系统安全与应用

admin管理员组

文章数量:1548301

文章目录

• 1 账号安全控制
• • 1.1 系统账号清理
  • • 1.1.1 将非登录用户的Shell设为/sbin/nologin
    • 1.1.2 锁定长期不使用的账号
    • 1.1.3 删除无用的账号
    • 1.1.4 锁定配置文件---chattr
  • 1.2 密码安全控制---chage
  • • 1.2.1 常用选项
    • 1.2.2 设置密码有效期
    • 1.2.3 要求用户下次登录时修改密码
  • 1.3 命令历史、自动注销
  • • 1.3.1 减少记录的命令条数
    • 1.3.2 注销时自动清空命令历史
    • 1.3.3 终端自动注销
  • 1.4 切换用户---su
  • • 1.4.1 用途及用法
    • 1.4.2 密码验证
    • 1.4.3 限制使用su命令的用户
    • 1.4.4 查看su操作记录---/var/log/secure
  • 1.5 Linux中的PAM安全认证
  • • 1.5.1 PAM原理
  • 1.6 提升执行权限---sudo
  • • 1.6.1 配置sudo授权
    • 1.6.2 配置/etc/sudoers文件，可以授权用户较多时使用
    • 1.6.3 查看sudo操作记录
    • 1.6.4 子目录
• 2 系统引导和登录控制
• • 2.1 调整BIOS引导设置原则
  • 2.2 GRUR菜单设置
  • 2.3 GRUB限制
  • • 2.3.1 进行GRUB限制的步骤
    • 2.3.2 grub加密方法
  • 2.4 终端登录安全控制
  • • 2.4.1 限制root只在安全终端登录
    • 2.4.2 禁止普通用户登录
• 3 弱口令检测---Joth the Ripper
• • 3.1 Joth the Ripper实例
• 4 端口扫描---NMAP

1 账号安全控制

1.1 系统账号清理

1.1.1 将非登录用户的Shell设为/sbin/nologin

在我们使用 Linux 系统时，除了用户创建的账号之外，还会产生系统或程序安装过程中产生的许多其他账号，除了超级用户 root 外，其他账号都是用来维护系统运作的，一般不允许登录，常见的非登录用户有 bin、adm、mail、lp、nobody、ftp 等

格式：usermod -s /sbin/nologin 用户名

1.1.2 锁定长期不使用的账号

锁定用户账号和解锁账号方法一
[root@fyr ~]# usermod -L zhangsan  //锁定用户账号
[root@fyr ~]# usermod -U zhangsan  //解锁账号 
锁定用户账号和解锁账号方法二
[root@fyr ~]# passwd -l zhangsan   //锁定用户账号  
[root@fyr ~]# passwd -u zhangsan  //解锁账号

1.1.3 删除无用的账号

[root@fyr ~]# userdel zhangsan
[root@fyr ~]# userdel -r zhangsan

1.1.4 锁定配置文件—chattr

锁定账号文件passwd、shadow

[root@fyr ~]# chattr +i /etc/passwd /etc/shadow           //锁定配置文件
[root@fyr ~]# chattr -i /etc/passwd /etc/shadow           //解锁配置文件
[root@fyr ~]# chattr +a /etc/passwd /etc/shadow           //让文件或目录仅供附加用途,只能追加
[root@fyr ~]# lsattr /etc/passwd /etc/shadow              //查看文件状态属性

1.2 密码安全控制—chage

1.2.1 常用选项

格式：chage [选项] 用户名

常用选项	作用
-m	密码可更改的最小天数。为零时代表任何时候都可以更改密码
-M	密码保持有效的最大天数
-W	用户密码到期前，提前收到警告信息的天数
-E	帐号到期的日期。过了这天，此帐号将不可用
-d	上一次更改的日期
-i	停滞时期。如果一个密码已过期这些天，那么此帐号将不可用
-l	例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期

1.2.2 设置密码有效期

[root@fyr ~]# vim /etc/login.defs  //适用于新建用户   
[root@fyr ~]# chage -l zhangsan
[root@fyr ~]# chage -M 60 zhangsan  //适用于已有用户

进入 vim 编辑器修改密码有效时间

1.2.3 要求用户下次登录时修改密码

[root@fyr ~]# chage -d 0 zhangsan  //强制要求用户下次登陆时修改密码
[root@fyr ~]# cat /etc/shadow | grep "zhangsan"   //查看zhangsan的密码信息

1.3 命令历史、自动注销

1.3.1 减少记录的命令条数

方法一：永久修改历史命令条数
[root@fyr ~]# vim /etc/profile  //进入配置文件修改限制命令条数,适合新用户
HISTSIZE=15     修改限制命令为15条，系统默认是1000条profile 
[root@fyr ~]# source /etc/profile    //刷新配置文件，使文件立即生效
或者[root@fyr ~]# . /etc/profile

方法二：临时修改当前用户的历史命令条数
[root@fyr ~]# export HISTSIZE=200  适用于当前用户
[root@fyr ~]# source /etc/profile 刷新配置文件，使文件立即生效

1.3.2 注销时自动清空命令历史

[root@fyr ~]# vim ~/.bashrc或vim .bashrc
echo "" > ~/.bash_history

1.3.3 终端自动注销

• 闲置60秒后自动注销

[root@fyr ~]# vim /etc/profile  //进入配置文件
export TMOUT=60  全局声明超过60秒闲置后自动注销终端
[root@fyr ~]# source /etc/profile
[root@fyr ~]# echo $TMOUT    //查看自动注销时间

[root@fyr ~]# export TMOUT=600   //如果不在配置文件输入这条命令，那么是对当前用户生效​
[root@fyr ~]# vim /etc/profile  //export TMOUT=60  注释掉这条命令，就不会自动注销了

1.4 切换用户—su

• su UserName：非登录式切换，即不会读取目标用户的配置文件，不改变当前工作目录，即不完全切换，与只切换了一部分，这会导致某些命令运行出现问题或错误
• su - UserName：登录式切换，会读取目标用户的配置文件，切换至自已的家目录，即完全切换，切换用户身份更彻底

1.4.1 用途及用法

用途：Substitute User，切换用户
格式 su - 目标用户    //横杠“ - ”代表切换到目标用户的家目录(加-是切换到宿主目录，不加-是切换到当前用户目录)

查看su操作记录
安全日志文件：/var/log/secure

1.4.2 密码验证

root-->任意用户，不验证密码
普通用户-->其他用户，验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境

su 切换新用户后，使用 exit 退回至旧的用户身份，
而不要再用 su 切换至旧用户，否则会生成很多的bash子进程，环境可能会混乱。

1.4.3 限制使用su命令的用户

su 命令的安全隐患
默认情况下，任何用户都允许使用 su 命令，从而有机会反复尝试其他用户（如root）的登录密码，这样带来了安全风险。为了加强 su 命令的使用控制，可借助于 pam_wheel 认证模块，只允许极个别用户使用 su 命令进行切换。
实现过程如下：将授权使用 su 命令的用户添加到 wheel 组，修改 /etc/pam.d/su 认证配置以启用 pam_wheel 认证

在 /etc/pam.d/su 文件里设置禁止用户使用 su 命令
[root@fyr ~]# vim /etc/pam.d/su
2 #auth sufficient pam_rootok.so
6 #auth required pam_wheel.so use_uid

a）以上两行是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户间使用 su 命令进行切换的。
b）两行都注释也是运行所有用户都能使用 su 命令，但 root 下使用 su 切换到其他普通用户需要输入密码；如果第一行不注释，则 root 使用 su 切换普通用户就不需要输入密码（pam rootok.so 模块的主要作用是使 uid 为 0 的用户，即 root 用户能够直接通过认证而不用输入密码。）

c）如果开启第二行，表示只有 root 用户和 wheel 组内的用户才可以使用 su 命令

d）如果注释第一行，开启第二行，表示只有 wheel 组内的用户才能使用 su 命令，root 用户也被禁用 su 命令。
注意：启用 pam_wheel 认证以后，未加入到 wheel 组内的其他用户将无法使用 su 命令，尝试进行切换时将提示“拒绝权限”，从而将切换用户的权限控制在最小范围内。

1.4.4 查看su操作记录—/var/log/secure

普通用户切换登录测试验证
使用 su 命令切换用户的操作将会记录到安全日志 /var/log/secure 文件中，可以根据需要进行查看

1.5 Linux中的PAM安全认证

PAM（Pluggable Authentication Modules）可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式总点什么
• 也是当前Linux服务器普遍使用的认证方式

1.5.1 PAM原理

• 一般遵循的顺序：
  Service（服务）–>PAM（配置文件）–>pam_*.so；
  
• PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件（位于 /etc/pam.d 下），最后调用认证模块（位于 /lib64/security/ 下）进行安全认证。
  
• 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证。不同的应用程序所对应的 PAM 模块也是不同的。
• 如果想查看某个程序是否支持 PAM 认证，可以用ls命令进行查看 /etc/pam.d/

ls /etc/pam.d/ | grep su

• PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由 PAM 模块调用

第一列代表 PAM 认证模块类型
auth：对用户身份进行识别，如提示输入密码，判断是否为 root 。
account：对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password：使用用户信息来更新数据，如修改用户密码。
session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。

第二列代表PAM控制标记
required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败（fail）。即：验证失败时仍然继续，但返回Fail
requisite:与 required 类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于session类型）。
include：表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用 /etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个，之间用空格分隔开

1.6 提升执行权限—sudo

用途：以其他用户身份（如root）执行授权命令
用法：sudo 授权命令

格式：sudo [参数选项] 命令

-l	列出用户在主机上可用的和被禁止的命令：一般配置好 /etc/sudoers 后，要用这个命令来查看和测试是不是配置正确的
-v	验证用户的时间戳：如果用户运行 sud o后，输入用户的密码后，在短时间内可以不用输入口令来直接进行 sudo 操作：用 -v 可以跟踪最新的时间戳
-u	指定以以某个用户执行特定操作
-k	删除时间戳，下一个 sudo 命令要求用求提供密码

sudo特性：

• sudo 能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo，会提示联系管理员
• sudo 提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器
• sudo 使用时间戳文件来执行类似的“检票”系统。当用户调用 sudo 并且输入它的密码时，用户获得了一张存活期为5分钟的票。sudo -V 可以查看相关配置信息
• sudo 的配置文件是 sudoers 文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在 /etc/sudoers，属性必须为 0440

1.6.1 配置sudo授权

visudo 或者 vim /etc/sudoers  
//此文件的默认权限为 440，保存退出时必须执行” :wq！“命令来强制操作

语法格式：
  用户 主机名列表=命令程序列表
或用户 主机名=（用户）命令程序列表
可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
权限生效后，输入密码后5分钟可以不用重新输入密码。

用户：直接授权指定的用户名，或采用“ %组名”的形式（授权一个组的所有用户）。
主机名：使用此规则的主机名。没配置过主机名时可用 localhost，有配过主机名则用实际的主机名，ALL 则代表所有主机
（用户）：用户能够以何种身份来执行命令。此项可省略，缺省时以 root 用户的身份来运行命令。
命令程序列表：允许授权的用户通过 sudo 方式执行的特权命令，需填写命令程序的完整路径，多个
命令之间以逗号”,”进行分隔。ALL 则代表系统中的所有命令

 用户    登入主机=(代表用户)  命令
#user    host   =(runas)   command
root     ALL    =(ALL)     ALL(绝对路径)  //root可以使用任何主机代表任何用户执行任何命令
%wheel   ALL    =(ALL)     ALL
 
user: 运行命令者的身份
      可以是用户也可以是组（组前应该加%）
      用户可以是用户名或者UID
      组可以是组名或者GID
host: 通过哪些主机 可以写IP地址或主机名 可以有多个主机
runas：以哪个用户的身份
command: 运行哪些命令
     command name  （命令）
     directory     （文件夹里的命令）
     sudoedit      （可以编辑sudoers这个文件，变相变成管理员）
     Cmnd_Alias    （命令别名）

案例一：wangliu用户可以使用useradd、usermod

[root@fyr ~]# visudo
wangliu ALL=（root）/usr/sbin/useradd,/usr/sbin/usermod
如wangliu ALL=（root）NOPASSWD: /usr/sbin/useradd,PASSWD: /usr/sbin/usermod
#前面不需要输入密码，后面需要输入密码

解决：

案例二：用户可以临时创建网卡

[root@fyr ~]# visudo
liliu fyr=(root) NOPASSWD: /usr/sbin/ifconfig

案例三：将用户加入sudoers


案例四：将用户加入wheel组中

1.6.2 配置/etc/sudoers文件，可以授权用户较多时使用

sudo别名有四种类型：

• User_Alias（用户）
• Runas_Alias（代表用户）
• Host_Alias（登录主机）
• Cmnd_Alias（命令）

Host_Alias MYHOSTS（别名） = feng,localhost  主机名
User_Alias MYUSERS = zhangsan,liliu,wangliu  需要授权的用户   
Cmnd_Alias MYCMNDS = /sbin/*,/usr/bin/passwd ,/usr/sbin/useradd 授权
MYUSERS MYHOSTS=NOPASSWD:MYCMNDS  授权格式

案例一：验证别名以及命令路径

1.6.3 查看sudo操作记录

需启用 Defaults logfile
配置默认日志文件： /var/log/sudo

1.6.4 子目录

[root@localhost sudoers.d]# vim /etc/sudoers.d/test
tieniul ALL= sudoedit     //tieniul 变相管理员 
[root@localhost sudoers.d]# chmod 440 test   //设置权限，加固安全

[root@localhost ~]# su tieniul
[tieniul@localhost root]$ sudoedit /etc/sudoers
//tieniul使用sudoedit  可以修改sudo配置文件

2 系统引导和登录控制

2.1 调整BIOS引导设置原则

• 将第一引导设备设为当前系统所在硬盘
• 禁止从其他设备(光盘、 U盘、网络)引导系统
• 将安全级别设为 setup,并设置管理员密码
• 禁用重启热键：Ctrl+Alt+Delete 避免因用户误操作重启

2.2 GRUR菜单设置

• 未经授权禁止修改启动参数
• 未经授权禁止进入指定系统

2.3 GRUB限制

通常情况下在系统开机进入 GRUB 菜单时，按e键可以查看并修改 GRUB 引导参数，这对服务器是一个极大的威胁。可以为 GRUB 菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

• 使用 grub2-mkpasswd-pbkdf2 获得加密字符串
• 修改 /etc/grub.d/00_ header 文件中， 添加密码记录
• 生成新的 grub.cfg 配置文件

2.3.1 进行GRUB限制的步骤

定义每个菜单项的所有脚本都存放在/etc/grub.d目录中，这些脚本的名称必须有两位的数字前缀，其目的是构建GRUB 2菜单时定义脚本的执行顺序以及相应菜单项的顺序，比如00_header文件首先被读取。

文件	描述
00_header	设置grub默认参数
10_linux	系统中存在多个linux版本
20_ppc_terminfo	设置tty控制台
30_os_prober	设置其他分区中的系统(硬盘中有多个操作系统时设置)
40_custom和41_custom	用户自定义的配置

2.3.2 grub加密方法

GRUB2 密码支持以下两种格式

• 明文密码：密码数据没有经过加密，安全性差
• PBKDF2加密密码：密码经过 PBKDF2 哈希算法进行加密，在文件中存储的是加密后的密码数据，安全性较高
  方法一：直接设置 grub2—setpasswd 设置 grub 密码
  第一步：生成新的 grub.cfg 文件，然后重启系统
  
  第二步：验证结果
  
  
  
  方法二：
• 使用 grub2-mkpasswd-pbkdf2 生成密钥并复制，然后备份两个配置文件。
• 修改 /etc/grub.d/00_ header 文件中， 添加密码记录，并存并退出

[root@fyr ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak   //将文件备份
[root@fyr ~]# cp /etc/grub.d/00_header 

第一步：备份

第二步：使用 grub2-mkpasswd-pbkdf2 命令生成 PBKDF2 加密口令

/etc/grub.d/00_header.bak  根据提示设置GRUB菜单的密码
[root@fyr ~]# grub2-mkpasswd-pbkdf2
输入口令：            //输入密码
Reenter password:   //重新输入密码
PBKDF2 hash of your password is      //生成的密码口令

第三步：在 /etc/grub.d/00_header 文件中添加用户和 PBKDF2 加密口令

[root@fyr ~]# vim /etc/grub.d/00_header //在/etc/grub.d/00_header文件中
cat <<EOF
set superusers="root"// 添加超级用户 此时超级用户名为root
password_pbkdf2 root//添加生成的随机的PBKDF2加密口令
grub.pbkdf2.sha512.10000.2B1B3DEC65AD151B750587D
56FE6379A36961AC952CCB902792D4BE41E15EA03ED902D37
02EB510613584FAD60EE01E33C42FA494BC0823874BDE05C
4488552F.C7463B5654D9077A8D4BFF8F867A429D4B17793F
2618F64D0ACB55CF218AEFBDD73E4479C7F72C0E73C88260435
F408008CF4F846CEFDDBEBEB87EF16ED66F62
EOF

第四步：使用 grub2-mkconfig 命令生成 grub 配置文件

使用 grub2-mkconfig 命令生成新的 grub.cfg 配置文件
[root@fyr ~]# grub2-mkconfig -o /boot/grub2/grub.cfg //生成新的 grub.cfg 文件

第五步：重启系统进入 GRUB 菜单时，按 e 键将需要输入账号密码才能修改引导参数。

若不设密码则会直接进入 grub 菜单
系统开机时，按“e"键可以进入 GRUB 菜单，这个部分可以修改是很危险的

2.4 终端登录安全控制

2.4.1 限制root只在安全终端登录

安全终端配置：/etc/securetty

步骤：

• 更改相关配置文件
• 切换至指定终端进行测试
• 切换至其他终端进行测试

[root@fyr ~]# vim /etc/securetty

2.4.2 禁止普通用户登录

• 建立 /etc/nologin 文件
• 删除 nologin 文件或者重启后即恢复正常

[root@fyr ~]# touch /etc/nologin
[root@fyr ~]# rm -rf /etc/nologin

3 弱口令检测—Joth the Ripper

• 一款密码分析工具，支持字典式的暴力破解
• 通过对 shadow 文件的口令分析，可以检测密码强度
• 官方网站：John the Ripper password cracker

3.1 Joth the Ripper实例

• 安装方法 make clean 系统类型
• 主程序文件为 john

1. 把下载好的安装包用过rz命令下到目录opy下（sz可以把linux系统中的文件传到自己的windows系统中）：
[root@fyr ~]# cd /mnt
[root@fyr mnt]# rz -E
[root@fyr mnt]# ls
john-1.8.0.tar.gz
​
2. 解压
[root@fyr mnt]# tar zxvf john-1.8.0.tar.gz 
​
3. 安装软件编译工具
[root@fyr mnt]# yum install gcc gcc-c++ make -y
​
4. 进行编译安装
[root@fyr john-1.8.0]# cd src/
[root@fyr src]# make clean linux-x86-64
​
5. 准备待破解的密码文件
[root@fyr src]# cp /etc/shadow /mnt/shadow.txt  // 准备密码文件

6. 执行暴力破解
[root@fyr src]# cd /mnt/john-1.8.0/run/
[root@fyr run]# ./john /mnt/shadow.txt 
​
7.查看已经破解出的密码
[root@fyr run]# ./john --show /mnt/shadow.txt

4 端口扫描—NMAP

• 一款强大的网络扫描、安全检测工具
• 官方网站：Nmap: the Network Mapper - Free Security Scanner
• CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

控制位
SYN	建立链接
ACK	确认
FIN	结束断开
PSH	传送 0 数据缓存 上层应用协议
RST	重置
URG	紧急

服务	端口号
HTTP	80
HTTPS	443
Telnet	23
FTP	21
SSH安全登录）、SCP（文件传输）、端口重定向	22
SMTP	25
POP3	110
WebLogic	7001
TOMCAT	8080
WIN2003远程登录	3389
Oracle数据库	1521
MS SQL* SEVER数据库sever	1433
MySQL 数据库sever	3306

常用格式：
nmap [扫描类型]  [选项]  <扫描目标>
netstat natp                                            //查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd                          //实际操作（httpd换成80也可以）
​
netstat -naup                                           //查看正在运行的使用UDP协议的网络状态信息
​
[root@localhost run]#rpm -qa|grep nmap   查看nmap
[root@localhost run]#yum install -y nmap   安装nmap

常见的选项	选项的作用
-p	指定扫描的端口
-n	禁用反向DNS解析(以加快扫描速度)
-sS	TCP的SYN扫描(半开扫描)，只向目标发出SYN数据包，如果收到SYNACK响应包就认为目标端口正在监听，并立即断开连接; 否则认为目标端口并未开放
-sT	CP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否 则认为目标端口并未开放
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU	UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢
-sP	ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放 弃扫描

natstat常用选项	作用
-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n	以数字的形式显示相关的主机地址、端1等信息
-t	查看TCP相关的信息
-u	显示UDP协议相关的信息
-p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r	显示路由表信息
-l	显示处于监听状态的网络连接及端口信息

案例一：分别查看本机开放的TCP端口、UDP端口

[root@fyr ~]# nmap -sT 127.0.0.1
[root@fyr ~]# nmap -sU 127.0.0.1

案例二：检测192.168.80.0/24网段有哪些主机提供HTTP服务

[root@fyr ~]# nmap -p 192.168.80.0/24

案例三：检测192.168.80.0/24网段有哪些存活主机

[root@fyr ~]# nmap -n -sP 192.168.80.0/24

本文标签： 系统安全