最近备战国网信通调考信息安全专业,参考系统安全加固手册,练习加固命令。
操作系统选用CentOS 7,考虑到可以随时进行“破坏性试验”,所以选择安装在VM虚拟机中,可以使用快照随时回退错误操作。
首先,为了熟悉使用CLI,设置开机不进入图形界面。之前版本是修改 /etc/inittab 文件,到CentOS 7改为如下命令:
systemctl set-default multi-user.target //设置成命令模式 systemctl set-default graphical.target //设置成图形模式
事实上,系统进行了如下操作:
好!进入系统,不要忘了首先做好初始快照哦。
一、账号管理、认证授权
第一部分主要是对用户账号和权限进行加固,主要用到的命令主要是一些文件查看与编辑类的命令。
1、与账号、用户组、密码等有关的文件
这些文件包括:
/etc/passwd
/etc/shadow
/etc/group
简单说明一下:
/etc/passwd 记录了系统中各用户的一些基本属性,root可写,所有用户可读,查看可见如下信息:
用“:”隔开的各部分含义为:
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
其中口令由于安全考虑,被记录在了 /etc/shadow 文件中,所以这里统一显示为x。
/etc/shadow 负责所有用户的密码:
与passwd文件相似,各字段也被“:”隔开,其含义为:
登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志(系统保留)
这里有几点需要说明:
(1)“口令”字段存放的是加密后的用户口令字,如果为空,则对应用户没有口令,登录时不需要口令; 星号代表帐号被锁定,有些系统为NP; 双叹号表示这个密码已经过期了。
$6$开头的,表明是用SHA-512加密的
$1$ 表明是用MD5加密的
$2$ 是用Blowfish加密的
$5$ 是用SHA-256加密的。 (2)“最后一次修改时间”表示的是从某个时刻起,到用户最后一次修改口令时的天数。时间起点对不同的系统可能不一样。例如1970年1月1日。(后面所有时间均以此时间为起点) (4)“最小时间间隔”指的是两次修改口令之间所需的最小天数。 (5)“最大时间间隔”指的是口令保持有效的最大天数。 (6)“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。 (7)“不活动时间”表示的是用户没有登录活动但账号仍能保持有效的最大天数。 (8)“失效时间”字段给出的是一个绝对的天数,如果使用了这个字段,那么就给出相应账号的生存期。
/etc/group 负责用户组属性:
这个文件比较简单: 组名:口令:组标识号:组内用户列表
其中,组内用户列表中,用户间用“,”隔开。
如果想要查看一个用户的用户组信息,可以使用
id [user]
来查看:
OK,文件说明到此结束,让我们来干些实际的吧~
2、锁定无关账户
在确认某些账户可以锁定的情况下,可以使用
passwd -l [user]
其原理是在/etc/shadow中用户的密码字段前加入“!!”(因系统而异,有些系统是加入“*LK*”),使得用户密码改变,无法登陆
这还真是简单粗暴,不过这也意味着,只要随意修改shadow文件密码字段,即可实现账号锁定。
对应的解锁命令为
passwd -u [user]
3、禁止超级管理员账户远程登录
在进行这方面工作之前,首先要知道一个重要内容 Linux-PAM(Linux可插拔认证模块)。
用户可以通过修改配置文件/etc/pam.conf(RedHat等系统还支持另外一种配置方式,即通过配置目录/etc/pam.d/)对认证机制进行修改,而个模块的具体配置在/etc/security下。
具体相关知识由于篇幅,可以自行百度,(推荐一篇博客,很实用)这里只对本小节内容进行说明。
1 PAM工作机制
/lib/security
目录下的每一个认证模块都会返回pass或者fail结果,部分程序使用/etc/security目录下的设置文件决定认证方式。
应用程序调用PAM模块认证的配置,存放于/etc/pam.d,文件名与应用程序名对应,文件中的每一行都会返回一个成验证功还是失败的控制标志,以决定用户是否拥有访问权限。
2 PAM验证类型
* auth 验证使用者身份,提示输入账号和密码
* account 基于用户表、时间或者密码有效期来决定是否允许访问 * password 禁止用户反复尝试登录,在变更密码时进行密码复杂性控制 * session 进行日志记录,或者限制用户登录的次数 libpam函数库会可以调用以上一种服务或者全部。 3 PAM验证控制类型(Control Values) 验证控制类型也可以称做Control Flags,用于PAM验证类型的返回结果。 * required 验证失败时仍然继续,但返回Fail(用户不会知道哪里失败) * requisite 验证失败则立即结束整个验证过程,返回Fail * sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续 * optional 无论验证结果如何,均不会影响(通常用于session类型
打开/etc/pam.d/login文件,可以看到如下内容:
其中
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
或
auth required pam_securetty.so
处于未注释状态,再查看/etc/securetty中没有pts/x(x为一个十进制整数)或已被注释掉
确保root不能通过telnet连接主机。
再检查SSH:
/etc/ssh/sshd_config
检查下列行设置是否为no并且该行未被注释:PermitRootLogin
然后重新启动ssh服务:
service sshd stop
service sshd start
4、修改用户组
使用usermod -g [group/GID] [username] 修改用户组。没什么好说的,上图:
5、口令策略
(1)口令复杂度及时效
修改 /etc/login.defs,文件注释很清楚,可以自己修改:
(2)设定密码历史,不能重复使用近N次内已使用的口令(方法来自网络)
对于Redhat系列的Linux,查看/etc/pam.d/system-auth
对于Debian系列的Linux,查看/etc/pam.d/common-password
在如图所示的行后,加入remember=N
但我目前有一个疑问,remember=N这个语句的PAM验证控制类型是否应该是sufficient而不是其他类型。但求大神指导!
(3)设定连续认证失败次数超过N次锁定该账号
依然是修改/etc/pam.d/login文件的第二行,加入如下命令
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
6、设定文件目录权限
在用户登录中,passwd、shadow、group文件非常重要,需要严格管理文件权限
/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— 权限值为644
/etc/shadow 只有root可读 –r-------- 权限值为400
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 权限值为644
使用如下命令修改权限:
chmod 644 /etc/passwd chmod 400 /etc/shadow chmod 644 /etc/group
此外还有一个重要的参数 umask ,其值确定了新建目录文件的默认权限,这里先给出我们推荐的值 027
在权限设定中 r=4;w=2;x=1 但对于umask来说,umask=777(666)-权限值,即权限值=777(666)-umask。例如,umask=002,所对应的文件和目录创建缺省权限分别为6 6 4(666-2)和7 7 5(777-2)。
为什么是这样的呢?对于文件来说,这一数字的最大值分别是6。系统不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用chmod命令增加这一权限。目录则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7。
如果使用推荐值umask=027,则对于文件来说,其权限为640,即-rw-r----- ,对目录来说,其权限为750,即-rwxr-x---
7、检查是否存在除root之外UID为0的用户
使用如下代码,对passwd文件进行检索:
awk -F ':' '($3==0){print $1)' /etc/passwd
将检索出来的不是root的用户使用userdel命令全部删除。