dropbear编译使用、aide介绍、sudo介绍、TCP_Wrappers介绍、PAM介绍

dropbear编译

dropbear是SSH功能的另一个实现
编译步骤：
1.准备好dropbear源码包
2.安装开发包组，已安装的可以跳过
3.解压源码包
4.进到解压目录执行./configure
5.make PROGRAMS=“dropbear dbclient dropbearkey dropbearconvert scp”
6.make PROGRAMS=“dropbear dbclient dropbearkey dropbearconvert scp” install
如果自定义了安装目录记得设置PATH
7.到密钥目录生成密钥dropbearkey -t rsa -f dropbear_rsa_host_key -s 2048
如果没有目录则自己创建
8.运行dropbear -p :8877，如果要前台运行加上-F，再加加-E可输出日志

现在可以用测试访问了
ssh -p 8877 [email protected]
dbclient -p 8877 [email protected]

AIDE介绍

AIDE(Advanced Intrusion Detection Environment)
高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了。

AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。
AIDE还能够使用下列算法：
sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号。

这个数据库不应该保存那些经常变动的文件信息，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录

修改配置文件
vim /etc/aide.conf 指定对哪些文件进行检测，里面有检测项的说明
TEST=p+u+MD5
/data/a1 p+MD5 设置文件检测规则
/data TEST 设置文件夹检测规则
!/data/a3 #“!”表示忽略这个文件的检查

创建默认的AIDE的库：
aide --init

生成检查数据库
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

检测：
aide --check

更新数据库
aide --update

sudo

sudo来自sudo包，man 5 sudoers
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo，会提示联系管理员
sudo可以提供日志，记录每个用户使用sudo操作
sudo为系统管理员提供配置文件，允许系统管理员集中地管理用户的使用权限和使用的主机
sudo使用时间戳文件来完成类似“检票”的系统，默认存活期为5分钟的“入
场券”

通过visudo命令编辑配置文件，具有语法检查功能
visudo –c 检查语法
visudo -f /etc/sudoers.d/test

配置文件：/etc/sudoers, /etc/sudoers.d/
时间戳文件：/var/db/sudo
日志文件：/var/log/secure
配置文件支持使用通配符glob
？:任意单一字符
*：匹配任意长度字符
[wxc]:匹配其中一个字符
[!wxc]:除了这三个字符的其它字符
\x : 转义
[[alpha]] :字母 示例： /bin/ls [[alpha]]*

配置文件规则有两类
1、别名定义:不是必须的
2、授权规则:必须的

授权规则格式：
用户 登入主机=(代表用户) 命令

示例：
root ALL=(ALL) ALL

格式说明：
user: 运行命令者的身份
host: 通过哪些主机
(runas)：以哪个用户的身份
command: 运行哪些命令

别名有四种类型：User_Alias, Host_Alias,Runas_Alias, Cmnd_Alias
别名格式：[A-Z]([A-Z][0-9]_)*
别名定义：
Alias_Type NAME1 = item1, item2, item3 : NAME2 = item4, item5

示例1：
Student ALL=(ALL) ALL Student用户的权限
%wheel ALL=(ALL) ALL wheel组的权限

示例2：
student ALL=(root) /sbin/pidof,/sbin/ifconfig 授权可2个命令
%wheel ALL=(ALL) NOPASSWD: ALL 有NOPASSWD的不需要输入密码就能执行操作

示例3
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL=（root） NETCMD 授权NETADMIN中的2个用户可以执行NETCMD里的命令

示例4

User_Alias ADMINUSER = adminuser1,adminuser2
Cmnd_Alias ADMINCMD = /usr/sbin/useradd，/usr/sbin/usermod,/usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root 
授权更改其他用户密码，但是不能改root的
ADMINUSER ALL=(root) NOPASSWD:ADMINCMD，PASSWD:/usr/sbin/userdel
不需要密码就能执行ADMINCMD，需要密码才能执行userdel

示例5
Defaults:test runas_default=aaa1
test ALL=(aaa1,bbb1) ALL
test能使用2个身份，每次都要指定身份，设置了默认身份在不指定的情况下就使用默认身份

sudo –i –u wang 切换身份
sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u user 默认为root
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳（1970-01-01），下次需要重新输密码
-K 与-k类似，还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
示例：-p ”password on %h for user %p:”

TCP_Wrappers介绍

作者：Wieste Venema，IBM，Google
工作在第四层（传输层）的TCP协议
对有状态连接的特定服务进行安全检测并实现访问控制，以库文件形式实现。
某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对
libwrap进行编译的。
判断服务程序是否能够由tcp_wrapper进行访问控制的方法：
ldd /PATH/TO/PROGRAM|grep libwrap.so
strings PATH/TO/PROGRAM|grep libwrap.so

配置文件：/etc/hosts.allow, /etc/hosts.deny
帮助参考：man 5 hosts_access，man 5 hosts_options
检查顺序：hosts.allow，hosts.deny（默认允许）
注意：一旦前面规则匹配，直接生效，将不再继续

基本语法:
daemon_list@host: client_list [ :options :option… ]
Daemon_list@host格式
单个应用程序的二进制文件名，而非服务名，例如vsftpd
以逗号或空格分隔的应用程序文件名列表，如:sshd,vsftpd
ALL表示所有接受tcp_wrapper控制的服务程序
主机有多个IP，可用@hostIP来实现控制从指定IP来的访问
如：[email protected]
如果不加@hostIP则所有IP访问的都控制

客户端Client_list格式
以逗号或空格分隔的客户端列表
基于IP地址：192.168.1.10 192.168.1.
基于主机名：www.baidu.com .baidu.com 较少用
基于网络/掩码：192.168.1.0/255.255.255.0
基于net/prefixlen: 192.168.1.0/24
基于网络组（NIS 域）：@mynetwork
内置ACL：ALL，LOCAL，KNOWN，UNKNOWN，PARANOID

只允许192.168.1.0/24的主机访问sshd
/etc/hosts.allow
sshd: 192.168.1.
/etc/hosts.deny
sshd :ALL

只允许192.168.1.0/24的主机访问telnet和vsftpd服务
/etc/hosts.allow
vsftpd,in.telnetd: 192.168.1.
/etc/host.deny
vsftpd,in.telnetd: ALL

deny 主要用在/etc/hosts.allow定义“拒绝”规则
如：vsftpd: 172.16. :deny
allow 主要用在/etc/hosts.deny定义“允许”规则
如：vsftpd:172.16. :allow
spawn 启动一个外部程序完成执行的操作
twist 实际动作是拒绝访问,使用指定操作替换当前服务,标准输出和ERROR
发送到客户端,默认至/dev/null

sshd: ALL :spawn echo “$(date +%%F) login attempt from %c to %s,%d” >>/var/log/sshd.log

说明：
在/etc/hosts.allow中添加，允许登录，并记录日志
在/etc/hosts.deny中添加，拒绝登录，并记录日志
%c 客户端信息
%s 服务器端信息
%d 服务名
%p 守护进程的PID
%% 表示%
当192.168.1段的IP访问FTP时，不使用FTP提供服务，而是执行twist里定义的动作，返回给客户端。
vsftpd: 192.168.1. :twist /bin/echo “connection prohibited”

PAM介绍

PAM:Pluggable Authentication Modules
认证库：文本文件，MySQL，NIS，LDAP等。
Sun公司于1995 年开发的一种与认证相关的通用框架机制。
PAM 是关注如何为服务验证用户的 API，通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开。
使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序。
一种认证框架，自身不做认证。

它提供了对所有服务进行认证的中央机制，适用于本地登录，远程登录，如：
telnet,rlogin,fsh,ftp,点对点协议PPP，su等应用程序中，系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。
应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用。
而PAM服务模块的开发者则利用PAM SPI来编写模块（主要调用函数pam_sm_xxxx( )供PAM接口库调用，将不同的认证机制加入到系统中；PAM接口库（libpam）则读取配置文件，将应用程序和相应的PAM服务模块联系起来。

PAM相关文件
模块文件目录：/lib64/security/*.so
环境相关的设置：/etc/security/
主配置文件:/etc/pam.conf，默认不存在
为每种应用模块提供一个专用的配置文件：/etc/pam.d/APP_NAME
注意：如/etc/pam.d存在，/etc/pam.conf将失效

PAM认证过程：
1.使用者执行/usr/bin/passwd 程序，并输入密码
2.passwd开始调用PAM模块，PAM模块会搜寻passwd程序的PAM相关设置文件，这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件，即PAM会搜寻/etc/pam.d/passwd此设置文件
3.经由/etc/pam.d/passwd设定文件的数据，取用PAM所提供的相关模块来进行验证
4.将验证结果回传给passwd这个程序，而passwd这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）

通用配置文件/etc/pam.conf格式
application type control module-path arguments
专用配置文件/etc/pam.d/* 格式
type control module-path arguments

说明：
服务名（application）
telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配
置的其它服务
模块类型（module-type）
control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
module-path 用来指明本模块对应的程序文件的路径名
Arguments 用来传递给该模块的参数

模块类型（module-type）
Auth 账号的认证和授权
Account 与账号管理相关的非认证类的功能，如：用来限制/允许用户对某
个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用
户的位置(例如：root用户只能从控制台登录)
Password 用户修改密码时密码复杂度检查机制等功能
Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作，如：记录打开/关闭数据的信息，监视目录等
-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是
安装在系统上的模块有用

Control:
PAM库如何处理与该服务相关的PAM模块成功或失败情况
两种方式实现：
简单和复杂
简单方式实现：一个关健词实现
required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序，即为必要条件
sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件
optional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略
include： 调用其他的配置文件中定义的配置信息

复杂详细实现：使用一个或多个“status=action”
[status1=action1 status2=action …]
Status:检查结果的返回状态
Action:采取行为 ok，done，die，bad，ignore，reset
ok 模块通过，继续检查
done 模块通过，返回最后结果给应用
bad 结果失败，继续检查
die 结果失败，返回失败结果给应用
ignore 结果忽略，不影响最后结果
reset 忽略已经得到的结果

module-path: 模块路径
相对路径：
/lib64/security目录下的模块可使用相对路径
如：pam_shells.so、pam_limits.so
绝对路径：
模块通过读取配置文件完成用户对系统资源的使用控制
/etc/security/*.conf
注意：修改PAM配置文件将马上生效
建议：编辑pam规则时，保持至少打开一个root会话，以防止root身份验证错误
Arguments 用来传递给该模块的参数

PAM模块示例

模块：pam_nologin.so
功能：如果/etc/nologin文件存在,将导致非root用户不能登陆
如果用户shell是/sbin/nologin 时，当该用户登陆时，会显示/etc/nologin
文件内容，并拒绝登陆

模块：pam_limits.so
功能：在用户级别实现对其可使用的资源的限制，例如：可打开的文件数量，可运行的进程数量，可用内存空间
修改限制的实现方式：
(1) ulimit命令，立即生效，但无法保存
-n 每个进程最多的打开的文件描述符个数
-u 最大用户进程数
-S 使用 soft（软）资源限制
-H 使用 hard（硬）资源限制

(2) 配置文件：/etc/security/limits.conf, /etc/security/limits.d/*.conf
配置文件：每行一个定义；

应用于哪些对象
Username 单个用户
@group 组内所有用户
* 所有用户

限制的类型
Soft 软限制,普通用户自己可以修改
Hard 硬限制,由root用户设定，且通过kernel强制生效
- 二者同时限定

限制的资源
nofile 所能够同时打开的最大文件数量,默认为1024
nproc 所能够同时运行的进程的最大数量,默认为1024
指定具体值

限制用户最多打开的文件数和运行进程数
/etc/pam.d/system-auth
session required pam_limits.so

vim /etc/security/limits.conf
apache – nofile 10240 用户apache可打开10240个文件
student hard nproc 20 用户student不能运行超过20个进程