这里写目录标题
一、账号安全控制
1.1基本安全措施
1.1.1系统账号的清理
1.1.1.1将非登录用户的Shell设为/sbin/nologin
-
将非登录用户的Shell设为/sbin/nologin
- 在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,
除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录
,常见的非登录用户有bin、adm、mail、lp、nobody、ftp
等。
- 在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,
usermod -s /sbin/nologin 用户名
1.1.1.2锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二
1.1.1.3删除无用账号
[root@localhost ~]# userdel yr
[root@localhost ~]# userdel -r ys
1.1.1.4锁定账号文件passwd、shadow
[root@localhost ~]# chattr `+i` /etc/passwd /etc/shadow `锁定文件`,包括root也无法修改
[root@localhost ~]# chattr `+i` /etc/passwd **//passwd下存放的是用户信息**
[root@localhost ~]# chattr `+i` /etc/shadow **//shadow下存放的是密码,权限修改都在这里**
[root@localhost ~]# chattr `-i` /etc/passwd /etc/shadow `解锁`文件
[root@localhost ~]# `lsattr` /etc/passwd /etc/shadow`查看文件状态属性`
1.1.2密码安全控制
1.1.2.1设置密码有效期
1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改`已经存在的用户`
2.[root@localhost ~]# vim /etc/login.defs 这种适合以后`添加新用户`
PASS_MAX_DAYS 30
- 修改存在用户密码有效期实例
- 新用户的实例
1.1.2.2要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 hxd 强制要求用户下次登陆时修改密码
注意:-d代表密码的最后一次修改
0可以改为具体的时间eg:chage -d 2022-04-07 hxd
1.1.3命令历史、自动注销
1.1.3.1命令历史限制
-
减少记录命令的条数
-
注销时自动情况命令历史
减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效
2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
3. 注销时自动清空命令:
[root@localhost ~]# vim ~/.bashrc
echo "" > ~/.bash_history
案列2:
1.1.3.2终端自动注销
闲置600秒后自动注销:
[root@localhost ~]#vim .bash_profile 进入配置文件
export TMOUT=60 全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile
[root@localhost ~]# echo $TMOUT
[root@localhost ~]# export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效
[root@localhost ~]#vim .bash_profile
# export TMOUT=60 注释掉这条命令,就不会自动注销了
shift+G切换至行尾加入
注销时自动清空历史命令
1.永久清除:
2.临时清除【重启缓存还在】:
1.2用户切换与提权(加入wheel组)
1.2.1su命令—切换用户
1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)
- 密码验证:
root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境
Root切换 到任意用户 不需要验证密码;而普通用户 切换到 其他用户都需要密码
2.查看su操作记录
安全日志文件:/var/log/secure
查看所有su操作记录:vim /var/log/secure
3.whoami确定当前用户是谁
4. vim /etc/pam.d/su
把第六行注释去掉保存退出
默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码
案列:
1.2.2sudo命令—提升执行权限
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件,可以授权用户较多的时使用
Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
3.
1.3PAM安全认证
-
su命令的安全隐患
-
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
-
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
-
实现过程如下: 将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
在/etc/pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/su
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是运行所有用户都能使用su命令,但root’下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam
rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
[root@localhost ~]# gpasswd -a zhangsan wheel #添加授权用户 zhangsan
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group #确认 wheel 组成员
wheel:x:10:zhangsan
[root@localhost ~]# vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid #去掉此行开头的 # 号
-
什么是PAM?
-
PAM(Pluggable Authentication Modules)可插拔式认证模块
-
是一种高效而且灵活便利的用户级别的认证方式;
-
也是当前Linux服务器普遍使用的认证方式。
-
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
-
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
-
-
PAM认证原理
-
1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
-
2.PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
-
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
-
4.如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
ls /etc/pam.d/ | grep su
-
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。
-
用户登录su --> su服务 ----> 调佣PAM模块中SU---->读取模块中的配置文件--->在读取文件当中又要request认证 --->最后还要读取lib64下的配置文件security
PAM 认证类型包括四种:
认证管理(authentication management): 接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management): 检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
密码管理(password management): 主要是用来修改用户的密码;
会话管理(session management): 主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1)required 验证失败时仍然继续,但返回 Fail
2)requisite 验证失败则立即结束整个验证过程,返回 Fail
3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
4)optional 不用于验证,只是显示信息(通常用于 session 类型)
面试案例
required:前面回答的不好,面试官说没关系,你继续回答,最后面试官回答,不好意思你不适合我们这里工作
requisite:你在我这边不通过,只要有一个回答不上来,你就不通过
sufficient:我后面有关系,如果回答上来就直接通过,如果回答不上来,没关系,后面继续找人回答,只要我答出来,就让我过
二、系统引导和登录控制
2.1开关机安全控制
2.1.1调整BIOS引导设置原则
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、 U盘、网络)引导系统;
- 将安全级别设为setup,并设置管理员密码。
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
2.1.2GRUB菜单设置
- 未经授权禁止修改启动参数
- 未经授权禁止进入指定系统
2.1.3GRUB限制的实现
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
- 使用grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码;
- 修改/etc/grub.d/00_ header文件中, 添加密码记录;
- 生成新的grub.cfg配置文件。
法一:
1. 使用grub2-mkpasswd-pbkdf2 生成密钥并复制,然后备份两个配置文件。
2. 修改/etc/grub.d/00_ header文件中, 添加密码记录,并存并退出
法二:
【一步到位】直接设置grub2—setpasswd 设置grub密码
1.生成新的grub.cfg文件,然后**重启系统**
2.验证结果
法一:
法二:
2.2终端及登录控制
2.2.1限制root用户只在安全终端登录
-
安全终端配置:/etc/securetty
-
步骤:
1.更改相关配置文件
2.切换至指定终端进行测试
3.切换至其他终端进行测试
2.2.2禁止普通用户登录
- 建立/etc/nologin文件
- 删除nologin文件或者重启后即恢复正常
三、弱口令检测、端口扫描
3.1弱口令检测—Joth the Ripper
- 一款密码分析工具,支持字典式的暴力破解;
- 通过对shadow文件的口令分析,可以检测密码强度;
- 官方网站:John the Ripper password cracker
3.1.1Joth the Ripper实例
- 安装方法 :
make clean 系统类型
- 主程序文件为
john
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):
[root@localhost ~]#cd /opt
[root@localhost ~]#rz
[root@localhost opt]#ls
john-1.8.0.tar.gz
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
5. 准备待破解的密码文件
[root@localhost src]#cd .. 切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件
6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt
3.2网络扫描—NMAP
- 一款强大的网络扫描、安全 检测工具
- 官方网站:http://nmap.org/
- CentOS 7.7光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
控制位:
控制位 | 功能 |
---|---|
SYN | 建立链接 |
ACK | 确认 |
FIN | 结束断开 |
PSH | 传送 0 数据缓存 上层应用协议 |
RST | 重置 |
URG | 紧急 |
**常用格式:**
nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
[root@localhost run]#rpm -qa|grep nmap 查看nmap
[root@localhost run]#yum install -y nmap 安装nmap
常见 的选 项 | 选项的作用 |
---|---|
-p | 指定扫描的端口。 |
-n | 禁用反向DNS解析(以加快扫描速度) |
-sS | TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYNACK响应包就认为目标端口正在监听,并立即断开连接; 否则认为目标端口并未开放。 |
-sT | TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否 则认为目标端口并未开放。 |
-sF | TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 |
-sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。 |
-sP | ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。 |
-P0 | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放 弃扫描。 |
natstat常用选项 | 作用 |
---|---|
-a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。 |
-n | 以数字的形式显示相关的主机地址、端1等信息。 |
-t | 查看TCP相关的信息。 |
-u | 显示UDP协议相关的信息。 |
-p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
-r | 显示路由表信息。 |
-l | 显示处于监听状态的网络连接及端口信息。 |
示例:
1.分别查看本机开放的TCP端口、UDP端口
2.检测192.168.59.0/24网段有哪些存活主机