Linux-账号安全控制

一、账号安全基本措施

1、系统账号清理

• 将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh

usermod -s /sbin/nologin 用户名

• 锁定长期不使用的账号

usermod -L 用户名 锁定用户账户
passwd -l 用户名 锁定用户密码
passwd -S 用户名 查看用户状态

• 删除无用的账号

userdel -r 用户名 删除用户及其宿主目录

• 清空一个账号密码

passwd -d 用户名 清空账户密码

• 锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow 锁定文件
lsattr /etc/passwd /etc/shadow 查看文件状态
chattr -i /etc/passwd /etc/shadow 解锁文件

2、密码安全控制

• 设置密码有效期

chage -M 日期 用户 设置用户密码有效期
chage -E xxxx-xx-xx 设置过期日期

• 要求用户下次登陆时修改密码

chage -d 0 用户 强制在下次登陆时更改密码
cat /etc/shadow | grep 用户 shadow文件中的第三个字段被修改为0

• 示例

1. vi /etc/login.defs 修改密码配置文件（适用于新建用户）
   ……
   PASS_MAX_DAYS 30
2. [root@localhost ~]# chage -M 30 zhangsan （适用于已有用户）
   [root@localhost ~]# cat /etc/shadow | grep zhangsan
   
   
   

3、命令历史限制

1. 减少记录的命令条数
   /etc/profile这个文件是系统全局变量配置文件，可以通过重启系统或者执行source /etc/profile命令使文件被读取重载。
   [root@localhost ~]# vi /etc/profile #编辑全局变量配置文件
   export HISTSIZE=200 #输入export HISTZIZE=200
   [root@localhost ~]# source /etc/profile #相当于使/etc/profile内的命令重载一遍
   i
   

2. 登陆时自动清空历史命令
   vim ~/.bashrc文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行
   echo " " > ~/.bash_history
   

二、切换用户-su命令

1、用途及用法

• 用途及用法

用途：Substitute User，切换用户
格式 su -目标用户

2、密码验证

• 密码验证

root→任意用户，不验证密码
普通用户→其他用户，验证目标用户的密码
su - root 带-选项表示将使用目标用户的登陆Shell环境

3、限制用户使用su命令

将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
在/etc/ pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/l su
第二行auth sufficient pam_rootok.so…
第六行#auth required pam_wheel.so use_uid… …- –
a)以上两行是默认状态（即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
b)州行都注释也是运行所有用尸都能使费宝的全瘘得增能救051-1 闇超证l就.2-…用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为o的用户，即 root用户能够直接通过认证而不用输入密码。
c）如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。
d）如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

gpasswd -a zhangsan wheel
添加授权用户 zhangsan到wheel组中
groups zhangsan
vim /etc/pam.d/su
auth required pam_wheel.so use_uid
#去掉此行开头的注释
启用pam wheel 认证以后，未加入到 wheel 组内的其他用户将无法使用su命令

4、查看su操作记录

安全日志文件：/var/log/secure

三、linux中的PAM安全认证

1、su命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

2、PAM可插拔式认证模块

是一种高效而且灵活便利的用户级别的认证方式
也是当前Linux服务器普遍使用的认证方式

3、PAM认证原理

1. PAM认证一般遵循的规律，Service（服务）→ PAM（配置文件）→ pam_*.so
2. PAM认证首先要确定哪一项服务，然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下)，最后调用认证文件(位于 /lib64/security 下)进行安全认证
3. 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证不同的应用程序所对应的 PAM 模块是不同的 如果想要查看某个程序是否支持 PAM 认证，可以使用 ls 命令，进行查看 /etc/pam.d/

4、每行注释

• PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用
  

• 第一列代表PAM认证模块类型

1. auth：对用户身份进行识别，如提示输入密码，判断是否为root。
2. account：对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
3. password：使用用户信息来更新数据，如修改用户密码。
4. session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。

• 第二列代表PAM控制标记

1. required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
2. requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
3. sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
4. optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于 session 类型）。
5. include：表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项。

• 第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
• 第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。

5、PAM认证的构成

1. 查看某个程序是否支持PAM认证，可以用ls命令

示例:查看su是否支持PAM模块认证 ls letc/pam.d / grep su

2. 查看su的PAM配置文件:cat letc/pam.dlsu

每一行都是一个独立的认证过程
每一行可以区分为三个字段 1.认证类型 2.控制类型 3.PAM模块及其参数

6、PAM安全认证流程

• 控制类型也称做Control Flags,用于PAM验证类型的返回结果

required验证失败时仍然继续，但.返回Fail
requisite验证失败则立即结束整个验证过程，返回Fail
sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
optional不用于验证，只显示信息(通常用于session类型)

7、控制标记的补充说明

1. required
   表示该行以及所涉及模块的成功是用户通过鉴别的【必要条件】。换句话说，只有当对应于应用程序的所有带required标记的模块全部成功后，该程序才能通过鉴别。同时，如果任何带required标记的模块出现了错误，PAM并不立刻将错误消息返回给应用程序，而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。
   反正说白了，就是必须将所有的此类型模块都执行一次，其中任何一个模块验证出错，验证都会继续进行，并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝，通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop样，以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
2. requisite
   与required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块，并且鉴别过程到此结束，同时也公立即返回错误信息。与上面的required相比，似乎要显得更光明正大一些。
3. sufficient
   表示该行以及所涉及模块验证成功是用户通过鉴别的【充分条件】。也就是说只要标记为sufficient的模块一旦验证成功，那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite或者required控制标志也是一样。当标记为sufficient的模块失败时，sufficient模块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不公导致整个验证失败，但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重。
4. optional
   他表示即便该行所涉及的模块验证失败用户仍能通过认证。在PAM体系中，带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败，也允许用户享受应用程序提供的服务。使用该标志，PAM框架会忽略这个模块产生的验证错误，继续顺序执行下一个层叠模块。

五、使用sudo机制提升权限

1、su命令的缺点

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险

2、sudo的用途和用法

用途：以其他用户身份（如root）执行授权的命令
用法：sudo 授权命令

3、配置sudo

1. 配置sudo授权

visudo或者vi /etc/sudoers（此文件的默认权限为 440，保存退出时必须执行“:wq!”命令来强制操作）

2. 语法格式

• 用户 主机名=(用户) 命令程序列表

1. 用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
2. 主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
3. (用户)：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
4. 命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,”进行分隔。ALL则代表系统中的所有命令

实例
admin ALL=/sbin/ifconfig #说明admin在所有主机上拥有ifconfig权限
admin1 localhost=/sbin/,!/sbin/reboot,!/sbin/poweroff #通配符“”表示所有、取反符号“!”表示排除 #说明admin1拥有除了重启和关机的所有权限
%wheel ALL=NOPASSWD: ALL #表示wheel组成员无需验证密码即可使用sudo执行任何命令
admin2 ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall #说明admin2用户不需要输入密码即可执行kill和killall命令

4、查看sudo操作记录

1.需启用Defaults logfile
2.配置默认日志文件: /var/log/sudo
实例
Defaults logfile = “/var/log/sudo”

5、别名创建

用户别名 User_Alias
主机别名 Host_Alias
命令别名 Cmnd_Alias
USERS HOSTS=CMNDS 相当于：用户组 主机组 = 命令程序列表

例子分析：
User_Alias USERS=admin，admin1，admin2 用户的别名users包括：admin，admin1，admin2
Host_Alias HOSTS=localhost,hellolee 主机别名hosts包括：localhost，hellolee
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel
USERS HOSTS=CMNDS 相当于：用户组 主机组 = 命令程序列表

六、开关机安全控制

1、调整BIOS引导设置

将第一引导设备设为当前系统所在盘
禁止从其他设备（光盘、U盘、网络）引导系统
将安全级别设为setup，并设置管理员密码

2、GRUB限制

• 限制

使用 grub2-mkpasswd-pbkdf2 密钥
修改 /etc/grub.d/00_header 件中，添加密码记录
生成新的 grub.cfg 配置文件

• 限制更改GRUB 引导参数
  通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

1. 设置密码
   grub2-mkpasswd-pbkdf2###根据提示设置GRUB菜单的密码
   PBKDF2 hash of your password is grub.pbkdf2…###省略部分内容为经过加密生成的密码字符串
   
2. 备份
   cp /boot/grub2lgrub.cfg / boot/ grub2/grub.cfg.bak
   cp /etc/grub.d/00_header /etc/ grub.d/00_header.bak
   
   
3. 修改
   vim /etclgrub.d/0o_header
   cat <<EOF
   set superusers=“root”###设置用户名为root
   password_ pbkdf2 root grub.pbkdf2…###设置密码，省略部分内容为经过加密生成的密码字符串
   EOF
   
4. 生成新文件
   grub2-mkconfig -o /boot/grub2/ grub.cfg#生成新的grub.cfg 文件
   重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数。
   

7、禁止root登录

1. 禁止 root用户登录
   在Linux 系统中，login程序会读取/etc/securetty文件，以决定允许root用户从哪些终端（安全终端）登录系统。
   vi /etc/securetty
   #tty5
   #ttv6
2. 禁止普通用户广登录
   login程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统（root用户不受限制)。
   touch /etc/nologin#禁止:普通用户登录
   rm -rf /etc/nologin#取消登录限制

七、系统弱口令检测

1、概述

• Joth the Ripper，简称JR

1.一款开源的密码分析工具，支持字典式的暴力破解
2.通过对shadow文件的口令分析，可以检测密码强度
3.官方网站：http://www.openwall.com/john/

2、安装JR工具

• 安装方法

make clean系统类型
主程序文件为john

• 检测弱口令账号

获得Linux/Unix服务器的shadow文件
执行john程序，将shadow文件作为参数

• 密码文件的暴力破解

准备好密码字典文件，默认为password.lst
执行john程序，结合–wordlist=字典文件

3、实例：john破解密码

1.解压包工具
cd /opt
tar zxvf john-1.9.0.tar.gz #解压工具包
yum -y install gcc gcc-c++ make #安装软件编译工具


2. cd /opt/john-1.9.0/src
make clean linux-x86-64 #切换到src子目录，进行编译安装

3.cp /etc/shadow /opt/shadow #准备待破解的密码文件
cd /opt/john-1.9.0/run
./john /opt/shadow #切换到run子目录，执行暴力破解

5./john --show /opt/shadow #查看已破解出的账户列表

4、使用密码字典文件

• 使用密码字典文件

john.pot+清空己破解出的账户列表,以便重新分析
./john --wordlist=./password.ist / opt /shadow.txt ###使用指定的宁典文件进行破解

八、网络端口扫描

1、概述

• NMAP

1.是一个强大的端口扫描类安全评测工具，支持 ping 扫描、多端口检测等多种技术
2.官方网站：http://nmap.org/

2、安装

• 安装 NMAP 软件包

mount /dev/sr0 /mnt #先进行本地磁盘挂载
yum install -y nmap #然后安装nmap软件包

3、nmap命令常用选项与对应扫描类型

1.-p：指定扫描的端口。
2.-n：禁用反向 DNS 解析（以加快扫描速度）。
3.-sS：TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放。
4.-sT：TCP连接扫描，这是完整的TCP扫描方式（默认扫描类型），用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。
5.-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性。
6.-sU：UDP 扫描，探测目标主机提供哪些 UDP 服务，UDP 扫描的速度会比较慢。
7.-sP：ICMP 扫描，类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描。
8.-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping 通而放弃扫描。

4、netstat

netstat -natp
查看正在运行的使用TCP协议的网络状态信息

netstat -naup
查看正在运行的使用UDP协议的网络状态信息

示例:
#分别查看本机开放的TCP端口、UDP端口
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1
#检测192.168.4.0/24 网段有哪些主机提供HTTP服务nmap -p 80 192.168.4.0/24
#检测192.168.4.0/24段有哪些存活主机nmap -n -sP 192.168.4.0/24
natstat命令常用选项:
-a:显示主机中所有活动的网络连接信息（包括监听、非监听状态的服务端口)。-n:以数字的形式显示相关的主机地址、端口等信息。
-t:查看TCP相关的信息。
-u:显示UDF协议相关的信息、。
-p:显示与络连接相关联的进程号、进程名称信息（该选项需要root 权限）。-r:显示路由表信息。
-l:显示处于监听状态的网络连接及端口信息。