致整个验证失败，但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重
optional	表示即便该行所涉及的模块验证失败，用户仍能通过认证。在PAM体系中，带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败，也允许用户享受应用程序提供的服务。使用该标志，PAM框架会忽略这个模块产生的验证错误，继续顺序执行下一个层叠模块

2.2.2 PAM安全认证流程

控制类型也称做Control Flags，用于PAM验证类型的返回结果

1. required验证失败时仍然继续，但返回Fail
2. requisite验证失败则立即结束整个验证过程，返回Fail
3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4. optional不用于验证，只显示信息用于session类型
   

2.3 使用sudo机制提升权限

1. 用途：以其他用户身份（如root）执行授权的命令
2. 用法：sudo 授权命令
3. 例如：sudo /sbin/ifconfig ens33:0 21.11.11.11/24
4. sudo -l（查看当前用户获得哪些sudo授权）
5. 初次使用sudo需要验证当前用户的密码，默认超时时长为5分钟，在此期间不再重复验证密码

• 配置sudo授权
  • visudo或者vi /etc/sudoers
    此文件默认权限为440，保存退出时必须执行":wq!"命令来强制操作
  • 记录格式: 用户 主机名=命令程序列表
    记录格式: 用户 主机名=(用户) 命令程序列表
    多个命令时用逗号相间隔，且“=”两边无空格
• 用户:直接授权指定的用户名，或采用"%组名”的形式(授权一个组的所有用户）
• 主机名:使用此规则的主机名。
  没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
• (用户):用户能够以何种身份来执行命令。
  此项可省略，默认时以root用广的身份来运行命令
• 命令程序列表:允许授权的用户通过sudo方式执行的特权命令。需填写命令程序的完整路径，多个命令之间以逗号","进行分隔。ALL则代表系统中的所有命令

命令	说明
QZ ALL= /sbin/ifconfig	QZ用户可在所有主机上执行/sbin/ifconfig 命令
Q localhost=/sbin/* , ! / sbin/reboot, ! / sbin/poweroff	Q用户可在本机中执行/sbin/目录的所有命令，除去/sbin/reboot和/sbin/poweroff通配符"*“代表所有，取反符号”!"代表除去
%wheel ALL=NOPASSWD: ALL	表示wheel组成员无需验证密码即可使用sudo执行任何命令
Z ALL= (root ) NOPASSWD: /bin/kill, /usr/bin/killall	表示Z以ROOT用户可以不使用密码的情况下执行/bin/kill和/usr/bin/killall
User_Alias USERS=QZ, Q,ZHost_Alias HOSTS=localhost,bogoncmnd_AliasCMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdelUSERS HOSTS=CMNDS	使用关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置别名别名必须为大写

• 启用sudo操作日志
  • visudo
  • Defaults logfile=“/var/log/sudo”
  • 需启用Defaults logfile配置，启用以后，sudo操作过程才会被记录
  • 默认日志文件:/var/log/sudo

三 开关机安全控制

3.1 BIOS引导设置

• 调整BIOS引导设置
  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为setup，并设置管理员密码

3.2 GRUB菜单设置密码

• GRUB限制
  • 使用grub2-mkpasswd-pbkdf2生成密钥
    pbkdf2是一种密码加密模式
  • 修改/etc/grub.d/00_header文件，添加密码记录
  • 生成新的grub.cfg配置文件

因为通常情况下在系统开机进入GRUB菜单时，按“e”键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。所以可以为GRUB菜单设置一个密码，只有提供正确的密码才会被允许修改引导参数

配置	说明
grub2-mkpasswd-pbkdf2	根据提示设置GRUB 菜单的密码
PBKDF2 hash of your password is grub.pbkdf2…	省略部分内容为经过加密生成的密码字符串
vim /etc/ grub.d/ 00_header	使用vim编辑器修改"00_header"文件
cat << EOF	EOF：提示符，这里表示开始。<<：重并项输入
set superusers=“root”	设置用户名为root
password_ pbkdf2 root grub.pbkdf2…	设置密码，省略部分内容为经过加密生成的密码字符串
EOF	EOF：提示符，这里表示结束。
grub2-mkconfig -o /boot/grub2/grub.cfg	生成新的 grub.cfg 文件

将此文件进行复制、备份，防止改错

cp /boot/grub2/grub.cfg / boot/grub2l grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/ 00_header.bak

重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数

四 终端控制

4.1 终端登录安全控制

• 限制root用户只在安全终端登录

  • 在linux系统中，login程序会读取/etc/securetty 文件，以决定允许root用户从哪些终端（安全终端）登录系统
  • 安全终端配置：/etc/securetty

• 限制普通用户登录

  • 建立/etc/nologin 文件
  • 删除nologin文件或重启后即恢复正常
  • touch /etc/nologin
    禁止普通用户登录
  • rm -rf /etc/nologin
    取消上述登录限制

4.2 John the Ripper工具

JR是一款开源的密码破解工具，可使用密码字典（包含各种密码组合的列表文件）来进行暴力破解

通过对shadow文件的口令分析，可以检测密码强度

JR官方网站

• 安装JR工具

  • 安装方法 make clean 系统类型
  • 主程序文件为 john

• 检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序，将shadow文件作为参数

• 密码文件的暴力破解

  • 准备好密码字典文件，默认为password.lst
  • 执行john程序，结合–wordlist=字典文件

步骤	说明
cd /opt	切换目录
tar zxf john-1.8.0.tar-gz	解压工具包
yum install -y gcc gcc-c++make	安装软件编译工具
cd /opt/john-1.8.0/src	切换到src子目录
make clean linux-x86-64	进行编i译安装
cp /etc/shadow /opt/shadow.txt	准备待破解的密码文件
cd /opt/john-1.8.0/run ./john /opt/shadow.txt	执行暴力破解
./john --show /opt/shadow .txt	查看已破解出的账户列表

john.pot（清空已破解出的账户列表，以便重新分析）
./john - -wordlist=./password.lst /opt/shadow.txt（使用指定的字典文件进行破解） //使用密码字典文件

4.3 网络扫描-NMAP

nmap是一个强大的端口扫描类安全评测工具，支持ping扫描，多端口检测等多种技术

官方网站

 CentOS 7.3光盘中安装包：nmap-6.40-7.el7.x86_64.rpm

nmap [扫描类型] [选项] <扫描目标…>

1. rpm -qa | grep nmap 查看nmap是否安装

2. yum install -y nmap 使用yum进行nmap安装

3. nmap命令常用的选项和扫描类型

选项	说明
-P	指定扫描端口
-n	禁用反向 DNS 解析（以加快扫描速度)反向DNS：把IP解析成域名
-sS	TCP的SYN扫描（半开半扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接，否则认为目标端口并未开放
-sT	TCP连接扫描，这是完整的TCP扫描方式(namp默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU	UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。
-sP	ICMP扫描，类似于 ping检测，快速判断目标主机是否存活，不做其他扫描。
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping通而放弃扫描。

1. netstat -natp（查看正在运行的使用TCP协议的网络状态信息）
2. netstat -naup（查看正在运行的使用UDP协议的网络状态信息）

项目	Value
-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n	以数字的形式显示相关的主机地址、端口等信息
-t	查看TCP相关的信息
-u	显示UDP协议相关的信息
-p	显示与网络连接相关联的进程号、进程名称信息（该选项需要root权限)
-l	显示处于监听状态的网络连接及端口信息
-r	显示路由表信息

4.4 例如：分别查看本机开发的TCP端口、UDP端口

nmap -sT 127.0.0.1
nmap -sU 127.0.0.1

例如：检测192.168.4.0/24网段有哪些主机提供HTTP服务

nmap -p 80 192.168.4.0/24

例如：检测192.168.4.0/24网段有哪些存活主机

nmap -n -sP 192.168.4.0/24

五 实例

5.1锁定账号文件

1. 锁定账号文件：charrt命令
2. 改变文件的最核心最低层的权限命令
   只有root可以执行，并且仅对root有效
   相比较chmod中的rwx的权限还要底层

选项	意义
+i	文件路径:锁住文件，仅可读；任何人不给更改，包括root
-i	/rtc/shadow:解锁文件
+a 文件名	加上指定文件名可追加内容的权限，使用echo追加；可读可追加
-a 文件名	文件名：解锁可追加内容的权限
lsattr /etc/shadow	查看底层真实文件

chattr -i /rtc/shadow:解锁文件

3. 10文件里面追加内容we，不可以进入文件vi编辑

5.1 概念及配置文件

chage命令：对存在的用户修改密码有效期
配置文件：etc/login.defs；决定shadow的默认信息

vim /etc/login.defs

2. 常用选项

-l 用户名：当前系统中用户的密码有效期
-h：chage命令的帮助信息
-d 日期 用户名：将最近一次密码设置时间设为最近日期
-d 0 用户名：设置用户下次登录必须更改密码
-E 日期 用户名：指定账号过期的时间
-M 天数 用户：多少天之后必须更改密码
-m：将两次改变密码之间相距的最小天数设为“最小天数”
-I：过期INACTIVE天数后，设定密码为失效状态
-R：chroot到的目录
-W：将过期警告天数设为“警告天数”

六 实例

6.1chagge -l zhangsan：用户AS的密码有效期

6.2chage -d 2021-05-12 AS：将用户AS密码设置时间为2021-05-12

chage -l zhangsan

七 命令历史限制

7.1 history：查看历史打入的命令，从登陆账号开始，记录在内存缓存中

7.2 清除历史命令

history -c：清除历史命令

   以下具体说明下history登录登出的含义
   root登录系统，history把命令记录在缓存中
   执行logout登出之后，产生隐藏文件.bash_history
   把history所有命令写入.bash_history，以便于下一次的查看 
  若删除.bash_history隐藏文件，因为history存的命令在缓存内，所有仍可以查看所有写出的命令
  那么彻底删除所有命令

   先删除隐藏文件.bash_history
   再history -c：清除命令
  登出系统之后就只剩logou命令写入.bash_history内，那么这时再登录系统查看history就只有两条命令：logout、   history’
 需要注意的是：
  新建的用户是没有.bash_history隐藏文件的，一旦登出会把history记录在.bash_history，
  系统才会存在此隐藏文件；需要ls -a 查看到隐藏文件