当前位置:   article > 正文

Linux中系统安全及应用_securelevel

securelevel


前言

作为一种开放源代码的操作系统,Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用。而了解Linux的安全知识,可以更好的维护Linux系统,比如通过账号安全控制,系统引导以及登录控制,来优化Linux系统的安全,还可以通过系统弱口令检测,网络端口扫描等安全工具,来查找隐患,增强系统安全性。


一、账号安全基本措施

1.系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
  • 锁定长期不使用的账号
  • 删除无用的账号
  • 锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
 #锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow    
 #查看
----i----------- /etc/passwd
----i----------- /etc/shadow

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 
#解锁
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
#查看
---------------- /etc/passwd
---------------- /etc/shadow

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

2.密码安全控制

  • 设置密码有限期
  • 要求用户下次登陆时修改密码
[root@localhost ~]# vi /etc/login.defs
PASS_MAX_DAYS   30
#适用于新建用户

[root@localhost ~]# chage -M 30 lisi
#适用于已有用户

[root@localhost ~]# chage -d 0 zhangsan
#强制在下次登录时更改密码


  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

3.命令历史限制

  • 减少记录的命令条数
  • 注销时自动清 空命令历史
history  查看
[root@localhost ~]# vi /etc/profile
HISTSIZE=10
#永久修改

[root@localhost ~]# vi ~/.bash_logout
history -c
clera
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

4.终端自动注销

  • 限制180秒后自动注销
[root@localhost ~]#vi ~/.bash_profile
……
export TMOUT=600 
  • 1
  • 2
  • 3

二、使用su命令切换用户

1.通途及用法

  • 用途:Substitute User,切换用户
  • 格式 su - 目标用户

2.密码验证

  • root→任意用户,不验证密码
  • 普通用户→其他用户,验证目标用户的密码
[lz12@localhost ~]$ su - root    #带 - 选项表示将使用目标用户的登陆Shell环境
口令:
[rootlocalhost ~]# whoami
root
  • 1
  • 2
  • 3
  • 4

3.限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
[rootlocalhost ~]# gpasswd -a tsengyia wheel
tsengyia
正在将用户"tsengyia"加入到“wheel"组中
  • 1
  • 2
  • 3
  • 启用pam_wheel认证模块回
[rootlocalhost ~]# vi /etc/pam.d/su
#%PAM-1.0
auth   sufficient pam_rootok.so
auth   requiredpam_wheel.so use_uid
……
  • 1
  • 2
  • 3
  • 4
  • 5

默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root) 的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel 认证模块,只允许极个别用户使用 su 命令进行切换。


4.查看su操作记录

  • 安全日志文件: /var/log/secure

三、PAM安全认证

1.su命令的安全隐患

  • 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险

  • 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换

2.PAM(Pluggable Authentication Modules)可插拔式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式
  • 也是当前Linux服务器普遍使用的认证方式

3.PAM认证原理

  • PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so;
  • 首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于letc/pam.d下),最后调用认证文件(位于/liblsecurity下)进行安全认证
  • 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序所对应的PAM模块是不同的

PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/1ib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的。


3.PAM认证的构成

  • 查看某个程序是否支持PAM认证,可以使用ls命令
例:查看su是否支持PAM模块认证
ls /etc/pam.d | grep su
  • 1
  • 2
  • 查看su的PAM配置文件:cat/etc/pam.d/su
  • 每一行都是一个独立的认证过程
  • 每一行可以区分为三个字段
    -认证类型
    -控制类型
    -PAM模块及其参数

4.PAM安全认证流程

  • 控制类型也称做Control Flags,用于PAM验证类型的返回结果
  1. required验证失败时仍然继续,但返回Fail;表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。

  2. requisite验证失败则立即结束整个验证过程,返回Fail;与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。

  3. sufficient俭证成功则立即返回,不再继续,否则忽略结果并继续;如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。

  4. optional不用于验证,只显示信息(通常用于session类型)

  5. include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

在这里插入图片描述


四、使用sudo机制提升权限

1.sudo命令的用途及用法

  • 用途:以其他用户身份(如root)执行授权的命令
  • 用法:sudo 授权命令

2.配置sudo授权

  • visudo 或者
  • vi /etc/sudoers(此文件的默认权限为440, 保存退出时必须执行":wq!"命令来强制操作)

语法格式:

用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表

用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可用localhost, 有配过主机名则用实际的主机名,ALL则代表所有主机
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令.
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
百分号:用户组的意思 all主机名 nopasswd无需输入所有密码

2.1 例:

Tom ALL=/sbin/ifconfig
Jerry localhost=/sbin/ *,!/sbin/reboot,!/sbin/poweroff
#通配符“*"表示所有、取反符号“!”表示排除
%wheel ALL=NOPASSWD: ALL
#表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL= (root) NOPASSWD: /bin/ki1l, /usr/bin/killall
gpasswd -M lisi wheel  ##李四加入wheel组
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

3.查看sudo操作记录

  • 需启用Default logfile 配置
  • 默认日志文件:/var/log/sudo
[rootlocalhost ~]# visudo
Default logfile = "/var/log/sudo"
  • 1
  • 2

sudo日志记录以备管理员查看,应在/etc/sudoers 文件中增加“Defaults logfile”设置
如果已经启用 sudo 日志,则可以从/var/log/sudo 文件中看到用户的 sudo 操作记录。
注:启用日志:Defaults logfile=/var/log/sudo
另外一个方法是/var/log/secure 日志可查看到sudo操作用户步骤


4. 查询授权的sudo操作

  • sudo -l

常用参数:
-l 列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;
-v 验证用户的时间戳;如果用户运行sudo 后,输入用户的密码后,在短时间内可以不用输入口令来直接进行sudo 操作;用-v 可以跟踪最新的时间戳;
-u 指定以以某个用户执行特定操作;
-k 删除时间戳,下一个sudo 命令要求用求提供密码;


5.sudo操作案例

5.1 使用关键字User_ Alias、 Host_ Alias、 Cmnd Alias 来进行设置别名(别名必须为大写)

Host_Alias MYHOSTS = localhost
User_Alias MYUSERS = zhangsan,wangwu,lisi
Cmnd_Alias MYCMNDS = /sbin/ *,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm
MYUSERS MYHOSTS=NOPASSWD:MYCMNDS
  • 1
  • 2
  • 3
  • 4

5.2 通过别名方式来添加授权记录,允许用户wangliu、 wangliu组、useradmin组 并且定义命令别名。

User_Alias USERADMIN = wangliu,%wangliu ,%useradmin
Cmnd_Alias USERADMINCMND =/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd,!/usr/bin/passwd root  #取反的优先级最高
USERADMIN ALL=(root) NOPASSWD: USERADMINCMND
  • 1
  • 2
  • 3

五、开关机安全控制

1.调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为setup,并设置管理员密码

2.GRUB限制

  • 使用grub2-mkpasswd-pbkdf2生成密钥
  • 修改/etclgrub.d/00_header文件中,添加密码记录
  • 生成新的grub.cfg配置文件

例:
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。

grub2-mkpasswd-pbkdf2    
 #根据提示设置GRUB菜单的密码
 
PBKDF2 hash of your password is grub . pbkd.....   
 #省略部分内容为经过加密生成的密码字符串
 
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
vim /etc/grub.d/00_header
cat << EOF
set superusers="root"     
#设置用户名为root

password pbkdf2 root grub. pbkd2.....      
#设置密码,省略部分内容为经过加密生成的密码字符串

EOF
grub2-mkconfig -o /boot/grub2/grub.cfg #生成新的grub.cfg 文件
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

六、终端登录安全控制

1.限制root只在安全终端登陆

安全终端配置:/etc/securetty

[rootlocalhost ~]# vi /etc/securetty
……
#tty5
#tty6

#禁止root用户从终端tty5、tty6登陆
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

2.禁止普通用户登陆

建立/etc/nologin文件
删除nologin文件或重启后即恢复正常

[rootlocalhost ~]# touch /etc/nologin
#禁止普通用户登陆

[rootlocalhost ~]# rm -rf/etc/nologin
#取消上述登陆限制
  • 1
  • 2
  • 3
  • 4
  • 5

七、系统弱口令检测

  • John the Ripper,简称为JR

JohntheRipper是一-款开源的密码破解工具,可使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。

#解压工具包
cd /opt
tar. zxf john-1.8.0.tar.gz

#安装软件编译工具
yum install -y gcc gcc-c++ make

#切换到src子目录
cd /opt/john-1.8.0/src

#进行编译安装
make clean linux-x86-64

#准备待破解的密码文件
cp /etc/shadow /opt/shadow.txt

#执行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt

#查看已破解出的账户列表
./john --show /opt/shadow.txt

#使用密码字典文件
> john. pot
> 
#清空已破解出的账户列表,以便重新分析
./john --wordlist=./password.1st /opt/shadow.txt
#使用指定的字典文件进行破解
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29

八、网络端口扫描

1. NMAP

一款强大的网络扫描、安全检测工具
官方网站: http://nmap.orgl
CentOS 7.7光盘中安装包nmap-6.4O-7.el7.x86_64.rpm

rpm -qa|grep nmap  
#查看nmap
yum install -y nmap

nmap命令常用的选项和描类型:
-p:指定扫描的端口。
-n:禁用反向DNS解析(以加快扫描速度)
-sS: TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即
断开连接;否则认为目标端口并未开放。
-sT: TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监
听服务,否则认为目标端口并未开放。
-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单
过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU: UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP: ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0:跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法
ping通而放弃扫描。


控制位
SYN  建立链接
ACK  确认
FIN  结束断开
PSH  传送 0 数据缓存   上层应用协议
RST  重置
URG  紧急
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

2.例

#分别查看本机开放的TCP端口、UDP端口
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1

#检测192.168.80.0/24网段有哪些主机提供HTTP服务
nmap -p 80 192.168.80.0/24

#检测192.168.80.0/24网段有哪些存活主机
nmap -n -sP 192.168.80.0/24 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

总结

  • 账号基本安全措施:
    -chattr命令,可以锁定账号文件;
    -hage命令,可以为用户设置密码有效期
  • su命令切换用户、sudo提升权限
  • 开关机安全控制
    • 调整BIOS引导设置,GRUB限制
  • 限制root只在终端登陆 vi /etc/securetty ;禁止普通用户登陆 touch /etc/nologin
  • 使用JR检测系统弱口令
  • 通过 namp命令 扫描网络端口
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
相关标签
  

闽ICP备14008679号