目录
一、系统安全加固
1.账号安全基本措施
1.1系统账号清理
1.1.1延伸
1.2密码安全控制
1.3命令历史限制
1.4终端自动注销
二、使用su命令切换用户
1.用途及用法
2.密码验证
3.限制使用su命令的用户
4.查看su操作记录
5.sudo(superuse do)——提权
5.1sudo的含义
5.2sudo的特性
3.sudo的用法
3.1visudo详解
3.2演示
3.2.1在visudo中添加lisi可挂载命令
3.2.2用户lisi通过使用挂载命令成功挂载
3.2.3设置lisi用户使用该命令不需要使用密码
3.3延伸
3.3.1取反——哪个命令写在后面 哪个命令生效
3.3.2通配符的引入
3.3.3修改认证时间
3.3.4配置日志文件
3.3.5子目录
3.3.6别名
三、PAM安全认证
1.su命令的安全隐患
2.PAM(Pluggable Authentication Modules)可插拔式认证模块
1.1PAM的相关文件
1.2PAM认证的构成
第一模块——module-type模块类型
第二模块——Control控制类型
第三模块——PAM模块及参数
1.2.1Shell模块
1.2.2securetty模块
1.2.3pam_nologin.so 模块
1.3PAM工作原理
1.4limit——控制进程占用资源
1.4.1ulimit命令
1.4.1延伸——压测 ab
1.5开关机安全控制
1.5.1调整BIOS引导设置
1.5.2GRUB限制
1.6暴力破解密码
1.7NMAP——网络端口扫描
1.7.1NMAP的常用选项和扫描类型
1.7.2NMAP用于发现主机的一些用法
1.7.3NMAP扫描端口的一些方法
1.7.4演示
1.7.5服务及其端口号
四、总结
1.账号基本安全措施
2.用户切换域提权
3.开关机安全控制
4.终端控制
5.John the Ripper工具
6.namp命令
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow
中病毒怎么处理——cpu、内存使用率过高
解决办法:1.使用ps、top命令查看这个异常程序,通过进程的pid号,通过proc找到文件具体位置,将其删除;
2.自己新建一个和病毒同名的文件,加上chattr +i 锁定文件(加权限 锁定)
tips:锁定之后再进行解锁的话,可能会掉数据
此时发现删不掉该文件 是因为文件权限被锁定 需要对文件权限进行修改
权限修改是使用chattr -i 减i权限
vim /etc/login.defs ——适用于新建用户
chage -M 30 lisi ——适用于已有用户
如果使用chage + 用户名 代表使用交互式的修改密码
chage -d 0 用户名 ——表示用户登录时必须进行修改密码
注意:用户新修改的密码与原来的密码太相似也不可以
chage命令可以增强密码安全性
vim /etc/profile ——全局配置
vim ~/.bash_profile
将export 后 PATH修改为TMOUT=600 表示闲置600秒后自动注销
也可以在关机前将历史命令清除(进入vim ~/.bash_logout)
history -c命令是历史命令被清空
历史命令是临时性的 退出重启的话 历史命令还会在的
如果想永久性的清除历史命令进入vim ~/.bashrc输入echo " " > ~/.bashrc
“ . ” 表示重新读取配置文件
su——switch user
root→任意用户,不验证Miami
普通用户→其他用户,验证目标用户的密码
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
说明:root su至其他用户无须密码;非root用户切换时需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
su 与 su-
即有 - 选项,切换用户身份更彻底;反之,只切换了一部分,这会导致某些命令运行出现问题或错误(例如无法使用 service 命令)。
超级管理员切普通用户不需要密码
普通用户切超级管理员需要输入密码
普通用户和普通用户之间切换也需要密码
pam_rootok.so root用户不需要密码也可以切换用户;如果将其修改为注释(在这一行前加#表示注释)表示root切换到普通用户也需要修改密码
pam_wheel.so 只有wheel组才可以切换用户
启用pam_wheel认证模块
使用gpasswd -a cxk wheel
在Linux系统中,超级管理员的组是在wheel组中;wheel组高于root组
允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性在最早之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。
visudo = vim /etc/sudoers
visudo自带语法检查 推荐使用
root:哪个用户要使用命令 如果lisi用户要使用命令则输入[email protected];[email protected]
ALL:哪台主机 可以写域名 也可以写网段192.168.91.100 ;192.168.91.200
(ALL):以谁的方式运行 (ALL)代表以root用户的身份运行
ALL:所有命令;可以指定某些命令
注意注意:生产环境建议把root一行注释 在root行前加#
将lisi可以使用的命令指定为可以使用挂载命令,并且将光驱挂载到/mnt文件夹下
允许lisi用户在任何场景可以使用上述命令
因为visudo命令中设置了5分钟内再次使用命令不需要密码,如果想设置不需要密码直接使用命令,可以执行如下操作:
%代表组 只要在wheel组中可以使用任何命令
问:此时可以执行cat /etc/shadow吗
答:可以执行(通过visudo提权设置中,messages*通配符,其中*表示任意长度字符,从messages结束后第一个空格到shadow结束均用*来表示)
那么如果要限制只使用cat /var/log/messages,而不使用cat /etc/shadow,可以做如下操作
! /usr/bin/cat /var/log/message* * 表示禁止messages后面的写法,表示命令到messages就结束了 在messages后面任意长度字符 空格也是字符 取反之后就可以只使用cat /var/log/messages命令了
sudo -V可以查看详细信息
进入visudo中配置defaults logfile="/data/sudo.log"
可以查看日志文件
子配置文件可以方便管理用户;
延伸:如果有十个项目如何管理
需要写在子配置文件中
主配置可以存放全局配置文件;子配置文件可以存放个性化配置文件
注意:不可以进入visudo将zhangsan的ALL=修改为sudoedit;如果添加sudoedit则表示zhangsan可以进入visudo进行修改信息。加固安全!
要写在visudo中
Host_Alias MYHOST:主机组(可以输入域名)
User_Alias MYSERS:用户组
Cmnd_Alias MYCMND: 命令组
主机组内的主机和用户组内的用户可以使用用户组中的命令,可以方便管理
注意:别名格式:必须大写字母,数字可以使用但是不能放在开头
调用的话 输入如下操作
成功
/usr/lib64/security 文件夹下存放功能模块
/etc/pam.d 文件夹下存放配置文件
/etc/security 文件夹下存放比较复杂的配置文件
type模块是验证哪些功能;auth用户身份验证,账号是否存在;Account限制用户的位置,账户有效性,用户是否在有效期内进行登录;passwd输入密码是否正确 密码的复杂性;Session用户会话期间(相当于网络的会话层,管理会话)这个用户账号可以使用多少资源;-type缺失,有的模块没有安装在本地,不影响验证(后面的模块可能没有)
控制类型也称做Control Flags,用于PAM验证类型的返回结果
- required验证失败时仍然继续,但返回Fail
- required验证失败则立即结束整个验证过程,返回Fail
- sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
- optional不用于验证,只显示信息(通常用于session类型)
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。 同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
PAM认证类型包括四种
- 认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
- 帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
- 密码管理(password management):主要是用来修改用户的密码;
- 会话管理(session management):主要是提供对会话的管理和记账。控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
功能:检查有效shell
只规定除nologin之外的类型通过
功能:只允许root用户在/etc/securetty列出的安全终端上登录
将第一行注释的话,可以使用telnet协议进行远程登录
不建议使用telnet协议登录,因为telnet是明文传输 ,使用pam的目的是为了增强安全性
功能:如果/etc/nologin文件存在,将导致非root用户不能登录,当该用户登录时,会显示/etc/nologin文件内容,并拒绝登录(可以用于日常维护使用)
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
总结:
功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间
其位置在/etc/security文件夹下
想知道哪些配置文件调用了limit模块
vim limits.conf可以查看limit详细信息
nproc:某个用户最多可以打开几个进程
pgrep -l -u 用户名 可以查看用户有多少个进程
目前显示ghd用户已经开启了五个进程,无法开启更多进程
ulimit是linux shell的内置命令,它具有一套参数集,用于对shell进程及其子进程进行资源限制。
ulimit的设定值是 per-process 的,也就是说,每个进程有自己的limits值。使用ulimit进行修改,立即生效。
ulimit只影响shell进程及其子进程,用户登出后失效。
可以在profile中加入ulimit的设置,变相的做到永久生效
选项 | 含义 |
-H | 设置硬件资源限制 |
-S | 设置软件资源限制 |
-a | 显示当前所有的资源限制 |
-c size | 设置core文件的最大值.单位:blocks |
-d size | 设置数据段的最大值.单位:kbytes |
-f size | 设置创建文件的最大值.单位:blocks |
-l size | 设置在内存中锁定进程的最大值.单位:kbytes |
-m size | 设置可以使用的常驻内存的最大值.单位:kbytes |
-n size | 设置内核可以同时打开的文件描述符的最大值.单位:n |
-p size | 设置管道缓冲区的最大值.单位:kbytes |
-s size | 设置堆栈的最大值.单位:kbytes |
-t size | 设置CPU使用时间的最大上限.单位:seconds |
-u size | 最大用户进程数 |
-v size | 设置虚拟内存的最大值.单位:kbytes |
ulimit -a 可以查看调整好的信息状态
可以通过ulimit -n命令将open files调大
ab是httpd tools的测试小工具,需要安装
* soft core unlimited
* hard core unlimited
* soft nproc 1000000
* hard nproc 1000000
* soft nofile 1000000
* hard nofile 1000000
* soft memlock 32000
* hard memlock 32000
* soft msgqueue 8192000
* hard msgqueue 8192000
#limits 生产中建议设置
可以使用pe(小型的Linux系统) 或者 BIOS中进行密码破解 所以要将BIOS中可以通过硬盘登录引导系统进行关闭
由于GRUB 2负责引导linux系统,其作为系统中的第一道屏障的安全性非常重要,对GRUB 2进行加密可以实现安全性。
在默认情况下,GRUB 2对所有可以在物理上进入控制台的人都是可访问的。任何人都可以选择并编辑任意菜单项,并且可以直接访问GRUB命令行。要启用认真支持,必须将环境变量超级用户设置为一组用户名(可以使用空格、逗号、分号作为分隔符)这样就只允许超级用户使用GRUB命令行、编辑菜单项以及执行任意菜单项。
Joth the Ripper,简称JR
cd /opt
tar. zxf john-1.8.0.tar.gz
#解压工具包
yum install -y gcc gcc-c++ make
#安装软件编译工具
cd /opt/john-1.8.0/src
#切换到src子目录
make clean linux-x86-64
#进行编译安装
cp /etc/shadow /opt/shadow.txt
#准备待破解的密码文件
/opt/john-1.8.0/run/john /opt/shadow.txt
Loaded 2 password hashes with 2 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
#显示目前有两个用户需要进行破解,需要等待时间 如果密码在
xxx (root)
xxx (ghd)
#显示已破解的密码
2g 0:00:00:16 100% 2/3 0.1222g/s 361.4p/s 367.3c/s 367.3C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed
./john --show /opt/shadow.txt
root:123::0:99999:7:::
ghd:123::0:99999:7:::
2 password hashes cracked, 0 left
#查看已破解的密码
选项 | 内容 |
-p | 指定扫描的端口 |
-n | 禁用反向DNS解析(以加快扫描速度) |
-sS | TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放 |
-sT | TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放 |
-sF | TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性 |
-sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢 |
-sP | ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描 |
-p0 | 跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描 |
选项 | 内容 |
-sL | List Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现 |
-sn | Ping Scan 只进行主机发现,不进行端口扫描 |
-Pn | 将所有指定的主机视作开启的,跳过主机发现的过程 |
-PS/PA/PU/PY[portlist] | 使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现 |
-PE/PP/PM | 使用ICMP echo, timestamp, and netmask 请求包发现主机 |
-PO[protocollist] | 使用IP协议包探测对方主机是否开启 |
-n/-R | -n表示不进行DNS解析;-R表示总是进行DNS解析 |
--dns-servers |
指定DNS服务器 |
--system-dns | 指定使用系统的DNS服务器 |
--traceroute | 追踪每个路由节点 |
选项 | 内容 |
-sS/sT/sA/sW/sM | 指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描 |
-sU | 指定使用UDP扫描方式确定目标主机的UDP端口状况 |
-sN/sF/sX | 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态 |
--scanflags |
定制TCP包的flags |
-sI |
指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host) |
-sY/sZ | 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况 |
-sO | 使用IP protocol 扫描确定目标机支持的协议类型 |
-b |
使用FTP bounce scan扫描方式 |
[root@localhost opt]#nmap -sT 127.0.0.1
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:25 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00023s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
631/tcp open ipp
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds
[root@localhost opt]#nmap -sU 127.0.0.1
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:25 CST
#分别查看本机开放的TCP端口、UDP端口
[root@localhost opt]#nmap -p 80 192.168.241.0/24
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:26 CST
Nmap scan report for 192.168.241.1
Host is up (0.00044s latency).
PORT STATE SERVICE
80/tcp closed http
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.241.2
Host is up (0.00014s latency).
PORT STATE SERVICE
80/tcp closed http
MAC Address: 00:50:56:FE:2A:68 (VMware)
Nmap scan report for 192.168.241.11
Host is up (0.000048s latency).
PORT STATE SERVICE
80/tcp closed http
Nmap done: 256 IP addresses (3 hosts up) scanned in 15.33 seconds
##检测192.168.80.0/24网段有哪些主机提供HTTP服务
[root@localhost opt]#nmap -n -sP 192.168.241.0/24
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:27 CST
Nmap scan report for 192.168.241.1
Host is up (0.00038s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.241.2
Host is up (0.000078s latency).
MAC Address: 00:50:56:FE:2A:68 (VMware)
Nmap scan report for 192.168.241.11
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 1.95 seconds
#检测192.168.80.0/24网段有哪些存活主机
服务 | 端口号 |
HTTP | 80 |
HTTPS | 443 |
Telnet | 23 |
FTP | 21 |
SSH(安全登录)、SCP(文件传输)、端口重定向 | 22 |
SMTP | 25 |
POP3 | 110 |
WebLogic | 7001 |
TOMCAT | 8080 |
WIN2003远程登录 | 3389 |
Oracle数据库 | 1521 |
MS SQL* SEVER数据库sever | 1433 |
MySQL 数据库sever | 3306 |