Linux系统安全应用
目录
一、账号安全控制
基本安全措施
系统账号清理
密码安全控制
清空历史命令
终端自动注销
切换用户与权限提升
su命令----切换用户
sudo命令----提升执行权限
PAM安全认证
二、系统引导和登录控制
开关机安全控制
终端及登录控制
三、弱口令检测
四、端口扫描
一、账号安全控制
基本安全措施
系统账号清理
1、将用户的Shell设置为不可登录/sbin/nologin
cat /etc/passwd | grep "/sbin/nologin" //查看到非登录的用户
usermod -s /sbin/nologin 用户名 //设置为非登录用户,查看最后三行
usermod -s /bin/bash 用户名 //设置回可登录
2、 锁定无用账号
usermod -l mm //锁定
usermod -U mm //解锁
passwd -l mm //锁定
passwd -u mm //解锁
3、删除无用账号
userdel 用户名
userdel -r 用户名
加-r 可以把加目录下用户目录也一起删除
前面博客有
4、锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改 //锁定后查看会有i
chattr -i /etc/passwd /etc/shadow 解锁文件
lsattr /etc/passwd /etc/shadow查看文件状态属性
密码安全控制
设置密码有效期
chage -M 60 mm //适用于已经存在的用户 改为60天,可以看到9999改为了60
vim /etc/login.defs 进入编译器 修改 PASS_MAX_DAYS 430
后面再创建新用户密码有效期就是430天
在创建的新用户密码有效期
设置用户下次登录时修改密码
chage -d 0 test1 设置下次登录修改密码后 可以看到19213变为了0
清空历史命令
减少记录命令的条数
新用户:
vim /etc/profile //进入配置文件
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile source /etc/ 刷新配置文件,使文件立即生效
当前用户:
export HISTSIZE=200
source /etc/profile
source /etc/profile 刷新配置文件,使文件立即生效
注销时自动清空
vim ~/.bashrc
echo " " > ~/.bash_history
修改新用户
1000可以进行修改
修改后退出去刷新
修改当前用户
注销时自动清空
终端自动注销
vim .bash_profile //进入配置文件
export TMOUT=600 //全局声明超过600秒闲置后自动注销终端
source .bash_profile
echo $TMOUT
export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效
[root@localhost ~]#vim .bash_profile
# export TMOUT=60 注释掉这条命令,就不会自动注销了history临时清空 -c
永久清空vi ~
设置自动注销时间
刷新文件,查看
设置对当前用户生效
切换用户与权限提升
系统配置文件:/etc/profile 系统环境变量配置文件对全局有效,开机时,用户首次登录会自动加载只登陆一次
/etc/bashrc全局有效 用户在切换shell环境时也会自动加载此文件
~/.bash_profile 开机时,用户首次登录会自动加载只登陆一次
~/.bashrc家目录只对当前用户有效 用户在切换shell环境时也会自动加载此文件
su命令----切换用户
(1)su -目标用户 //代横杠切换到家目录
su 目标用户 //如下图(1)
root用户可以任意切换用户
普通用户切换到其他用户需要输入目标用户密码
(2)查看su操作记录
安全日志文件:/var/log/secure
(3)whoami 确定当前用户是谁
(4)gpasswd -a mm wheel //将可以使用su命令的用户加入wheel组
vim /etc/pam.d/su //进入编译器进行配置
#auth required pam_wheel.so use_uid
将此行的注释取消表示在wheel组的成员可以使用su命令,其他成员则不能使用su命令
(1)su和su-
(2)查看最后五行操作记录
(3)whoami
(4)
可以从mm切换到root,如果不给mm设置wheel组,将卡在mm用户下
sudo命令----提升执行权限
配置sudo授权
sudo:以其他用户身份执行授权命令
visudo 或者 vim /etc/sudoers (这个文件是只读文件,wq!保存退出)
用户名 主机列表名=命令程序列表
可以使用一些符号*通配符!取反,见下图例题
第一次执行sudo需要密码验证,有操作的五分钟内不需要再输入密码
设置mm可以执行/sbin目录下出了reboot的所有命令
普通用户有些命令是不能使用的,设置之后则可以
授权多个用户
配置/etc/sudoers文件
Host_Alias MYHOST= localhost //设置主机别名主机名
User_Alias MYUSER = yxp,zhangsan,lisi //设置用户别名
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd //设置授权,命令别名
MYUSER MYHOST = NOPASSWD : MYCMD //调用生效 格式(用户别名 主机别名=命令别名)(NOPASSWD执行sudo命令时不需要输入密码)注:设置的别名要大写,后面用逗号隔开
配置好后mm拥有创建用户权限
查看sudo操作记录
需要启用Defaults logfile
配置默认·文件/var/log/sudo
vim /etc/sudoers
Defaults logfile="/var/log/sudo"
sudo ifconfig ens33:0 192.168.98.105
cat /var/log/sudo
在/etc/sudoers下加入这一行,创建日志文件,用来存储用户使用的sudo命令记录
在用户mm下新建一个网卡,再用cat命令查看
扩展
PAM安全认证
su命令的安全隐患
-
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
-
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
PAM的概念
PAM(Pluggable Authentication Modules)可插拔式认证模块,是一种高效而且灵活便利的用户级别的认证方式;也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
-
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so
-
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
-
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
-
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/(ls /etc/pam.d/ | grep su)
sufficient:这类验证成功则向程序返回成功,若失败,别的都成功,则也返回成功
二、系统引导和登录控制
开关机安全控制
调整BIOS引导设置原则
-
禁止从其他设备(光盘、 U盘、网络)引导系统;
-
将安全级别设为setup,并设置管理员密码。
-
将第一引导设备设为当前系统所在硬盘
-
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
GRUB菜单设置
-
未经授权禁止修改启动参数
-
未经授权禁止进入指定系统
GRUB限制的实现
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
两种方法
法一
使用grub2-mkpasswd-pdkdf2获得加密字符串并复制,然后备份两个配置文件
修改/etc/grub.d/00_header文件中,添加密码记录
grub2-mkpasswd-pdkdf2 //生成密钥命令
cp /boot/grub2/grub.cfg /boot/grub2/grub2.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak //备份两个文件
ls /boot/grub2/查看到00_header.bak
vim /etc/grub.d/00_header
添加
cat << EOF
set superuser="root"
见下图
法二
直接设置grub2_setpasswd 设置grub密码
系统开机时按e进入GRUB菜单,这里可以直接修改
再进入就需要输入账户名和密码了
法二
终端及登录控制
限制root用户只在安全终端登录
安全终端配置:/etc/securetty
步骤:
更改相关配置文件
切换至指定终端进行测试
切换至其他终端进行测试
禁止普通用户登录
建立/etc/nologin
删除nologin文件或者重启后恢复正常
三、弱口令检测
弱口令检测—Joth the Ripper
-
一款密码分析工具,支持字典式的暴力破解;
-
通过对shadow文件的口令分析,可以检测密码强度;
Joth the Ripper实例
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):
[root@localhost ~]#cd /opt
[root@localhost ~]#rz //也可以直接把压缩包拖进来
[root@localhost opt]#ls
john-1.8.0.tar.gz
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y[root@localhost opt]# ls
john-1.8.0 john-1.8.0.tar.gz john-1.8.0.tar.gz.0 rr
[root@localhost opt]# cd john-1.8.0/
[root@localhost john-1.8.0]# ls
doc README run src
[root@localhost john-1.8.0]# cd src/
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
5. 准备待破解的密码文件
[root@localhost src]#cd .. 切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件
6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt
四、端口扫描—NMAP
-
一款强大的网络扫描、安全 检测工具
-
官方网站:Nmap: the Network Mapper - Free Security Scanner
-
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
常用格式
nmap [扫描类型] [选项] <扫描目标>
netstat natp //查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd //实际操作(httpd换成80也可以)
netstat -naup //查看正在运行的使用UDP协议的网络状态信息
[root@localhost run]#rpm -qa|grep nmap //查看nmap
[root@localhost run]#yum install -y nmap //安装nmap
控制位
常见选项
natstst命令常用选项
rpm -q nmap // 先查询是否有nmap
yum install -y nmap //没有就安装
rpm -q httpd
yum install -y httpd
systemctl start httpd //开启httpd
systemctl status httpd //查看状态
nmap -sT 127.0.0.1 //查询主机开启端口
nmap -sU 127.0.0.1
nmap -n -sP 192.168.98.0/24 //检测192.168.98.0/24网段有哪些存活的主机
netstst ss -natp