一、系统安全加固
1.账号安全基本措施
1.1系统账号清理
- 将非登录用户的Shell设为/sbin/nologin
- 锁定长期不使用的账号(passwd -l 锁定用户;passwd -u 解锁用户)
- 删除无用的账号(userdel -r 用户名)
- 锁定账号文件passwd、shadow(chattr)
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow
1.1.1延伸
中病毒怎么处理——cpu、内存使用率过高
解决办法:1.使用ps、top命令查看这个异常程序,通过进程的pid号,通过proc找到文件具体位置,将其删除;
2.自己新建一个和病毒同名的文件,加上chattr +i 锁定文件(加权限 锁定)
tips:锁定之后再进行解锁的话,可能会掉数据
此时发现删不掉该文件 是因为文件权限被锁定 需要对文件权限进行修改
权限修改是使用chattr -i 减i权限
1.2密码安全控制
- 设置密码有效期
- 要求用户下次登录时修改密码
vim /etc/login.defs ——适用于新建用户
chage -M 30 lisi ——适用于已有用户
如果使用chage + 用户名 代表使用交互式的修改密码
chage -d 0 用户名 ——表示用户登录时必须进行修改密码
注意:用户新修改的密码与原来的密码太相似也不可以
chage命令可以增强密码安全性
1.3命令历史限制
- 减少记录的命令条数
- 注销时自动清空命令历史
vim /etc/profile ——全局配置
1.4终端自动注销
- 闲置600秒后自动注销
vim ~/.bash_profile
将export 后 PATH修改为TMOUT=600 表示闲置600秒后自动注销
也可以在关机前将历史命令清除(进入vim ~/.bash_logout)
history -c命令是历史命令被清空
历史命令是临时性的 退出重启的话 历史命令还会在的
如果想永久性的清除历史命令进入vim ~/.bashrc输入echo " " > ~/.bashrc
“ . ” 表示重新读取配置文件
二、使用su命令切换用户
su——switch user
1.用途及用法
- 用途:Substitute User 切换用户
- 格式:su 目标用户
2.密码验证
root→任意用户,不验证Miami
普通用户→其他用户,验证目标用户的密码
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
说明:root su至其他用户无须密码;非root用户切换时需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
su 与 su-
即有 - 选项,切换用户身份更彻底;反之,只切换了一部分,这会导致某些命令运行出现问题或错误(例如无法使用 service 命令)。
超级管理员切普通用户不需要密码
普通用户切超级管理员需要输入密码
普通用户和普通用户之间切换也需要密码
3.限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组中
- 启用pam_wheel认证模块
pam_rootok.so root用户不需要密码也可以切换用户;如果将其修改为注释(在这一行前加#表示注释)表示root切换到普通用户也需要修改密码
pam_wheel.so 只有wheel组才可以切换用户
启用pam_wheel认证模块
使用gpasswd -a cxk wheel
在Linux系统中,超级管理员的组是在wheel组中;wheel组高于root组
4.查看su操作记录
- 安全日志文件:/var/log/secure
5.sudo(superuse do)——提权
5.1sudo的含义
允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性在最早之前,一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。
5.2sudo的特性
- sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
- sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器
- sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票
- sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440
3.sudo的用法
visudo = vim /etc/sudoers
visudo自带语法检查 推荐使用
3.1visudo详解
root:哪个用户要使用命令 如果lisi用户要使用命令则输入lisi@192.168.91.100;zhangsan@192.168.91.200
ALL:哪台主机 可以写域名 也可以写网段192.168.91.100 ;192.168.91.200
(ALL):以谁的方式运行 (ALL)代表以root用户的身份运行
ALL:所有命令;可以指定某些命令
注意注意:生产环境建议把root一行注释 在root行前加#
3.2演示
将lisi可以使用的命令指定为可以使用挂载命令,并且将光驱挂载到/mnt文件夹下
3.2.1在visudo中添加lisi可挂载命令
允许lisi用户在任何场景可以使用上述命令
3.2.2用户lisi通过使用挂载命令成功挂载
3.2.3设置lisi用户使用该命令不需要使用密码
因为visudo命令中设置了5分钟内再次使用命令不需要密码,如果想设置不需要密码直接使用命令,可以执行如下操作:
3.3延伸
%代表组 只要在wheel组中可以使用任何命令
3.3.1取反——哪个命令写在后面 哪个命令生效
3.3.2通配符的引入
问:此时可以执行cat /etc/shadow吗
答:可以执行(通过visudo提权设置中,messages通配符,其中表示任意长度字符,从messages结束后第一个空格到shadow结束均用*来表示)
那么如果要限制只使用cat /var/log/messages,而不使用cat /etc/shadow,可以做如下操作
! /usr/bin/cat /var/log/message* * 表示禁止messages后面的写法,表示命令到messages就结束了 在messages后面任意长度字符 空格也是字符 取反之后就可以只使用cat /var/log/messages命令了
3.3.3修改认证时间
sudo -V可以查看详细信息
3.3.4配置日志文件
进入visudo中配置defaults logfile="/data/sudo.log"
可以查看日志文件
3.3.5子目录
子配置文件可以方便管理用户;
延伸:如果有十个项目如何管理
需要写在子配置文件中
主配置可以存放全局配置文件;子配置文件可以存放个性化配置文件
注意:不可以进入visudo将zhangsan的ALL=修改为sudoedit;如果添加sudoedit则表示zhangsan可以进入visudo进行修改信息。加固安全!
3.3.6别名
要写在visudo中
Host_Alias MYHOST:主机组(可以输入域名)
User_Alias MYSERS:用户组
Cmnd_Alias MYCMND: 命令组
主机组内的主机和用户组内的用户可以使用用户组中的命令,可以方便管理
注意:别名格式:必须大写字母,数字可以使用但是不能放在开头
调用的话 输入如下操作
成功
三、PAM安全认证
1.su命令的安全隐患
- 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
- 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
2.PAM(Pluggable Authentication Modules)可插拔式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式
- 也是当前Liunx服务器普遍使用的认证方式
/usr/lib64/security 文件夹下存放功能模块
/etc/pam.d 文件夹下存放配置文件
/etc/security 文件夹下存放比较复杂的配置文件
1.1PAM的相关文件
- 包名:pam
- 模块文件目录:/lib64/security/*.so
- 特定模块相关的设置文件:/etc/security
- 应用程序调用PAM模块的配置文件
1.2PAM认证的构成
- 查看某个程序是否支持PAM认证,可以用ls命令
- 查看su的PAM配置文件:cat /etc/pam.d/su
- 每一行都是一个独立的认证过程
- 每一行可以区分为三个字段:认证类型、控制类型、PAM模块及其参数
第一模块——module-type模块类型
- Auth 账号的认证和授权
- Account 帐户的有效性,与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例如:root用户只能从控制台登录)
- Password 用户修改密码时密码复杂度检查机制等功能
- Session 用户会话期间的控制,如:最多打开的文件数,最多的进程数等
- -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
type模块是验证哪些功能;auth用户身份验证,账号是否存在;Account限制用户的位置,账户有效性,用户是否在有效期内进行登录;passwd输入密码是否正确 密码的复杂性;Session用户会话期间(相当于网络的会话层,管理会话)这个用户账号可以使用多少资源;-type缺失,有的模块没有安装在本地,不影响验证(后面的模块可能没有)
第二模块——Control控制类型
控制类型也称做Control Flags,用于PAM验证类型的返回结果
- required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕,再将失败结果返回给应用程序,即为必要条件。(如果失败,最后一定失败,但是会继续进行验证)
- requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件(如果失败会立即结束验证)
- sufficient :表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件,优先于前面的(验证成功则立即返回,不再继续,否则忽略结果并继续)
- equired和requisiteoptional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略include: 调用其他的配置文件中定义的配置
- optional 可选项(显示信息)
- substack 子模块
- required验证失败时仍然继续,但返回Fail
- required验证失败则立即结束整个验证过程,返回Fail
- sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
- optional不用于验证,只显示信息(通常用于session类型)
第三模块——PAM模块及参数
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。 同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
PAM认证类型包括四种
- 认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
- 帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
- 密码管理(password management):主要是用来修改用户的密码;
- 会话管理(session management):主要是提供对会话的管理和记账。控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1.2.1Shell模块
功能:检查有效shell
只规定除nologin之外的类型通过
1.2.2securetty模块
功能:只允许root用户在/etc/securetty列出的安全终端上登录
将第一行注释的话,可以使用telnet协议进行远程登录
不建议使用telnet协议登录,因为telnet是明文传输 ,使用pam的目的是为了增强安全性
1.2.3pam_nologin.so 模块
功能:如果/etc/nologin文件存在,将导致非root用户不能登录,当该用户登录时,会显示/etc/nologin文件内容,并拒绝登录(可以用于日常维护使用)
1.3PAM工作原理
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
总结:
- 使用者执行/usr/bin/passwd 程序,并输入密码
- passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
- 经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
- 将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
1.4limit——控制进程占用资源
功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间
其位置在/etc/security文件夹下
想知道哪些配置文件调用了limit模块
vim limits.conf可以查看limit详细信息
nproc:某个用户最多可以打开几个进程
pgrep -l -u 用户名 可以查看用户有多少个进程
目前显示ghd用户已经开启了五个进程,无法开启更多进程
1.4.1ulimit命令
ulimit是linux shell的内置命令,它具有一套参数集,用于对shell进程及其子进程进行资源限制。
ulimit的设定值是 per-process 的,也就是说,每个进程有自己的limits值。使用ulimit进行修改,立即生效。
ulimit只影响shell进程及其子进程,用户登出后失效。
可以在profile中加入ulimit的设置,变相的做到永久生效
选项含义-H设置硬件资源限制-S设置软件资源限制-a显示当前所有的资源限制-c size设置core文件的最大值.单位:blocks-d size设置数据段的最大值.单位:kbytes-f size设置创建文件的最大值.单位:blocks-l size设置在内存中锁定进程的最大值.单位:kbytes-m size设置可以使用的常驻内存的最大值.单位:kbytes-n size设置内核可以同时打开的文件描述符的最大值.单位:n-p size设置管道缓冲区的最大值.单位:kbytes-s size设置堆栈的最大值.单位:kbytes-t size设置CPU使用时间的最大上限.单位:seconds-u size最大用户进程数-v size设置虚拟内存的最大值.单位:kbytes
ulimit -a 可以查看调整好的信息状态
1.4.1延伸——压测 ab
可以通过ulimit -n命令将open files调大
ab是httpd tools的测试小工具,需要安装
* soft core unlimited
* hard core unlimited
* soft nproc 1000000
* hard nproc 1000000
* soft nofile 1000000
* hard nofile 1000000
* soft memlock 32000
* hard memlock 32000
* soft msgqueue 8192000
* hard msgqueue 8192000
#limits 生产中建议设置
1.5开关机安全控制
1.5.1调整BIOS引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setup,并设置管理员密码
可以使用pe(小型的Linux系统) 或者 BIOS中进行密码破解 所以要将BIOS中可以通过硬盘登录引导系统进行关闭
1.5.2GRUB限制
- 使用grub2-mkpasswd-pdkdf2生成密钥
- 修改/etc/grub.d/00_header文件中,添加密码记录
- 生成新的grub.cfg配置文件
由于GRUB 2负责引导linux系统,其作为系统中的第一道屏障的安全性非常重要,对GRUB 2进行加密可以实现安全性。
在默认情况下,GRUB 2对所有可以在物理上进入控制台的人都是可访问的。任何人都可以选择并编辑任意菜单项,并且可以直接访问GRUB命令行。要启用认真支持,必须将环境变量超级用户设置为一组用户名(可以使用空格、逗号、分号作为分隔符)这样就只允许超级用户使用GRUB命令行、编辑菜单项以及执行任意菜单项。
1.6暴力破解密码
Joth the Ripper,简称JR
- 一款密码分析工具,支持字典式的暴力破解
- 通过对shadow文件的口令分析,可以检测密码强度
- 官方网站:http://www.openwall.com/john/
cd /opt
tar. zxf john-1.8.0.tar.gz
#解压工具包
yum install -y gcc gcc-c++ make
#安装软件编译工具
cd /opt/john-1.8.0/src
#切换到src子目录
make clean linux-x86-64
#进行编译安装
cp /etc/shadow /opt/shadow.txt
#准备待破解的密码文件
/opt/john-1.8.0/run/john /opt/shadow.txt
Loaded 2 password hashes with 2 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
#显示目前有两个用户需要进行破解,需要等待时间 如果密码在
xxx (root)
xxx (ghd)
#显示已破解的密码
2g 0:00:00:16 100% 2/3 0.1222g/s 361.4p/s 367.3c/s 367.3C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed
./john --show /opt/shadow.txt
root:123::0:99999:7:::
ghd:123::0:99999:7:::
2 password hashes cracked, 0 left
#查看已破解的密码
1.7NMAP——网络端口扫描
- 一款强大的网络扫描、安全检测工具
- 官方网站:http://namp.org/
- Centos7.3光盘中安装包nmp-6.40-7.el7.x86_64.rpm
1.7.1NMAP的常用选项和扫描类型
选项内容-p指定扫描的端口-n禁用反向DNS解析(以加快扫描速度)-sSTCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放-sTTCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放-sFTCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性-sUUDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢-sPICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描-p0跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
1.7.2NMAP用于发现主机的一些用法
选项内容-sLList Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现-snPing Scan 只进行主机发现,不进行端口扫描-Pn将所有指定的主机视作开启的,跳过主机发现的过程-PS/PA/PU/PY[portlist]使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现-PE/PP/PM使用ICMP echo, timestamp, and netmask 请求包发现主机-PO[protocollist]使用IP协议包探测对方主机是否开启-n/-R-n表示不进行DNS解析;-R表示总是进行DNS解析--dns-servers<serv1[,serv2],...>指定DNS服务器--system-dns指定使用系统的DNS服务器--traceroute追踪每个路由节点
1.7.3NMAP扫描端口的一些方法
选项内容-sS/sT/sA/sW/sM指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描-sU指定使用UDP扫描方式确定目标主机的UDP端口状况-sN/sF/sX指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态--scanflags <flags>定制TCP包的flags-sI <zombiehost[:probeport]>指定使用idle scan方式来扫描目标主机(前提需要找到合适的zombie host) -sY/sZ使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况-sO使用IP protocol 扫描确定目标机支持的协议类型-b <FTP relay host>使用FTP bounce scan扫描方式
1.7.4演示
[root@localhost opt]#nmap -sT 127.0.0.1
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:25 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00023s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
631/tcp open ipp
10000/tcp open snet-sensor-mgmt
Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds
[root@localhost opt]#nmap -sU 127.0.0.1
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:25 CST
#分别查看本机开放的TCP端口、UDP端口
[root@localhost opt]#nmap -p 80 192.168.241.0/24
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:26 CST
Nmap scan report for 192.168.241.1
Host is up (0.00044s latency).
PORT STATE SERVICE
80/tcp closed http
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.241.2
Host is up (0.00014s latency).
PORT STATE SERVICE
80/tcp closed http
MAC Address: 00:50:56:FE:2A:68 (VMware)
Nmap scan report for 192.168.241.11
Host is up (0.000048s latency).
PORT STATE SERVICE
80/tcp closed http
Nmap done: 256 IP addresses (3 hosts up) scanned in 15.33 seconds
##检测192.168.80.0/24网段有哪些主机提供HTTP服务
[root@localhost opt]#nmap -n -sP 192.168.241.0/24
Starting Nmap 6.40 ( http://nmap.org ) at 2024-01-06 15:27 CST
Nmap scan report for 192.168.241.1
Host is up (0.00038s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.241.2
Host is up (0.000078s latency).
MAC Address: 00:50:56:FE:2A:68 (VMware)
Nmap scan report for 192.168.241.11
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 1.95 seconds
#检测192.168.80.0/24网段有哪些存活主机
1.7.5服务及其端口号
服务端口号HTTP80HTTPS443Telnet23FTP21SSH(安全登录)、SCP(文件传输)、端口重定向22SMTP25POP3110WebLogic7001TOMCAT8080WIN2003远程登录 3389Oracle数据库1521MS SQL* SEVER数据库sever1433MySQL 数据库sever3306
四、总结
1.账号基本安全措施
- 系统账号清理
- 密码安全控制
- 命令历史清理
- 自动注销
2.用户切换域提权
- su
- sudo
3.开关机安全控制
- BIOS引导设置
- 禁止Ctrl+Alt+Del快捷键
- GRUB菜单设置密码
4.终端控制
5.John the Ripper工具
6.namp命令
版权归原作者 一坨小橙子ovo 所有, 如有侵权,请联系我们删除。