系统安全与应用
一、账号安全基本措施
-系统账户清理
(1)将非登录用户的Shell设为/sbin/nologin
/sbin/nologin——禁止终端登录,确保不被人为改动 (经常检查,防止恶意篡改)
[root@centos7-012 ~]# usermod -s /sbin/nologin tom (修改用户tom的登录shell)
[root@centos7-012 ~]# cat /etc/passwd | grep "tom" (查看用户tom的基本信息)
tom:x:1000:1000::/home/tom:/sbin/nologin
(2)锁定长期不使用的账号
例如一些用户长期不使用,但不确定是否删除,这时候就可以使用锁定账户
[root@centos7-012 ~]# usermod -L tom (锁定用户tom)
[root@centos7-012 ~]# passwd -S tom (查看用户状态)
tom LK 2020-12-30 0 99999 7 -1 (密码已被锁定。)
[root@centos7-012 ~]# usermod -U tom (解锁用户tom)
[root@centos7-012 ~]# passwd -S tom (再次查看用户状态)
tom PS 2020-12-30 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
(3)删除无用的账号
例如mysql程序删除后,就可以删除mysql用户
[root@centos7-012 ~]# userdel mysql (删除mysql账户)
(4)锁定账号文件passwd、shadow
例如服务器账户已经确认创建完成,不再进行更改,这时候就可以锁定账号文件
[root@centos7-012 ~]# chattr +i /etc/passwd /etc/shadow (锁定账号文件)
[root@centos7-012 ~]# lsattr /etc/passwd /etc/shadow (查看账号文件属性)
---------------- /etc/passwd
---------------- /etc/shadow
[root@centos7-012 ~]# useradd lisi (这时候创建新用户,发现无法创建)
useradd:无法打开 /etc/passwd
[root@centos7-012 ~]# chattr -i /etc/passwd /etc/shadow (解锁账号文件)
[root@centos7-012 ~]# useradd lisi (再次创建新用户,发现创建成功)
-密码安全控制
(1)设置密码有效期
******适用于新建用户的
[root@centos7-012 ~]# echo "PASS_MAX_DAYS 30" >> /etc/login.defs (设置有效期为30天)
[root@centos7-012 ~]# tail -5 /etc/login.defs
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
PASS_MAX_DAYS 30
******适用于已有用户的
[root@centos7-012 ~]# chage -M 30 tom (设置用户tom的密码有效期为30天)
(2)要求用户下次登陆时修改密码
[root@centos7-012 ~]# chage -d 0 tom (强制用户tom在下次登陆时更改密码)
-命令历史限制
(1)减少记录的命令条数
[root@centos7-012 ~]# vim /etc/profile (编写系统脚本)
。。。。。。
44
45 HOSTNAME=`/usr/bin/hostname 2>/dev/null`
46 HISTSIZE=20 (修改为历史限制为20条)
47 if [ "$HISTCONTROL" = "ignorespace" ] ; then
48 export HISTCONTROL=ignoreboth
。。。。。。
保存退出
[root@centos7-012 ~]# source /etc/profile (运行脚本)
[root@centos7-012 ~]# history (查看历史命令,发现只显示最后20条)
39 cat nologin.txt
40 passwd -S tom
41 passwd -L tom
42 usermod -L tom
43 passwd -S tom
44 usermod -U tom
45 passwd -S tom
46 usermod -s /sbin/nologin tom
47 cat /etc/passwd | grep "tom"
48 vim /etc/login.defs
49 mount /dev/cdrom /media/cdrom/
50 yum -y install vim net-tools
51 vim /etc/login.defs
52 echo "PASS_MAX_DAYS 30" >> /etc/login.defs
53 tail -5 /etc/login.defs
54 chage -M 30 tom
55 chage -d 0 tom
56 vim /etc/profile
57 source /etc/profile
58 history
(2)注销时自动清空命令历史
/.bash_logout 用途: 用户登出时执行的命令
[root@centos7-012 ~]# vim ~/.bash_logout (修改)
# ~/.bash_logout
history -c (登出时清除历史命令并且清屏)
clear
(3)终端自动注销
[root@centos7-012 ~]# vim ~/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
PATH=$PATH:$HOME/bin
export PATH
export TMOUT = 20 (添加自动注销时间为20秒)
保存退出
[root@centos7-012 ~]# source ~/.bash_profile (执行)
等待二十秒,会发现自动注销
二、用户切换以及提权
-使用su命令切换用户
(1)用途以及用法
用途: Substitute User,切换用户
格式: su - 用户名
(2)密码验证
使用root用户切换其他用户是不需要验证密码的
普通用户切换到其他用户需要验证用户密码
注意: 带 - 选项表示将使用目标用户的登录shell环境
[root@centos7-012 ~]# su - tom (root账户进行切换用户无需密码)
上一次登录:三 12月 30 18:27:47 CST 2020pts/0 上
[tom@centos7-012 ~]$ su - root (普通账户切换需要输入密码)
密码: (输入密码)
上一次登录:三 12月 30 18:27:44 CST 2020pts/0 上
[root@centos7-012 ~]#
只需要查看 @ 号之前的名称是谁,那么就是登录的谁的用户,也可以使用whoami来查看
(3)限制使用su命令的用户
在CentOS7系统中默认所有用户都可以使用su命令,防止密码穷举也就是暴力破解的危险,可以只允许指定用户使用su命令
******启用pam_wheel认证模块,将允许使用su命令的用户加入wheel组中
[root@centos7-012 ~]# vim /etc/pam.d/su
1 #%PAM-1.0
2 auth sufficient pam_rootok.so
3 auth required pam_wheel.so use_uid (添加)
4 # Uncomment the following line to implicitly trust users in the "wheel" group.
。。。。。。
保存退出
[root@centos7-012 ~]# grep wheel /etc/group (筛选wheel发现多了一个wheel组)
wheel:x:10:
[root@centos7-012 ~]# su - tom (切换到tom账户)
上一次登录:三 12月 30 18:28:13 CST 2020pts/0 上
[tom@centos7-012 ~]$ su - root (使用tom账户切换到root,发现输入密码也无法切换)
密码:
su: 拒绝权限
******注销tom,使用root登录
[root@centos7-012 ~]# gpasswd -a tom wheel (把tom账户加到wheel组中)
正在将用户“tom”加入到“wheel”组中
[root@centos7-012 ~]# su - tom (再次切换到tom账户)
上一次登录:三 12月 30 18:43:10 CST 2020pts/0 上
[tom@centos7-012 ~]$ su - root (使用tom账户切换root)
密码:
上一次登录:三 12月 30 18:45:14 CST 2020从 192.168.100.111pts/1 上
[root@centos7-012 ~]# (发现可以成功切换)
(4)查看su操作记录
******安全日志文件:/var/log/secure
[root@centos7-012 ~]# tail /var/log/secure
Dec 30 18:28:11 centos7-012 usermod[16119]: change user 'tom' shell from '/sbin/nologin' to '/bin/bash'
Dec 30 18:28:13 centos7-012 su: pam_unix(su-l:session): session opened for user tom by root(uid=0)
Dec 30 18:28:52 centos7-012 su: pam_unix(su-l:session): session opened for user root by root(uid=1000)
Dec 30 18:43:10 centos7-012 su: pam_unix(su-l:session): session opened for user tom by root(uid=0)
Dec 30 18:43:18 centos7-012 su: pam_succeed_if(su-l:auth): requirement "uid >= 1000" not met by user "root"
Dec 30 18:45:14 centos7-012 sshd[16199]: Accepted password for root from 192.168.100.111 port 51545 ssh2
Dec 30 18:45:14 centos7-012 sshd[16199]: pam_unix(sshd:session): session opened for user root by (uid=0)
Dec 30 18:45:25 centos7-012 gpasswd[16218]: user tom added by root to group wheel
Dec 30 18:46:01 centos7-012 su: pam_unix(su-l:session): session opened for user tom by root(uid=0)
Dec 30 18:46:06 centos7-012 su: pam_unix(su-l:session): session opened for user root by root(uid=1000)
-使用sudo机制提升权限
(1)su命令的缺点
知道root密码的用户越少越安全
sudo——普通用户拥有一部分管理权限,又不需要知道root密码
(2)sudo命令的用途以及用法
用途: 想要以其他用户身份(如root)执行授权的命令
用法: sudo 授权命令
(3)配置sudo授权/etc/sudoers
******配置sudo授权(往这个文件里写入要给指定用户的权限)
第一种方法:
[root@centos7-012 ~]# cd /etc
[root@centos7-012 etc]# ll
,,,,,,
-r--r-----. 1 root root 4328 11月 28 2019 sudoers (默认是440也就是两个可读的权限)
。。。。。。
[root@centos7-012 etc]# vim /etc/sudoers (编写sudo的配置文件)
第二种方法:
[root@centos7-012 etc]# visudo (进入sudo的配置文件)(这个进入方法保存退出时会提示给我们错误信息)
两种方法进入的文件是相同的
(4)记录格式
******格式:用户 主机名列表=命令程序列表
写完之后先用 : 进入末行模式后输入 w! 强制保存,再保存退(上面两种方法都得这么做)
*用户:用户名 或 “%组名”(也就是组内所有用户)
*主机名:一般为 localhost(本机) 或 实际主机名(得先看自己的主机名是什么就得写什么)
*命令列表: 命令的绝对路径,多命令使用“,”分割
例如:
[root@centos7-012 etc]# vim /etc/sudoers (进入sudo配置文件)
。。。。。。
100 root ALL=(ALL) ALL (这个就表示root在所有主机都有所有的权限)
。。。。。。
107 %wheel ALL=(ALL) ALL (这个表示wheel组内的所有成员在所有主机有着所有权限)
。。。。。。
******按照这样写的话,如果想要boss用户可以使用sudo加权使用ifconfig命令:
[root@centos7-012 ~]# useradd boss (创建boss账户)
[root@centos7-012 ~]# passwd boss (设置boss账户的密码)
更改用户 boss 的密码 。
新的 密码:
无效的密码: 密码未通过字典检查 - 过于简单化/系统化
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@centos7-012 ~]# which ifconfig (先查看ifconfig的完整路径)
/usr/sbin/ifconfig
[root@centos7-012 ~]# vim /etc/sudoers
。。。。。。
boss ALL=/usr/sbin/ifconfig (在末行加入一行boss可以在所有主机sudo加权使用ifconfig命令)
先输入“:”进入末行模式,然后输入“w!”强制保存之后再保存退出
******验证
[root@centos7-012 ~]# su - boss (切换boss账户)
上一次登录:三 12月 30 18:46:01 CST 2020pts/1 上
[tom@centos7-012 ~]$ sudo /usr/sbin/ifconfig
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] boss 的密码: (输入boss的密码)
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.12 netmask 255.255.255.0 broadcast 192.168.100.255
inet6 fe80::ea8f:4112:94bb:75f7 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:46:da:b9 txqueuelen 1000 (Ethernet)
RX packets 8064 bytes 702160 (685.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4766 bytes 671907 (656.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 476 bytes 38616 (37.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 476 bytes 38616 (37.7 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[boss@centos7-012 ~]$ sudo -l (查看当前账户可以使用sudo哪些命令)
[sudo] boss 的密码: (输入boss密码)
匹配 %2$s 上 %1$s 的默认条目:
!visiblepw, always_set_home, match_group_by_gid,
always_query_group_plugin, env_reset, env_keep="COLORS
DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS
LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME
LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME
LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用户 boss 可以在 centos7-012 上运行以下命令:
(root) /usr/sbin/ifconfig (可以使用ifconfig命令)
******/etc/sudoers中可以用一些符号
******可以使用通配符*、取反符号!
例如:
boss localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route (可以使用/sbin/下的所有命令但是不能使用/sbin/route命令)
******关键字、别名机制(必须大写)
别名格式:别名类型 指定别名=成员1,成员2,成员3。。。。。。
别名类型:(成员可以是用户也可以是命令)
Host_Alias 定义主机别名;
User_Alias 用户别名,别名成员可以是用户,用户组(前面要加%号)
Runas_Alias 用来定义runas别名,这个别名指定的是“目的用户”,即sudo 允许切换至的用户
Cmnd_Alias 定义命令别名
例如:
User_Alias AAA=tom,jack,rose (别名是AAA,成员有tom,jack,rose)
Host_Alias BBB=smtp,pop (别名是BBB,成员有smtp,pop)
Cmnd_Alias CCC=/bin/rpm,/usr/bin/yum (别名是CCC,成员有/bin/rpm,/usr/bin/yum)
(5)查看sudo操作记录
******需启用 Defaults logfile 配置
******默认日志文件:/var/log/sudo
[root@localhost ~]# visudo
。。。。。。
(启用日志配置以后,sudo操作过程才会被记录,在Defaults列前添加)
55 Defaults logfile = "/var/log/sudo"
.。。。。。
进入末行模式先用w!强制保存,然后保存退出
******这时候在boss用户中使用sudo
[boss@centos7-012 ~]$ sudo /usr/sbin/ifconfig
******返回root账户,查看日志
[root@centos7-012 ~]# tail /var/log/sudo (查看日志,发现多了一条使用记录)
Dec 30 22:50:14 : boss : TTY=pts/2 ; PWD=/home/boss ; USER=root ;
COMMAND=/usr/sbin/ifconfig
******查询授权的sudo操作 sudo -l
【初次使用sudo时需验证当前用户的密码】
[boss@centos7-012 ~]$ sudo -l (在boss用户上查看)
[sudo] boss 的密码:
匹配 %2$s 上 %1$s 的默认条目:
logfile=/var/log/sudo, !visiblepw, always_set_home,
match_group_by_gid, always_query_group_plugin, env_reset,
env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR
LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG
LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE
LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER
LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
_XKB_CHARSET XAUTHORITY",
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用户 boss 可以在 centos7-012 上运行以下命令:
(root) /usr/sbin/ifconfig
【默认超时为5分钟,在此期间不再重复验证】