系统安全及应用

目录

一、账号安全基本措施

1、系统账号清理

1.将非登录用户的shell设为/sbin/nologin

 2.锁定长期不使用的账号

2.1使用usermod锁定账号

​2.2使用passwd锁定账号

 3.删除无用账号

4.锁定账号文件passwd、shadow

 2.密码安全控制

2.1设置新创建用户密码有效期

​2.2  对已有用户修改密码有效期

​2.3  限制用户下次登录改密码

3. 命令历史限制

3.1修改历史记录数量

 3.2用户登出时清除命令

二、su 命令切换用户

1.su 命令

2.限制使用su命令的用户

3.PAM认证原理

三、sudo机制提权

1.sudo命令的用途及用法

2.sudo参数选项

3.sudo授权

四、nmap命令-网络端口扫描

1.nmap命令格式

2.常用的扫描类型

五、netstat命令

1.netatat命令格式

2.常用命令选项

---

一、账号安全基本措施

1、系统账号清理

   1.  将非登录用户的Shell设为/sbin/nologin

   2. 锁定长期不使用的账号

   3.. 删除无用的账号

   4.  锁定账号文件passwd、shadow

        

1.将非登录用户的shell设为/sbin/nologin

 2.锁定长期不使用的账号

2.1使用usermod锁定账号

2.2使用passwd锁定账号

 3.删除无用账号

4.锁定账号文件passwd、shadow

      chattr +i /etc/passwd             锁定文件

      lsattr /etc/passwd                  查看状态

      chattr -i /etc/passwd              解锁文件

锁定/etc/passwd，尝试能否创建账号

 再锁定/etc/shadow文件，发现无法修改密码

 解锁两个文件

 2.密码安全控制

2.1设置新创建用户密码有效期

进入vi /etc/login.defs，修改密码有效期

2.2  对已有用户修改密码有效期

2.3  限制用户下次登录改密码

3. 命令历史限制

3.1修改历史记录数量

进入vim /etc/profile，修改histsize，后面的数字表示保留的条数

 

 3.2用户登出时清除命令

方法1、vim ./.bash_logout

 

方法2、 vim /.bashrc

 

 重启后发现已清空

 4.终端自动注销

二、su 命令切换用户

1.su 命令

root -->任意用户，不验证密码

普通用户–>其他用户，验证目标用户的密码

2.限制使用su命令的用户

 默认情况下，任何用户都允许使用 su 命令，从而有机会反复尝试其他用户（如 root） 的登录密码，这样带来了安全风险。为了加强 su 命令的使用控制，可以借助于 pam_wheel 认证模块，只允许极个别用户使用 su 命令进行切换。实现过程如下：将授权使用 su 命令 的用户添加到 wheel 组，修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为o的用户，即root用户能够直接通过认证而不用输入密码。
如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。
 

例：

把zhang三添加到wheel组中

 

启用pam认证，加入组的可以使用，未加入组的无法使用

切换用户验证，只有加入wheel组的才能使用su 命令

3.PAM认证原理

1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so;
2. PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证模块(位于/lib64/security/下)进行安全认证。
3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

4.PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

每一行可以区分为三个字段

认证类型                  控制类型                   PAM模块及其参数

第一列代表PAM认证模块类型

auth：对用户身份进行识别，如提示输入密码，判断是否为root。
account：对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password：使用用户信息来更新数据，如修改用户密码。
session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。
第二列代表PAM控制标记

required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于 session 类型）。
include：表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。

第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。传递给模块的参数，参数可以有多个，之间用空格分隔开。
 

三、sudo机制提权

通过su命令可以非常方便地切换为另一个用户，但前提条件使必须知道目标用户地登录密码。但是每多一个人知道特权密码，其安全风险也就增加一分。所以就会使用sudo命令来提升用户地执行权限，需要由管理员预先进行授权，指定允许哪些用户以超级用户（或其他普通用户）的身份来执行哪些命令。

1.sudo命令的用途及用法

          用途：以其他用户身份（如root）执行授权的命令

          用法：sudo 授权命令

2.sudo参数选项

sudo  [参数选项]   命令

-l:列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的;

-v:验证用户的时间戳;如果用户运行sudo后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo操作

-v:可以跟踪最新的时间戳;

-u:指定以以某个用户执行特定操作

-k删除时间戳，下一个sudo命令要求用求提供密码;

3.sudo授权

sudo的配置文件/etc/sudoers文件默认权限为440，需使用专门的visudo工具进行编辑。
也可以用vi进行编辑，但保存时必须执行":w!"命令来强制操作，否则系统将提示为只读文件而拒绝保存。

语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表

1、用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
2、主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
3、(用户)：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
4、命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,”进行分隔。
ALL则代表系统中的所有命令
 

例1：zhangsan普通用户无法创建用户，我们给他提权，尝试，验证

删除用户

 例2：用户可以临时创建网卡

四、nmap命令-网络端口扫描

1.nmap命令格式

nmap  [选项]  目标IP

2.常用的扫描类型

-sS，TCP SYN 扫描（半开扫描）：指向目标发出SYN数据包，如果收到SYN/ACK相应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口未开放。
tcp确定三次握手
-sT，TCP 连接扫描：这是完整的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放
-sF，TCP FIN 扫描：开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU，UDP 扫描：探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢
-sP，ICMP 扫描：类似于ping检测，快速判断目标主机是否存活，不做其他扫描
-P0，跳过ping检测：这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放弃扫描
 

例：

先安装nmap

扫描TCP端口

扫描UDP端口

ICMP扫描

五、netstat命令

 netstat命令可以查看当前操作系统的网络连接状态、路由表、接口统计等信息，它是了解网络状态及排除网络服务故障的有效工具

1.netatat命令格式

netstat [选项]

2.常用命令选项

-n：以数字的形式显示相关的主机地址、端口等信息
-r：显示路由表信息
-a：显示主机中所有活动的网络连接信息（包括监听、非监听状态的服务端口）
-l：显示处于监听（listening）状态的网络连接及端口信息
-t：查看TCP（传输控制协议）相关的信息
-u：查看UDP（用户数据报协议）相关的信息
-p：显示与网络连接相关联的进程号、进程名称信息
netstat -natp     #查看正在运行的使用TCP协议的网络状态信息
netstat -naup     #查看正在运行的使用UDP协议的网络状态信息

例：查看正在运行的使用TCP协议的网络状态信息

 查看正在运行的使用UDP协议的网络状态信息

 查看正在运行的使用的UDP和TCP协议的网络状态信息