linux系统安全加固--账号相关

linux系统安全加固

一、账号相关

1、禁用或删除无用账号

减少系统无用账号，降低安全风险。

当我们的系统安装完毕后，系统默认自带了一些虚拟账户，比如bin、adm、lp、games、postfix等，这些账号理论上是可以删除的。但是因为它们的登录shell都是/sbin/nologin，所以它们本身也是无法登录的，不用删也可以。我们要注意的是系统安装完成后，自己手动创建的一些账户，比如这些登录shell是/bin/bash，一定要控制好。

1.1、使用cat /etc/passwd 命令查看所有账号

如下图所示：

注:/etc/passwd是存放用户的地方，简单学习一下。各个字段描述如下：

用户名: 密码 : uid : gid :用户描述：主目录：登陆shell

把系统一些自带的账号注释掉：

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。

删除用户主要包括：adm,lp,sync,shutdown,halt,news,uucp,operator,games,ftp,postfix,dovecot

[root@localhost ~]# cp /etc/passwd /etc/passwdbak
[root@localhost ~]# vim /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-bus-proxy:x:999:997:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
lulu:x:1000:1000::/home/lulu:/bin/bash
#dovecot:x:97:97:Dovecot IMAP server:/usr/libexec/dovecot:/sbin/nologin
#dovenull:x:997:995:Dovecot's unauthorized user:/usr/libexec/dovecot:/sbin/nologin
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
dockerroot:x:996:993:Docker User:/var/lib/docker:/sbin/nologin
dd:x:1001:1001::/home/dd:/bin/bash
doubles:x:1002:1002::/home/doubles:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
d1:x:1003:1004::/home/d1:/bin/bash
d3:x:1004:1007::/home/d3:/bin/bash
[root@localhost ~]# id adm
id: adm: no such user
[root@localhost ~]# id lp
id: lp: no such user
[root@localhost ~]# 

注释用户组

删除的用户组包括：adm,lp,mail,games,ftp,audio

[root@localhost ~]# cp /etc/group /etc/groupbak
[root@localhost ~]# vim /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
#adm:x:4:
tty:x:5:
disk:x:6:
#lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:doubles
cdrom:x:11:
mail:x:12:postfix
man:x:15:
dialout:x:18:
floppy:x:19:
#games:x:20:
tape:x:30:
video:x:39:
#ftp:x:50:
lock:x:54:
#audio:x:63:
.....

1.2、userdel -r删除不必要的账号

如果是一些自己添加的账户，不用的话，建议直接删除。

加上参数-r，将账号相应的home目录与mail目录都一起删掉。

[root@localhost ~]# userdel -r d2
userdel: d2 mail spool (/var/spool/mail/d2) not found
userdel: d2 home directory (/home/d2) not found
[root@localhost ~]# 

1.3、passwd -l禁用账户

使用passwd -l禁用账户dd，禁用后，root用户仍然可以su，但是其他用户无法su到dd，也无法通过xshell去ssh到dd了。

[root@localhost ~]# passwd -l dd
Locking password for user dd.
passwd: Success
[root@localhost ~]# su dd
[dd@localhost root]$ exit
exit
[root@localhost ~]# su - doubles
Last login: Sat Sep 8 20:24:52 HKT 2018 on pts/2
[doubles@localhost ~]$ su dd
Password: 
su: Authentication failure
[doubles@localhost ~]$ 

1.4、passwd -u解锁账户

使用passwd -u解锁后，账户可以正常登陆。

[doubles@localhost ~]$ exit
logout
[root@localhost ~]# passwd -u dd
Unlocking password for user dd.
passwd: Success
[root@localhost ~]# su doubles
[doubles@localhost root]$ su dd
Password: 
[dd@localhost root]$ 

2、检查特殊账号

检查是否存在空口令和root权限的账号。

2.1、检测空口令账户

[root@localhost ~]# awk -F: '$2=="!!" {print $1}' /etc/shadow
systemd-bus-proxy
systemd-network
dbus
polkitd
tss
postfix
sshd
lulu
dovecot
dovenull
mysql
dockerroot
apache
d3

再去/etc/passwd查看哪些账户是可登录的，如下：

2.2、加固空口令账号

对无口令并且可登录的账户，进行密码设置：（注意密码不能包含用户名，也不能少于7位）

[root@localhost ~]# passwd lulu
Changing password for user lulu.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@localhost ~]# passwd d3
Changing password for user d3.
New password: 
BAD PASSWORD: The password is shorter than 7 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@localhost ~]# 
[root@localhost ~]# passwd d3
Changing password for user d3.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

2.3、检测root权限账号

使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。

[root@localhost ~]# awk -F: '($3==0)' /etc/passwd
root:x:0:0:root:/root:/bin/bash
[root@localhost ~]# 

确保uid为0的账号只能是root账号。

3、添加口令策略

3.1、密码复杂度设置

加强口令的复杂度等，降低被猜解的可能性。

a、用户密码不能包含用户名

b、用户密码不能少于10位

c、用户密码需要是特殊字符、数字、字母的组合

Linux对应的密码策略模块有：pam_passwdqc 和 pam_pwquality 。

pam_passwdqc模块对应的是/etc/login.defs

pam_pwquality模块对应的是/etc/security/pwquality.conf

（旧版是pam_cracklib.so）

3.1.1、修改/etc/login.defs

[root@localhost ~]# vim /etc/login.defs

PASS_MIN_LEN 10 #密码最小长度,使用pam_cracklib module,该参数不再有效

3.1.2、修改/etc/pam.d/system-auth

修改前，我们先备份一下：

[root@localhost ~]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth-backup

3.1.2.1、禁止使用旧密码

找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行，它表示禁止使用最近用过的5个密码（己使用过的密码会被保存在 /etc/security/opasswd 下面）。

配置如下：

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

3.1.2.2、设置密码最小长度

找到同时有 “password” 和 “pam_cracklib.so” 字段并且附加有 “minlen=10” 的那行，它表示最小密码长度为（10 - 类型数量）。这里的 “类型数量” 表示不同的字符类型数量。PAM 提供4种类型符号作为密码（大写字母、小写字母、数字和标点符号）。如果你的密码同时用上了这4种类型的符号，并且你的 minlen 设为10，那么最短的密码长度允许是6个字符。

配置如下：

password requisite pam_cracklib.so retry=3 difok=3 minlen=10

3.1.2.3、其他复杂度设置

pam_cracklib.so比较重要和难于理解的是它的一些参数和计数方法，其常用参数包括： 　　

debug：将调试信息写入日志；

type=xxx：当添加/修改密码时，系统给出的缺省提示符是“New UNIX password:”以及“Retype UNIX

password:”，而使用该参数可以自定义输入密码的提示符，比如指定type=your own word；

retry=N：定义登录/修改密码失败时，可以重试的次数；

difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；

minlen=N：定义用户密码的最小长度；

dcredit=N：定义用户密码中必须包含多少个数字；

ucredit=N：定义用户密码中必须包含多少个大写字母；

lcredit=N：定义用户密码中必须包含多少个小些字母；

ocredit=N：定义用户密码中必须包含多少个特殊字符（除数字、字母之外）；

我的配置如下：

主要是两行:

[root@localhost ~]# vim /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=1 minlen=8 authtok_type="doubles type"
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

（注）

a、*credit=-1表示至少有一个的意思。

b、旧版的系统用的pam_cracklib.so，只要把上面的pam_pwquality.so替换成pam_cracklib.so就可以了。

c、Centos7以后都用pam_pwquality了，pam_pwquality完全向下兼容pam_cracklib，并且还提供了/etc/security/pwquality.conf进行参数配置。

3.1.2.4、测试

以上设置对root用户完全不起作用的。root是个bug般的存在

[root@localhost ~]# passwd doubles
Changing password for user doubles.
New "doubles password: （输入的是dd）
BAD PASSWORD: The password is a palindrome
Retype new "doubles password: (输入的是dd123)
Sorry, passwords do not match.
New "doubles password: (输入的是dd123)
BAD PASSWORD: The password contains less than 1 uppercase letters
Retype new "doubles password: (再次输入dd123)
passwd: all authentication tokens updated successfully.
[root@localhost ~]# 

以上root给doubles最终设置密码为dd123，虽然不符合规则，但还是设置成功了，这就是root。

切换成普通用户去更改自己的密码：

[root@localhost ~]# su doubles
[doubles@localhost root]$ passwd doubles
passwd: Only root can specify a user name.
[doubles@localhost root]$ passwd
Changing password for user doubles.
Changing password for doubles.
(current) UNIX password: （输入的是dd）
passwd: Authentication token manipulation error
[doubles@localhost root]$ passwd
Changing password for user doubles.
Changing password for doubles.
(current) UNIX password: 
New "doubles password: (输入的是dd123，跟老密码一样了，remember起作用了。)
BAD PASSWORD: The password is the same as the old one
New "doubles password: （输入的是doubles，没有数字）
BAD PASSWORD: The password contains less than 1 digits
New "doubles password: （输入的是doubles123，没有大写）
BAD PASSWORD: The password contains less than 1 uppercase letters
passwd: Have exhausted maximum number of retries for service
[doubles@localhost root]$ 
 
# 尝试了最大次数，再试：
[doubles@localhost root]$ passwd
Changing password for user doubles.
Changing password for doubles.
(current) UNIX password: （当前密码dd123）
New "doubles password: (Doubles123，没有特殊字符)
BAD PASSWORD: The password contains less than 1 non-alphanumeric characters
New "doubles password: （doubles123!!，包含用户名）
BAD PASSWORD: The password contains the user name in some form
New "doubles password: （dd123456!!!，没有大写）
BAD PASSWORD: The password contains less than 1 uppercase letters
passwd: Have exhausted maximum number of retries for service
[doubles@localhost root]$ passwd
Changing password for user doubles.
Changing password for doubles.
(current) UNIX password: （当前密码dd123）
New "doubles password: (Dou12313456，没有特殊字符)
BAD PASSWORD: The password contains less than 1 non-alphanumeric characters
New "doubles password: （dd123!!，少于8位了）
BAD PASSWORD: The password is shorter than 8 characters
New "doubles password: （Ddou123!!!）
Retype new "doubles password: （Ddou123!!!）
passwd: all authentication tokens updated successfully.
[doubles@localhost root]$ 
 

返回顶部 收缩

3.2、设置用户密码过期时间

3.2.1、修改 /etc/login.defs

通过修改配置文件  vi /etc/login.defs ，设置全体用户的密码过期时间等。

[root@localhost ~]# vim /etc/login.defs
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

3.2.2、使用命令chage

使用chage 命令单独修改单用户配置

chage   -m  (最短时间)  -M  (最长时间) -E (过期时间) -W （过期前X天提示) 用户名

[root@localhost ~]# chage -m 0 -M 30 -E 2020-01-01 -W 7 doubles
[root@localhost ~]# 

表示将此用户doubles的密码最短使用天数设为0，最长使用天数设为30，密码2020年1月1日过期，过期前七天警告用户。

注意：当出现如下图错误的时候，基本就是密码过期了，可以使用上面的命令修改过期时间，即可重新登录。

WARNING: Your password has expired.
You must change your password now and login again!

[root@localhost ~]# chage -m 0 -M 99999 -E 2020-01-01 -W 7 doubles

再重新连接即可不用修改密码就能登录了。

这里一般不建议把过期时间设为99999，之前30天，你设个60天就好了，延长30天。

3.3、密码输错三次，锁定用户5分钟

使用cat /etc/pam.d/sshd命令查看密码策略：

设置连续输错三次密码，账号锁定五分钟，只能由root用户解锁。

3.3.1、修改配置：

一定要写在#%PAM-1.0下面，否则即使输错三次，只要继续输对了密码，还是可以登录，导致无法锁定。

auth required  pam_tally2.so onerr=fail deny=3 unlock_time=300 

参数解释：

pam_tally2.so：位于/usr/lib64/security/下。（注意：如果用pam_tally.so，是没有自动解锁的功能。只能进单用户模式解锁。）

deny:设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

no_magic_root 连root用户也在限制范围，不给root特殊权限。

even_deny_root 也限制root用户；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

3.3.2、上面配置完毕后，我们在另一台机器用ssh试一下：

这里故意输错三次密码，

[doubles@localhost root]$ ssh dd1@192.168.188.129
dd1@192.168.188.129's password: 
Permission denied, please try again.
dd1@192.168.188.129's password: 
Permission denied, please try again.
dd1@192.168.188.129's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
[doubles@localhost root]$ 
[doubles@localhost root]$ 

输错三次后，再输入正确密码，发现也没办法登录了。

[doubles@localhost root]$ ssh dd1@192.168.188.129
dd1@192.168.188.129's password: 
Permission denied, please try again.
dd1@192.168.188.129's password: 
[doubles@localhost root]$ 

3.3.3、我们在192.168.188.129上面查看/var/log/secure日志发现：

[root@localhost ~]# vim /var/log/secure
Sep 9 17:47:40 localhost unix_chkpwd[72389]: password check failed for user (dd1)
Sep 9 17:47:40 localhost sshd[72387]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.188.128 user=dd1
Sep 9 17:47:42 localhost sshd[72387]: Failed password for dd1 from 192.168.188.128 port 46584 ssh2
Sep 9 17:47:43 localhost unix_chkpwd[72390]: password check failed for user (dd1)
Sep 9 17:47:45 localhost sshd[72387]: Failed password for dd1 from 192.168.188.128 port 46584 ssh2
Sep 9 17:47:46 localhost sshd[72387]: pam_tally2(sshd:auth): user dd1 (1001) tally 3, deny 2
Sep 9 17:47:46 localhost unix_chkpwd[72391]: password check failed for user (dd1)
Sep 9 17:47:48 localhost sshd[72387]: Failed password for dd1 from 192.168.188.128 port 46584 ssh2
Sep 9 17:47:48 localhost sshd[72387]: Connection closed by 192.168.188.128 [preauth]
Sep 9 17:47:48 localhost sshd[72387]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.188.128 user=dd1
Sep 9 17:47:59 localhost sshd[72393]: pam_tally2(sshd:auth): user dd1 (1001) tally 4, deny 2
Sep 9 17:48:01 localhost sshd[72393]: Failed password for dd1 from 192.168.188.128 port 46586 ssh2
Sep 9 17:48:07 localhost sshd[72393]: Connection closed by 192.168.188.128 [preauth]

查看错误登录次数：

[root@localhost ~]# pam_tally2 --user dd1
Login Failures Latest failure From
dd1 4 09/09/18 17:47:59 192.168.188.128
[root@localhost ~]#

清空错误登录次数：（解锁）

[root@localhost ~]# pam_tally2 --user dd1 --reset
Login Failures Latest failure From
dd1 4 09/09/18 17:47:59 192.168.188.128
[root@localhost ~]# pam_tally2 --user dd1
Login Failures Latest failure From
dd1 0
[root@localhost ~]# 

3.3.4、其他设置

以上是针对远程登录的sshd，针对不同服务来限制不同登陆方式：

#只在本地文本终端tty上做限制，可以编辑如下文件，添加的内容和上方一样。

vim /etc/pam.d/login

#只在远程telnet、ssh登陆上做限制，可以编辑如下文件，添加的内容和上方也一样。

vim /etc/pam.d/remote

vim /etc/pam.d/sshd

3.3.5、汇总更改

参考文档：https://www.jb51.net/article/116935.htm

如果想要各个终端都限制，那么更改/etc/pam.d/password-auth。

加入下面两行：

auth required pam_tally2.so deny=3 unlock_time=600
account required pam_tally2.so

注意：

很多教程里都说更改/etc/pam.d/system-auth文件，这是错误的，要看/etc/pam.d/sshd各终端调用的是哪个文件，像我这里就没有调用这个文件，调用的是password-auth，如下图：

这是/etc/pam.d/sshd：

再看/etc/pam.d/login:

通过上述两个文件，你会发现sshd用了password-auth，而login用了system-auth，所以要看清楚再去设置相应的文件。

小编曾经就在这里折腾了好久，引以为鉴......

4、限制用户su

禁止普通用户su到root用户，只允许指定的用户su到root用户。（需要root权限）

为禁止普通用户su至root，需要分别修改/etc/pam.d/su和/etc/login.defs两个配置文件。

4.1、只有wheel组用户能够su

4.1.1、配置

首先：将用户加入到wheel组（后面会设置只有wheel组的用户才能su到root）

[root@localhost ~]# usermod -G wheel doubles
[root@localhost ~]# id doubles
uid=1002(doubles) gid=1002(doubles) groups=1002(doubles),10(wheel)

去除/etc/pam.d/su文件中如下行的注释：（表示要求用户在wheel组下才能root）

[root@localhost ~]# vim /etc/pam.d/su
auth required pam_wheel.so use_uid

在/etc/login.defs文件中加入如下配置项：(表示只有wheel组能够su到root)

[root@localhost ~]# vim /etc/login.defs 
SU_WHEEL_ONLY yes

4.1.2、测试

下面我们切换到普通用户su试一下

[root@localhost shellscript]# su dd
[dd@localhost shellscript]$ id
uid=1001(dd) gid=1001(dd) groups=1001(dd)
[dd@localhost shellscript]$ su
Password: 
su: Permission denied
[dd@localhost shellscript]$ 

上面用户dd没有在wheel组下，所以即使输入了正确的密码也不能su，权限限制。而doubles是在wheel组下的，所以下面我们用doubles试一下

[root@localhost shellscript]# su doubles
[doubles@localhost shellscript]$ su
Password: 
[root@localhost shellscript]# 

doubles在wheel组下，成功su到root。

4.2、自定义用户组能够su

除了wheel组，也可以配置只有指定的组的用户能够su到root。

参考：https://access.redhat.com/solutions/64860

https://www.cnblogs.com/kevingrace/p/8671964.html

A、创建用户组groupa

[root@localhost ~]# groupadd groupa

B、创建/etc/security/su-groupa-access文件，里面指定允许su到的用户

[root@localhost ~]# vim /etc/security/su-groupa-access
doubles
root

这就表示groupa的用户可以su到root和doubles

保证文件权限不是所有人都可以修改的。

[root@localhost ~]# ll /etc/security/su-groupa-access
-rw-r--r-- 1 root root 13 Sep 8 19:46 /etc/security/su-groupa-access

C、在/etc/pam.d/su下加入下面三行

[root@localhost ~]# vim /etc/pam.d/su
auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup groupa
auth required pam_wheel.so use_uid group=groupa
auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-groupa-access

配置如下图：

D、将用户dd加入到groupa组中测试

[root@localhost ~]# gpasswd -a dd groupa
Adding user dd to group groupa
[root@localhost ~]# id dd
uid=1001(dd) gid=1001(dd) groups=1001(dd),1005(ddd),1006(groupa)
[root@localhost ~]# su dd
[dd@localhost root]$ su doubles
Password: 
[doubles@localhost root]$ 
[doubles@localhost root]$ exit
exit
[dd@localhost root]$ su
Password: 
[root@localhost ~]# 

发现此时dd已经可以su到doubles和root了。

（注意）这里自定义用户组的话，按照网上很多教程说的这样加：

[root@localhost ~]# vim /etc/pam.d/su
auth required pam_wheel.so group=test

是不起作用的，最后从redhat文档里看到用创建 /etc/security/su-groupa-access的方式才真正成功。这里也是折腾了小编一下午呢，大家引以为鉴......

5、配置sudo权限

5.1、su与sudo简介

5.1.1、su

su:就是switch user的意思，表示切换用户。

普通用户su到其他用户需要输入目标用户的密码。Root切换到其他用户不需输入密码。

命令su后面什么都不接的时候表示切换到root用户。

[doubles@localhost shellscript]$ su
Password: 
[root@localhost shellscript]# 

输入su root（或者其他用户名），表示不切换环境变量到当前用户下。

[doubles@localhost root]$ su root
Password: 
[root@localhost ~]# 

输入：su - root(或者其他用户名)这里加了"-"后表示添加切换的当前的环境变量到新用户的环境变量。

[doubles@localhost shellscript]$ su - root
Password: 
Last login: Sat Sep 8 01:22:45 HKT 2018 on pts/2
[root@localhost ~]#

5.1.2、sudo

sudo命令：superuser do，表示以root的身份来执行后面的命令。

想要使用sudo，必须在/etc/sudoers里面给自己添加root权限。

Visudo命令：就是vi /etc/sudoers。

[doubles@localhost ~]$ visudo
visudo: /etc/sudoers: Permission denied
visudo: /etc/sudoers: Permission denied
[doubles@localhost ~]$ sudo visudo
[sudo] password for doubles: 
visudo: /etc/sudoers.tmp unchanged
[doubles@localhost ~]$ 

5.2、指定用户能够sudo

配置普通用户通过sudo继承了root权限

在root用户下，修改/etc/sudoers

[root@localhost ~]# ll /etc/sudoers
-r--r-----. 1 root root 3941 Sep 6 18:32 /etc/sudoers

/etc/sudoers默认是只读的，需要给/etc/sudoers添加可写权限：

[root@localhost ~]# chmod u+w /etc/sudoers
[root@localhost ~]# vim /etc/sudoers
## Allow root to run any commands anywhere 
root ALL=(ALL) ALL
doubles ALL=(root) NOPASSWD: ALL

这几项意思分别为：

第一列：doubles为要添加sudo权限的用户

第二列：ALL表示从哪里登录，ALL表示不限制本地远程，可以填写ip段

第三列：(root)表示以root身份执行

第四列：NOPASSWD:表示执行sudo的时候不需要密码，默认不填就表示要输入密码。

第五列：ALL表示允许以root身份执行所有命令，以,隔开。

[root@localhost ~]# chmod g-w /etc/sudoers

现在doubles就可以通过sudo来以root身份执行命令了。

[doubles@localhost ~]$ sudo chmod u-w /etc/sudoers
[doubles@localhost ~]$ ls
[doubles@localhost ~]$ sudo vim /etc/sudoers
[sudo] password for doubles: 
Sorry, try again.
[sudo] password for doubles: 

这个操作比较严格，所以可能会需要输入密码确认。

dd不在sudoers里，我们尝试用dd进行sudo操作报错。

[dd@localhost shellscript]$ sudo vim /etc/shadow
dd is not in the sudoers file. This incident will be reported.

5.3、wheel组用户能够sudo

/etc/sudoers里面还有一项：

[doubles@localhost ~]$ 
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

这项表示允许wheel组的用户执行所有用户的所有命令，相当于wheel组的用户都继承了root权限。

比如，我们将dd加入到wheel组：

[root@localhost ~]# usermod -G wheel dd  # （用命令gpasswd -a dd wheel也行）

/doubles/shellscript目录只有root用户可写，理论上dd是不能在shellscript里创建文件的。

[root@localhost ~]# ll /doubles/shellscript/ -d
drwxr-xr-x. 5 root root 4096 Sep 7 21:09 /doubles/shellscript/
[root@localhost ~]# cd /doubles/shellscript/
[root@localhost shellscript]# su dd
[dd@localhost shellscript]$ mkdir aa
mkdir: cannot create directory ‘aa’: Permission denied

普通用户dd尝试在root的目录shellscript里创建目录失败，权限拒绝。

但是我们已经将dd加入到wheel组下了，所以用sudo试下

[dd@localhost shellscript]$ id dd
uid=1001(dd) gid=1001(dd) groups=1001(dd),10(wheel)
[dd@localhost shellscript]$ sudo mkdir aa
[sudo] password for dd: 
[dd@localhost shellscript]$ ll aa -d
drwxr-xr-x 2 root root 4096 Sep 7 21:09 aa

用sudo去创建目录aa成功。所以wheel组下的dd也跟doubles用户一样可以通过sudo来以root身份执行所有的命令。

我们把dd从wheel组删除：

[dd@localhost shellscript]$ sudo gpasswd -d dd wheel
Removing user dd from group wheel
[dd@localhost shellscript]$ id dd
uid=1001(dd) gid=1001(dd) groups=1001(dd)
也可以去/etc/group里删除：
[dd@localhost shellscript]$ sudo vim /etc/group
# wheel:x:10:doubles,dd
wheel:x:10:doubles

5.4、自定义用户组能够sudo

编辑配置文件/etc/sudoers

[root@localhost ~]# vim /etc/sudoers
## Allows members of the users group to mount and unmount the 
## cdrom as root
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom
## Allows members of the users group to shutdown this system
# %users localhost=/sbin/shutdown -h now
# customize group's user to sudo
%d1 ALL=(root) NOPASSWD: ALL

前面两个注释是教程实例，我们依样自定义用户组d1能够通过sudo以root身份执行所有命令，而且不会询问密码。

测试如下：

[root@localhost ~]# su d1
[d1@localhost root]$ id d1
uid=1003(d1) gid=1004(d1) groups=1004(d1)
[d1@localhost root]$ sudo vim /etc/shadow
[d1@localhost root]$ sudo crontab -l
#0 0 * * * /bin/bash /doubles/shellscript/cut_log.sh >>cutlog.log 2>&1
[d1@localhost root]$ 

如上所示，d1已经可以通过sudo去做只有root能做的事了，比如查看/etc/shadow

5.5、sudo密码过期处理

5.5.1、背景：

按照上面的设置之后，我们就可以用sudo以root身份执行命令了。但是我们发现每次用sudo的时候都会提示我们输入用户密码，所以我们一般会配置NOPASSWD:，如下：

doubles ALL=(root) NOPASSWD: ALL

但是我们发现，即使配置了NOPASSWD:，后面仍然还是有时候会提示我们输入密码，这是因为sudo的NOPASSWD:是有时间限制的，默认为5分钟。

5.5.2、配置

如果想以后每次使用sudo的时候不再验证密码，可以在刚刚的sudoers文件做如下操作：

参数解释：

其中timestamp_timeout=-1只需验证一次密码，以后系统自动记忆,runaspw需要root密码，如果不加默认是要输入普通账户的密码.

timestamp_timeout=2：表示将密码的超时时间设置为2分钟。

timestamp_timeout=0：为0表示永远提示输入密码。

timestamp_timeout=-1：

设置为负数的话（译注，原文是”-1“，但是手册中写明只要是负数就可以）只需要证明一次你知道密码就可以（译注：就是密码永不过期）。

如果你指向给某个特定用户应用默认值的话，这样做：

Defaults:doubles timestamp_timeout=-1

多个用户已逗号隔开。

小技巧：如果软件升级， /etc/sudoers 可能会被覆盖掉，所以好的习惯是在 /etc/sudoers.d 中添加

在 /etc/sudoers.d 目录中增加一个文件，添加相同的内容

6、ssh登录配置

对SSH服务进行安全加固，防止暴力破解成功。

6.1、配置密钥登录

所有服务器管理人员，与需要登录服务器的人员，都要配置密钥登录，避免使用密码登录。

关于在windows上，怎么配置与服务器登录的密钥，请查看文档：

https://www.cnblogs.com/doublexi/p/9564493.html

（注）：配置密钥登录的时候，一定要对自己的密钥进行口令设置，否则别人拿到了你的私钥，你的服务器就是别人的了。

6.2、禁止用密码登录

前面，我们已经配置了使用密钥登录，每个用户只要记住自己密钥的口令就可以了，他们登录服务器已经不需要密码了，所以我们为了安全，禁止用密码登录。

[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup
[root@localhost ~]# vim /etc/ssh/sshd_config
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication no

把PasswordAuthentication yes改为no。

改配置之前一定要记得，先备份一下，方便以后回滚。

改完配置之后，接下来就是重启服务了，在重启之前一定要确保：

确保已经按照6.1配置了密钥登录。

确保已经按照6.1配置了密钥登录。

确保已经按照6.1配置了密钥登录。

重要事情说三遍，确保自己配置了密钥登录，并且能够通过这个密钥登录到服务器，特别是root。不然就是把自己锁在了门外。。。

重启ssh服务

[root@localhost ~]# systemctl restart sshd

重启服务后，再次登录的用户就只能通过密钥登录了，通过密码登录会提示错误。

[root@localhost ~]# ssh -p 2202 root@192.168.188.128
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
[root@localhost ~]# ssh -p 2202 doubles@192.168.188.128
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
[root@localhost ~]# 

通过xshell尝试：

如图所示，即使我们输入了正确的用户名和密码，连接的时候会直接拒绝用密码登录。

拒绝密码的，直接跳到密钥登录：

6.3、禁止root用户直接登录

为了加强服务器安全，我们应该

A、避免使用root账户直接登录。

B、每个需要登录服务器的操作人员都应该用自己的账户

C、管理员为这些账户分配不同的权限

D、部分人员（如管理员）需要执行特权操作时，通过su或者sudo去操作。

所以在上述4、5点的时候，我们必须要严格控制好各个用户的su与sudo的权限。

接下来修改/etc/ssh/sshd_config来禁止root用户直接登录。

[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup
[root@localhost ~]# vim /etc/ssh/sshd_config
PermitRootLogin no

将PermitRootLogin的yes改为no。

改完配置，接下来自然是重启服务了。重启服务前，请确认：

A、确保自己已经配置了其他用户可以登录服务器

B、确保自己已经配置用户可以su或者sudo（防止以后自己要改回来）

重启服务：

[root@localhost ~]# systemctl restart sshd

重启后，再用xshell登录如图所示：

在另一台服务器登录也是一样：

[root@localhost ~]# ssh -p 2202 root@192.168.188.128
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
[root@localhost ~]# 

6.4、SSH其他配置

我们登录系统后，一般还会更改ssh的默认端口号，一般改为1024以上的。

[doubles@localhost ~]$ sudo vim /etc/ssh/sshd_config
Port 2202

修改允许密码错误次数（默认6次）。

设置 MaxAuthTries 的值为 3。

最终ssh配置修改总结为：

[doubles@localhost ~]$ sudo vim /etc/ssh/sshd_config
Port 2202
PermitRootLogin no
MaxAuthTries 3
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication no

重启服务：

[root@localhost ~]# systemctl restart sshd

6.5、登录超时设置

让用户在登录后，一段时间内不活动，自动登出。

6.5.1、修改环境变量TMOUT

$TMOUT = 30

参数说明：

# 用以下命令判断是否是否设置了该参数

echo $TMOUT

# 如果输出空或0表示不超时，大于0的数字n表示n秒没有收入则超时

6.5.1.1、/etc/profile全局设置

查看/etc/profile之前是否有配置，有则修改，没有则增加

[doubles@localhost ~]$ cat /etc/profile|grep TMOUT -n
[doubles@localhost ~]$ 
[doubles@localhost ~]$ echo $TMOUT
[doubles@localhost ~]$ 

上面$TMOUT变量为空，没有设置

修改前先备份一下

[doubles@localhost ~]$ cp /etc/profile /etc/profile-backup

在/etc/profile最下面增加一行如下

[doubles@localhost ~]$ sudo vim /etc/profile
# ----------------------------
export TMOUT=900
# ----------------------------
# 900就是15分钟，将以上900修改为0就是设置不超时

接下来，source一下，让配置立即生效

[doubles@localhost ~]$ source /etc/profile
[doubles@localhost ~]$

测试：

配置完之后，不动终端，过了15分钟之后自动退出如下：

[doubles@localhost ~]$ echo $TMOUT
[doubles@localhost ~]$ sudo vim /etc/profile
[doubles@localhost ~]$ source /etc/profile
[doubles@localhost ~]$ timed out waiting for input: auto-logout
Connection closing...Socket close.
Connection closed by foreign host.
Disconnected from remote host(192.168.188.128:2202) at 12:45:21.
Type `help' to learn how to use Xshell prompt.
[c:\~]$ 

6.5.1.2、个人超时配置

上面/etc/profile是对所有用户都生效的，如果要只针对个别用户配置登录超时，可以通过修改个人home目录下的.bashrc或.bash_profile文件来实现。

这两个文件选择其中一个在末尾加入如下一行，具体操作如下：

[doubles@localhost ~]$ pwd
/home/doubles
[doubles@localhost ~]$ vim .bash_profile
export TMOUT=900
[doubles@localhost ~]$ source .bash_profile

测试结果如下：

[doubles@localhost ~]$ timed out waiting for input: auto-logout
Connection closing...Socket close.
Connection closed by foreign host.
Disconnected from remote host(192.168.188.128:2202) at 14:59:19.
Type `help' to learn how to use Xshell prompt.
[c:\~]$ 

6.5.2、修改sshd_config

6.5.2.1、全局超时配置

通过修改ssh的配置文件 /etc/ssh/sshd_config我们同样也可以实现超时自动登出功能，具体如下：

[doubles@localhost ~]$ sudo vim /etc/ssh/sshd_config

找到这两行：

#ClientAliveInterval 0
#ClientAliveCountMax 3

修改如下：

ClientAliveInterval 300
ClientAliveCountMax 2

第一行表示每300秒检测一次，默认为0表示不发送alive检测

第二行表示检测到2次（即2*300=600秒，即10分钟）不活动就断开连接。

上述配置，对除了root之外的用户都生效。

保存退出，重启服务：

[doubles@localhost ~]$ sudo systemctl restart sshd

关于这个配置，小编这里测试一直没有生效，不知道为什么，用户一直没有被踢下线。。。。。。

从坑里爬出来的总结：

（启发文：https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/296920）

引用原文的一句话：To make it work ClientAliveCountMax should to be 0

所以，以上配置全部忘掉，接下来我们重新弄：

[doubles@localhost ~]$ sudo vim /etc/ssh/sshd_config
ClientAliveInterval 300
ClientAliveCountMax 0 # 这里必须是0

保存退出，重启服务：

[doubles@localhost ~]$ sudo systemctl restart sshd

接下来，我们要退出登录，让整个shell连接都断开，下次再重新进行ssh连接的时候，新的配置才会生效，否则你应用的还是上一次的配置。

一定要断开连接

一定要断开连接

一定要断开连接

重要事情说三遍，

重点1：ClientAliveCountMax 0（必须是0）

重点2：必须退出整个ssh连接，重新登录，配置才会生效。

6.5.2.2、个人不超时配置

在进行ssh连接的时候，加上参数：

法一：

[dd@localhost doubles]$ ssh -o ConnectTimeout=3 dd1@192.168.188.129
Enter passphrase for key '/home/dd/.ssh/id_rsa': 
Last login: Tue Sep 11 20:41:43 2018 from 192.168.188.128
[dd1@localhost ~]$ Connection to 192.168.188.129 closed by remote host.
Connection to 192.168.188.129 closed.
[dd@localhost doubles]$ 

法二：

[dd@localhost doubles]$ ssh -o ServerAliveInterval=5 -o ServerAliveCountMax=0 dd1@192.168.188.129
Enter passphrase for key '/home/dd/.ssh/id_rsa': 
Last login: Tue Sep 11 22:22:15 2018 from 192.168.188.128
[dd1@localhost ~]$ Timeout, server 192.168.188.129 not responding.
[dd@localhost doubles]$ 

这样子只会在需要的连接中保持持久连接， 毕竟不是所有连接都要保持持久的

6.6、登录日志配置

通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查。

操作如下：（这里最好切换成root用户来操作）

在profile最后一行追加：

[root@localhost ~]# vim /etc/profile
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE=/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null
[root@localhost ~]#

Source让配置生效

[root@localhost ~]# source /etc/profile

注意： /var/log/history 是记录日志的存放位置，可以自定义。

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）。

同时，建议您使用OSS服务收集存储日志。

6.7、屏蔽ssh的Banner信息

banner的作用：你用ssh登陆的时候，会自动显示系统版本信息之类的敏感信息

有些版本会存在一些固有的安全问题，很容易被黑客利用。所以我们需要屏蔽这些信息。

这一点看需要，很多系统默认是没有显示Banner的。

6.7.1、检查

查看/etc/ssh/sshd_config文件中是否存在Banner字段

[root@localhost ~]# cat /etc/ssh/sshd_config |grep -i banner
# no default banner path
#Banner none

发现Banner是none，没有设置Banner，ssh连接是没有信息显示的，

查看/etc/motd 文件内容，该处内容将作为banner信息显示给登录用户

[root@localhost ~]# cat /etc/motd 
[root@localhost ~]#

发现设置都是空的，那么ssh连接信息将如下：

通过xshell连接也是这样：

没有显示什么有用的信息，所以可以不用屏蔽，下面直接略过。

6.7.2、屏蔽

如果有设置，那么屏蔽只需要Banner改为none即可。

操作前先备份

[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup
[root@localhost ~]# cp -p /etc/motd /etc/motd_bak
[root@localhost ~]# vim /etc/ssh/sshd_config
Banner none
[root@localhost ~]# vim /etc/motd

6.7.3、自定义Banner信息

参考：https://blog.csdn.net/sdb5858874/article/details/80525992

新建Banner文件ssh_banner

[root@localhost doubles]# vim /etc/ssh_banner
Authorized only. All activity will be monitored and reported

将该文件归为bin用户和属组

[root@localhost doubles]# chown bin:bin /etc/ssh_banner

设置权限为600

[root@localhost doubles]# chmod 644 /etc/ssh_banner

编辑登陆后的欢迎信息

[root@localhost doubles]# vim /etc/motd
login success. All activity will be monitored and reported

修改ssh配置

[root@localhost doubles]# vim /etc/ssh/sshd_config
Banner /etc/ssh_banner

重启服务

[root@localhost doubles]# systemctl restart sshd

测试：

在另一台机发起ssh登录请求：

终端登录也是一样：

Banner信息设置完毕。

7、为grub设置密码

可以为linux引导器grub设置密码，防止别人通过grub引导进入单用户模式进行非法操作。（当然此项不是必须，因为当别人能接触到你的grub的时候，也就说明你的机器已经被别人掌握了，此刻服务器已经没有安全性可言了。）

方法一：命令设置（推荐）

查看系统默认密码：

[root@localhost doubles]# cat /etc/grub2.cfg | grep password
password_pbkdf2 root ${GRUB2_PASSWORD}

首先查看grub登录用户名：

[root@localhost doubles]# cat /etc/grub.d/01_users 
#!/bin/sh -e
cat << EOF
if [ -f \${prefix}/user.cfg ]; then
source \${prefix}/user.cfg
if [ -n "\${GRUB2_PASSWORD}" ]; then
set superusers="root"
export superusers
password_pbkdf2 root \${GRUB2_PASSWORD}
fi
fi
EOF
[root@localhost doubles]# 

通过上面发现用户名是root，接下来通过grub2-setpassword命令修改密码：

[root@localhost doubles]# grub2-setpassword 
Enter password: 
Confirm password: 
[root@localhost doubles]# 

改完密码重启：

[root@localhost doubles]# init 6

在选择内核的时候，按e，如下图：

此时它会提示你输入用户名和密码：

输入完用户名和密码之后，就进入了

在这里你就可以修改root密码的，慎重。。。

注意：以上环境是centos7，7以下的系统环境略有所不同。这里不建议按照网上说的，通过修改/etc/grub2.cfg或者/etc/grub.d/00_header文件来明文指定密码。

方法二：明文密码

操作前，先备份一下文件

[root@localhost ~]# cp /etc/grub2.cfg /etc/grub2.cfg_backup

先查看之前是否有设置密码：

[root@localhost ~]# cat /etc/grub2.cfg | grep password

在/etc/grub.d/01_users文件中指定超级用户，其中root为超级用户的用户名，PassRoot+123为超级用户root的密码，清空该文件并添加以下几行。（用户名和密码按实际情况设置）

[root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users_backup
[root@localhost ~]# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
password root DoublesRoot!!123
EOF

我把之前的注释了，重新添加的，如下：

重新编译配置文件：

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-514.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-514.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-ea399cee8fa94b1d9901ffd9d37bf7c6
Found initrd image: /boot/initramfs-0-rescue-ea399cee8fa94b1d9901ffd9d37bf7c6.img
done
[root@localhost ~]# 

此时重新查看配置文件，发现多了密码，而且这个密码是明文的，不安全。

[root@localhost ~]# cat /etc/grub2.cfg |grep password
password root DoublesRoot!!123
[root@localhost ~]# 

此时，grub密码设置成功，重启即可生效。

方法三：密文密码

方法二是明文密码，在/etc/grub2.cfg就可以看到，很不安全，接下来我们设置密文密码。

使用grub2-mkpasswd-pbkdf2命令创建密文

[root@localhost ~]# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.94A2F8EEA383CA6DDC6B432E9878FD12A02BF114A9B13FEAE0D2E834ADFF4B0A791DD1FDFF7A21E9CA3E277D567CDC12E2E99AEE7EF83E0D52B534B740B2117A.729B52B7BA281FF693EA3EA02FC7C22275A17DEEDF994BFAEC4B8ECC5046FC86FCDAB7B68D33DAC3A7419AA8C32B6F9AFE901BEBB4F4DFABC6213BE03FC1D711
[root@localhost ~]# 

上面会输出一段密文，我们把它复制到/etc/grub.d/01_user里面，如下：

[root@localhost ~]# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
password_pbkdf2 root
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.94A2F8EEA383CA6DDC6B432E9878FD12A02BF114A9B13FEAE0D2E834ADFF4B0A791DD1FDFF7A21E9CA3E277D567CDC12E2E99AEE7EF83E0D52B534B740B2117A.729B52B7BA281FF693EA3EA02FC7C22275A17DEEDF994BFAEC4B8ECC5046FC86FCDAB7B68D33DAC3A7419AA8C32B6F9AFE901BEBB4F4DFABC6213BE03FC1D711
EOF

最后：重新编译生成grub2.cfg文件

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg 
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-514.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-514.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-ea399cee8fa94b1d9901ffd9d37bf7c6
Found initrd image: /boot/initramfs-0-rescue-ea399cee8fa94b1d9901ffd9d37bf7c6.img
done
[root@localhost ~]# 

检查/etc/grub2.cfg，发现多了一段密文

[root@localhost ~]# cat /etc/grub2.cfg | grep password
password_pbkdf2 root
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.94A2F8EEA383CA6DDC6B432E9878FD12A02BF114A9B13FEAE0D2E834ADFF4B0A791DD1FDFF7A21E9CA3E277D567CDC12E2E99AEE7EF83E0D52B534B740B2117A.729B52B7BA281FF693EA3EA02FC7C22275A17DEEDF994BFAEC4B8ECC5046FC86FCDAB7B68D33DAC3A7419AA8C32B6F9AFE901BEBB4F4DFABC6213BE03FC1D711
[root@localhost ~]# 

密钥设置成功，重启即生效。