Linux系统安全控制与应用

1. 账号安全基本措施

　系统账号清理

将非登录用户的Shell设为/sbin/nologin

1 usermod -s /sbin/nologin 用户名

锁定长期不使用的账号

1 usermod -L 用户名
2 passwd -l 用户名

删除无用的账号

1 userdel  [-r]  用户名

锁定账号文件 passwd、shadow

1 chattr +i /etc/passwd /etc/shadow      #锁定文件并查看状态
2 Isattr /etc/passwd /etc/shadow         #查看
3 chattr -i /etc/passwd /etc/shadow      #解锁文件

　密码安全控制

设置密码有效期
要求用户下次登录时修改密码

1 适用于新建用户
2 vim /etc/login.defs       修改密码配置文件

1 适用于已有用户
2 chage -M 设定天数 用户名

1 强行在下次登录时更改密码
2 chage -d 0 用户名

　命令历史限制

1 查看历史命令
2 history
3 立刻清空当前历史记录（临时清空，文件还在）
4 history -c

1 减少记录的命令条数
2 vim /etc/profile

1 终端自动注销
2 
3 export TMOUT=300        闲置300秒后自动注销

1 登录时自动清空命令历史
2 vim .bashrc
3 echo " " > ~/.bash_history

2.切换用户-su

　用途及用法

　　用途：切换用户
　　格式为：

　　 su - 目标用户

　密码验证

root→任意用户，不验证密码
普通用户→其他用户，验证目标用户的密码

　限制用户使用su命令

将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块

1 gpasswd -a haha wheel                  #添加授权用户到wheel组中
2 groups haha
3 vim /etc/pam.d/su                      #进入设置su使用命令
4 auth required pam_wheel.so use_uid     #去掉此行开头的注释
5 
6 启用pam_wheel认证以后，未加入到wheel组内的其他用户将无法使用su命令

以上两行是默认状态(即开启第2行，注释第6行)，这种状态下是允许所有用户间使用su命令进行切换的；
两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；
如果第2行不注释，则root使用su切换普通用户就不需要输入密码(pam_ rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码)；
如果开启第6行，表示只有root用户和wheel组内的用户才可以使用su命令；
如果注释第2行，开启第6行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

　查看su操作记录

1 cat /var/log/secure     #查看安全日志文件

3. Linux中的PAM安全认证

Linux-PAM是linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d/下的配置文件，来管理对程序的认证方式。应用程序调用相应的PAM配置文件，从而调用本地的认证模块，模块放置在/lib64/security下，以加载动态库的形式进行认证。比如使用su命令时，系统会提示输入root用户的密码，这就是su命令通过调用PAM模块实现的。

　PAM认证模块

PAM认证一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so；（认证模块）
PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d)，最后调用认证模块(位于/lib64/security/)进行安全认证。
用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

　　如果想查看某个程序是否支持PAM认证，可以用 ls 命令进行查看/etc/pam.d/

　第一列代表PAM认证模块类型

auth：对用户身份进行识别，如提示输入密码，判断是否为root
account：对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等
password：使用用户信息来更新数据，如修改用户密码
session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统

　第二列代表PAM控制标记

required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败
requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于 session 类型）
include：表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项

　第三列代表PAM模块

默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数

　第四列代表PAM模块的参数

这个需要根据所使用的模块来添加
传递给模块的参数（参数可以有多个，之间用空格分隔开）

如图所示：

4. sudo机制提升权限

1 用途：以其他用户身份（如root）执行授权的命令
2 用法：sudo 授权命令

　配置sudo授权

1 visudo
2 或者
3 vi /etc/sudoers 此文件的默认权限为440，保存退出时必须执行 “：wq！”命令来强制操作
4 
5 语法格式：
6 用户 主机名=命令程序列表
7 用户 主机名=（用户）命令程序列表

　　用户：直接授权指定的用户名，或采用“。组名"的形式（授权一个组的所有用户）
　　主机名：使用此规则的主机名。没配置过主机名时可localhost，有配过主机名则用实际的主机名，ALI则代表所有主机
　　（用户）：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
　　命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“，”进行分隔。ALL则代表系统中的所有命令

 1 haha ALL=/sbin/ifconfig      
 2 #说明haha在所有主机上拥有ifconfig权限
 3 
 4 haha localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff      
 5 #通配符“*”表示所有、取反符号“!”表示排除   #说明admin1拥有除了重启和关机的所有权限
 6 
 7 %wheel ALL=NOPASSWD: ALL      
 8 #表示wheel组成员无需验证密码即可使用sudo执行任何命令
 9 
10 haha ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall   
11 #说明haha用户不需要输入密码即可执行kill和killall命令

使用关键字User_ Alias、Host_ Alias、Cmnd_ Alias 来进行设置别名( 别名必须为大写)

 1 User_Alias USERS=Tom, Jerry, Mike             用户别名
 2 
 3 Host_Alias HOSTS=localhost, bogon             主机别名
 4 
 5 Cmnd_Alias CMNDS=/ sbin/ ifconfig, /usr/ sbin/useradd,/usr/sbin/ userdel
 6 
 7 USERS HOSTS=CMNDS                     用户组   主机组  =  命令程序列表
 8 
 9 USERS HOSTS=NOPASSWD:CMNDS                执行过程不需要验证密码

　查看授权的sudo操作

　　sudo -l

5. 开关机安全控制

　调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup，并设置管理员密码

　GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_ header文件中，添加密码记录
生成新的grub.cfg配置文件

限制更改GRUB引导参数

通常情况下在系统开机进入GRUB菜单时，按 e 键可以查看并修改GRUB引导参数，这对服务器是–个极大的威胁
可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数

 1 grub2 -mkpasswd-pbkdf2                         #根据提示设置GRUB菜单的密码
 2 
 3 PBKDF2 hash of your password is grub. pbkdf2...#省略部分内容为经过加密生成的密码字符串
 4 
 5 cp /boot/grub2/grub.cfg /boot/grub2/grub. cfg .bak
 6 cp /etc/grub.d/00_ header /etc/grub.d/00_ header . bak
 7 
 8 vim /etc/grub.d/00_ header
 9 cat << EOF
10 
11 set superusers=" root "                        #设置用户名为root
12 
13 password_ pbkdf2 root grub . pbkd2...         #设置密码，省略部分内容为经过加密生成的密码字符串
14 EOF
15 
16 grub2-mkconfig -o /boot/grub2/grub.cfg         #生成新的 grub.cfg 文件
17 
18 重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数

6. 终端登录安全控制

　限制root只在安全终端登录

安全终端配置：/etc/securetty

　禁止普通用户登录

建立/etc/nologin文件
删除nologin文件或重启后即恢复正常

详情：

禁止root用户登录
在Linux系统中，login 程序会读取/etc/securetty文件，以决定允许root 用户从哪些终端(安全终端)登录系统

1 vi /etc/ securetty
2 tty5
3 #tty6
4 想要不让在哪个终端登陆就在该终端前加注释“#”

禁止普通用户登录
login程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统(root 用户不受限制)

1 touch /etc/nologin
2 #禁止普通用户登录
3 
4 rm -rf /etc/ nologin
5 #取消登录限制

7. 系统弱口令检测

　　John the Ripper（JR）是一款开源的密码破解工具，可使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。

　JR

一款密码分析工具，支持字典式的暴力破解
通过对shadow文件的口令分析，可以检测密码强度
官方网站：http://www.openwall.com/john/

　安装JR工具

(1)安装方法

make clean 系统类型
主程序文件为john

(2)检测弱口令账号

获得Linux/Unix服务器的shadow文件
执行john程序，将shadow文件作为参数

(3)密码文件的暴力破解

准备好密码字典文件，默认为password.lst
执行john程序，结合- -wordlist=字典文件

详情步骤：

 1 cd /opt
 2 tar zxvf john-1.8.0.tar.gz
 3 #解压工具包
 4 
 5 yum install -y gcc gcc-c++ make
 6 #安装软件编译工具
 7 
 8 cd /opt/john-1.8.0/src
 9 #切换到src子目录
10 
11 make clean linux-x86-64
12 #进行编译安装
13 
14 cp /etc/shadow /opt/shadow.txt
15 #准备待破解的密码文件
16 
17 cd /opt/john-1.8.0/ run
18 ./john /opt/shadow.txt
19 #执行暴力破解
20 
21 ./john --show /opt/ shadow.txt
22 #查看E破解出的账户列表
23 
24 #使用密码字典文件
25  > john.pot
26 #清空已破解出的账户列表,以便重新分析
27 
28 ./john --wordlist=. /password.lst /opt/shadow.txt
29 #使用指定的字典文件进行破解

8. 网络端口扫描

　　NMAP是一个强大的端口扫描类安全评测工具，支持ping扫描、多端口检测等多种技术。

　安装NMAP软件包

1 rpm -qa | grep nmap
2 yum install -y nmap

　NMAP

　　namp 【扫描类型】【选项】<扫描目标>

一款强大的网络扫描、安全检测工具
官方网站：htp://nmap.org/
CentOS 7.3光盘中安装包nmap-6.40-7.el7 .x86_ 64.rpm

　常用的选项和扫描类型

-p：指定扫描的端口
-n：禁用反向DNS 解析(以加快扫描速度)
-sS：TCP的SYN扫描(半开扫描)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接;否则认为目标端口并未开放
-sT：TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放
-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU：UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢
-sP：ICMP 扫描，类似于ping 检测，快速判断目标主机是否存活，不做其他扫描
-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法
ping通而放弃扫描

1 nmap -sT 127.0.0.1               #查看本机开放的TCP端口
2 
3 nmap -sU 127.0.0.1               #查看本机开放的UDP端口
4 
5 namp -n -sP 192.168.208.0/24     #检查192.168.208.0网段有哪些存活主机

　natstat命令常用选项

-a：显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n：以数字的形式显示相关的主机地址、端CI等信息
-t：查看TCP协议相关的信息
-u：显示UDP协议相关的信息
-P：显示与网络连接相关联的进程号、进程名称信息( 该选项需要root 权限)
-r：显示路由表信息
-l：显示处于监听状态的网络连接及端口信息

1 netstat -natp
2 #查看正在运行的使用TCP协议的网络状态信息
3 
4 netstat -naup
5 #查看正在运行的使用UDP协议的网络状态信息