Linux--系统安全及应用
文章目录
- 前言
- 一、账号安全控制
- 1.1、基本安全措施
- 1.1.1、系统账号清理
- 1.1.2、密码安全控制
- 1.1.3、命令历史、自动注销
- 1.2、用户切换与提权
- 1.2.1、su 命令——切换用户
- 1.2.2、sudo 命令——提升执行权限
- 1.3、PAM 安全认证
- 1.3.1、PAM 及其作用
- 1.3.2、PAM 认证原理
- 1.3.3、PAM 认证的构成
- 1.3.4、PAM 认证类型
- 1.3.5、PAM 控制类型
- 二、系统引导和登录控制
- 2.1、开关机安全控制
- 2.1.1、调整BISO 引导设置
- 2.1.2、限制更改GRUB 引导参数
- 2.2、终端及登录控制
- 2.2.1、禁止root 用户登录
- 2.2.2、禁止普通用户登录
- 三、弱口令检测、端口扫描
- 3.1、弱口令检测——John the Ripper
- 3.1.1、下载并安装John the Ripper
- 3.1.2、暴力破解密码实验
- 3.2、网络扫描——NMAP
- 3.2.1、安装NMAP 软件包
- 3.2.2、扫描操作示例
前言
作为一种开放源代码的操作系统,Linux服务器以其安全、高效和稳定显著优势而得以广泛应用
一、账号安全控制
用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机。在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。
1.1、基本安全措施
1.1.1、系统账号清理
(1)将非登录用户的Shell设为/sbin/nologiin
在Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登陆的,因此也成为非登陆用户。
常见的非登录用户包括bin,daemon,adm,lp,mail,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等。为了确保系统安全,这些用户的登录shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。
(2)删除无用的账号
各种非登录用户中,还有相当一部分是很少用到的,如news,uucp,games,gopher等,这些用户可视为冗余账号,直接删除即可。除此之外,还有一些随着应用程序安装的用户账号,若程序卸载以后未能自动删除,需要管理员手动进行清理。
(3)锁定长期不使用的账号
对于Linux服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定。
(4)锁定账号文件passwd、shadow
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。
使用chattr命令,分别结合“+i”,“-i”选项来锁定、解锁文件,使用lsattr命令可以查看文件锁定情况。
在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更换用户的密码、登录shell、宿主目录等属性信息。
1.1.2、密码安全控制
(1)设置密码有效期
在不安全的网络环境中,为了降低密码被猜出或者被暴力破解的风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数,对于密码已经过期的用户,登录时将被要求重新设置密码,否则拒绝登录。
执行以下操作可将密码的有效期限设为30天(chage命令用于设置密码时限)
(2)要求用户下次登录时修改密码
在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,可以有管理员执行强制策略,以便用户在下次登录时必须更改密码。
1.1.3、命令历史、自动注销
(1)命令历史限制
shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。
Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。
每当编辑完/etc/profile文件后,都需要使用命令source /etc/profile或者换重启使之生效
注销时自动清空命令历史:修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。即:当用户注销(退出已登录的bash环境)时,所记录的历史命令将自动清空
(2)终端自动注销
bash终端环境中,可以设置一个闲置超时时间,当超过指定时间没有任何输入时即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置时间有变量TMOUT来控制,默认单位为秒
需要注意的事,当正在执行程序代码编译、修改系统设置等耗时较长的操作时,应避免设置TMOUT变量。必要时需执行“unset TMOUT”命令取消TMOUT变量设置。
1.2、用户切换与提权
大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或特权提升机制,以便在必要的时候执行管理任务。
Linux系统为我们提供了su、sudo两种命令,其中su命令主要用来切换用户,而sudo命令用来提升执行权限。
1.2.1、su 命令——切换用户
(1)su用途及用法,密码验证
使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限。切换时需要对目标用户的密码进行验证(从root用户切换为其他用户时除外)
上述命令操作中,“-”等同于“–login”或“-l”,表示切换后进入目标用户的登录shell环境。若缺少此选项则仅切换身份,不切换用户环境。
(2)限制使用su命令的用户
默认情况下,任何用户都运行使用su命令,从而有机会反复尝试其他用户的登录密码,带来安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许个别用户使用su命令进行切换。
将允许使用su命令的用户加入wheel组
启用pam_wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将会按照“拒绝权限”来处理,从而将切换用户的权限控制在最小范围内。
1.2.2、sudo 命令——提升执行权限
(1)su命令的缺点
通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。对于生产环境中的Linux服务器,每多一个人知道特权密码,其安全风险也就增加一分。
(2)sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
(3)配置sudo授权
(4)sudo实验
如果我在lu账户下是不可以创建网卡信息的
为了能执行这个操作,登录root账户,在/etc/sudoers 给lu设置权限
编辑sudoers,在末行插入
这个时候网卡可以用了
reboot这个时候用不了
(5)查看sudo操作记录
先在/etc/sudoers 文件中增加“Defaults logfile”设置
使用sudo -l查看授权用户
使用tail /var/log/sudo 可以看到用户的sudo操作记录
1.3、PAM 安全认证
PAM,是Linux系统可插拔认证模块。
Linux系统使用su命令存在安全隐患,默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登录密码,带来风险。
为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
1.3.1、PAM 及其作用
(1)PAM是一种高效而且灵活便利的用户级别认证方式,它也是当前Linux服务器普遍使用的认证方式。
(2)PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录,su等应用程序。
(3)系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。
1.3.2、PAM 认证原理
(1)PAM认证一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so(.so 后缀代表模块文件)
(2)PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/etc/security下)进行安全认证
(3)用户访问服务器的时候,服务器的某一个服务程序把用户的不同请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的
1.3.3、PAM 认证的构成
例如查看su的PAM配置文件
(1)每一行都是一个独立的认证过程
(2)每一行可以区分为三个字段
1)认证类型
2)控制类型
3)PAM模块及其参数
1.3.4、PAM 认证类型
(1)认证管理
接收用户名和密码,进而对该用户的密码进行认证
(2)账户管理
检查账户是否被允许登录系统,账户是否已经过期,账户的登录是否有时间段的限制等
(3)密码管理
主要用来修改用户的密码
(4)会话管理
主要是提供对会话的管理和记账
1.3.5、PAM 控制类型
控制类型也可以称作Control Flags,用于PAM验证类型的返回结果
(1)required验证失败时仍然继续,但返回Fail
(2)requisite验证失败则立即结束整个验证过程,返回Fail
(3)sufficient验证成功则立即返回,不在继续,否则忽略结果并继续
(4)optional不用于验证,只显示信息(通常用于session(会话)类型)
验证流程如图
二、系统引导和登录控制
在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他与用户的非授权介入,就成为必须重视的问题。
2.1、开关机安全控制
对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面,除了要做好安全防护以为,还要做好系统本身的一些安全措施。
2.1.1、调整BISO 引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘,U盘,网络)引导系统,对应的项设为“Disabled”
将安全级别设为setup,并设置好管理密码,以防止未授权的修改
2.1.2、限制更改GRUB 引导参数
从系统安全的角度来看,如果任何人都能够修改GRUB引导参数,对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制,可以为GRUB菜单设置一个秘密,只有提供正确的密码才被允许修改引导参数。
通过上述操作,重新开机进入GRUB菜单时,直接按E键无法修改引导参数。若要获得编辑权限,必须先按P键并根据提示输入正确的GRUB密码,然后才能按E键编辑指定的引导参数
2.2、终端及登录控制
2.2.1、禁止root 用户登录
安全终端配置:/etc/securetty
2.2.2、禁止普通用户登录
当服务器正在进行备份或调试等我维护工作时,可能不希望再有新的用户登录系统。这时候,只需要简单地建立/etc/nologin文件即可。login程序会检查/etc/nologin文件是否存在,如果存在则拒绝普通用户登录系统(root用户不受限制)。
建立/etc/nologin文件
删除nologin文件或重启后即恢复正常
三、弱口令检测、端口扫描
3.1、弱口令检测——John the Ripper
3.1.1、下载并安装John the Ripper
现在官网上下载安装包,然后用xftp软件把安装包放到/opt 进行解压
切换到src子目录进行编译安装即可
3.1.2、暴力破解密码实验
准备待破解的密码文件
切换到run子目录,执行暴力破解
破解结果,一些简单的弱口令账号都被破解出来
破解出的密码信息自动保存到john.pot文件中,可以结合“–show”选项进行查看
3.2、网络扫描——NMAP
NMAP是一个强大的端口扫描类安全测评工具,官方站点是http://nmap.org/。NMAP被设计为检测主机数量众多的巨大网络,支持ping扫描、多端口扫描、OS识别等多种技术。使用NMAP定期内部网络,可以找出网络中不可控的应用服务,即时关闭不安全的服务,减小安全风险。
3.2.1、安装NMAP 软件包
先挂载光盘
然后安装软件包即可
3.2.2、扫描操作示例
对本机进行扫描,检查开放了哪些常用的TCP端口、UDP端口
检查192.168.1.0/24网段中有哪些主机提供FTP服务
快速检测192.168.1.0/24网段中有哪些存活主机(能ping通)
检测IP地址位于192.168.1.50~100的主机是否开启文件共享服务
