防火防盗防闺蜜——linux系统安全及应用

一、账号安全控制

1.1基本安全措施

1.1.1系统账号的清理

1.1.1.1将非登录用户的Shell设为/sbin/nologin

• 将非登录用户的Shell设为/sbin/nologin

  • 在我们使用Linux系统时，除了用户创建的账号之外，还会产生系统或程序安装过程中产生的许多其他账号，除了超级用户root外，其他账号都是用来维护系统运作的，一般不允许登录，常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。

usermod -s /sbin/nologin 用户名

1.1.1.2锁定长期不使用的账号

[root@localhost ~]# usermod -L test2    锁定用户账号方法一
[root@localhost ~]# passwd -l test3     锁定用户账号方法二
[root@localhost ~]# usermod -U test2    解锁用户账号方法一
[root@localhost ~]# passwd -u test3     解锁用户账号方法二

1.1.1.3删除无用账号

[root@localhost ~]# userdel yr
[root@localhost ~]# userdel -r ys

1.1.1.4锁定账号文件passwd、shadow

[root@localhost ~]# chattr `+i` /etc/passwd /etc/shadow   `锁定文件`，包括root也无法修改
[root@localhost ~]# chattr `+i` /etc/passwd          **//passwd下存放的是用户信息**
[root@localhost ~]# chattr `+i` /etc/shadow          **//shadow下存放的是密码，权限修改都在这里**
[root@localhost ~]# chattr `-i` /etc/passwd /etc/shadow `解锁`文件
[root@localhost ~]# `lsattr` /etc/passwd /etc/shadow`查看文件状态属性`

1.1.2密码安全控制

1.1.2.1设置密码有效期

1.[root@localhost ~]# chage -M 60 test3   这种方法适合修改`已经存在的用户`
​
2.[root@localhost ~]# vim /etc/login.defs   这种适合以后`添加新用户`
   PASS_MAX_DAYS   30

• 修改存在用户密码有效期实例

• 新用户的实例

1.1.2.2要求用户下次登录时修改密码

[root@localhost ~]# chage -d 0 hxd 强制要求用户下次登陆时修改密码
注意：-d代表密码的最后一次修改
0可以改为具体的时间eg：chage -d 2022-04-07 hxd

1.1.3命令历史、自动注销

1.1.3.1命令历史限制

• 减少记录命令的条数

• 注销时自动情况命令历史

减少记录命令的条数：
1.[root@localhost ~]# vim /etc/profile  进入配置文件修改限制命令条数。适合新用户
   HISTSIZE=200     修改限制命令为200条，系统默认是1000条profile 
   [root@localhost ~]# source /etc/ 刷新配置文件，使文件立即生效
 
2.[root@localhost ~]# export HISTSIZE=200  适用于当前用户
   [root@localhost ~]# source /etc/profile 
   [root@localhost ~]# source /etc/profile 刷新配置文件，使文件立即生效
   
3. 注销时自动清空命令：
 [root@localhost ~]# vim ~/.bashrc
     echo "" > ~/.bash_history

案列2：

1.1.3.2终端自动注销

闲置600秒后自动注销：
[root@localhost ~]#vim .bash_profile  进入配置文件
    export TMOUT=60  全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile 
[root@localhost ~]# echo $TMOUT
 
[root@localhost ~]# export TMOUT=600   
如果不在配置文件输入这条命令，那么是对当前用户生效
​
[root@localhost ~]#vim .bash_profile 
  # export TMOUT=60  注释掉这条命令，就不会自动注销了

shift+G切换至行尾加入



注销时自动清空历史命令
1.永久清除：

2.临时清除【重启缓存还在】：

1.2用户切换与提权（加入wheel组）

1.2.1su命令—切换用户

1.用途及用法
用途：Substitute User，切换用户
格式：su - 目标用户（横杠“ - ”代表切换到目标用户的家目录）

​- 密码验证：
root - - - >任意用户，不验证密码
普通用户- - - >其他用户，验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境

Root切换 到任意用户 不需要验证密码；而普通用户 切换到 其他用户都需要密码

2.查看su操作记录
安全日志文件：/var/log/secure
查看所有su操作记录：vim /var/log/secure
​
3.whoami确定当前用户是谁
​
4. vim /etc/pam.d/su
   把第六行注释去掉保存退出
   
默认情况下，使用root切换不需要密码
注释两行，所有账号都可以使用，但是root切换时需要密码

案列：

1.2.2sudo命令—提升执行权限

sudo命令的用途及用法：
用途：以其他用户身份（如root）执行授权命令
用法：sudo  授权命令

1.配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式：
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
权限生效后，输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件，可以授权用户较多的时使用
​
 Host_Alias MYHOST= localhost  主机名
 User_Alias MYUSER = yxp，zhangsan,lisi  需要授权的用户   
 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd  授权
 MYUSER  MYHOST = NOPASSWD : MYCMD  授权格式
​
​
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo

3.

1.3PAM安全认证

• su命令的安全隐患

  • 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险；

  • 为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。

实现过程如下： 将授权使用 su 命令 的用户添加到 wheel 组，修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

在/etc/pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/su
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid

a)以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是运行所有用户都能使用su命令，但root’下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam
rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。

[root@localhost ~]# gpasswd -a zhangsan wheel   #添加授权用户 zhangsan
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group #确认 wheel 组成员
wheel:x:10:zhangsan 
[root@localhost ~]# vi /etc/pam.d/su
#%PAM-1.0 
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid    #去掉此行开头的 # 号

• 什么是PAM？

  • PAM(Pluggable Authentication Modules)可插拔式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式；

  • 也是当前Linux服务器普遍使用的认证方式。

  • PAM提供了对所有服务进行认证的中央机制，适用于login，远程登陆，su等应用

  • 系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略

• PAM认证原理

  • 1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;，

  • 2.PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认 模块(位于/lib64/security/下）进行安全认证。

  • 3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

  • 4.如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。

    ls /etc/pam.d/ | grep su

  • PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。
    
    
    

用户登录su --> su服务 ----> 调佣PAM模块中SU---->读取模块中的配置文件--->在读取文件当中又要request认证 --->最后还要读取lib64下的配置文件security

PAM 认证类型包括四种：
认证管理（authentication management）： 接受用户名和密码，进而对该用户的密码进行认证；
帐户管理（account management）： 检查帐户是否被允许登录系统，帐号是否已经过 期，帐号的登录是否有时间段的限制等；
密码管理（password management）： 主要是用来修改用户的密码；
会话管理（session management）： 主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags，用于 PAM 验证类型的返回结果。

1）required 验证失败时仍然继续，但返回 Fail 
2）requisite 验证失败则立即结束整个验证过程，返回 Fail 
3）sufficient 验证成功则立即返回，不再继续，否则忽略结果并继续 
4）optional 不用于验证，只是显示信息（通常用于 session 类型）

面试案例

required：前面回答的不好，面试官说没关系，你继续回答，最后面试官回答，不好意思你不适合我们这里工作
requisite：你在我这边不通过，只要有一个回答不上来，你就不通过
sufficient：我后面有关系，如果回答上来就直接通过，如果回答不上来，没关系，后面继续找人回答，只要我答出来，就让我过

二、系统引导和登录控制

2.1开关机安全控制

2.1.1调整BIOS引导设置原则

• 将第一引导设备设为当前系统所在硬盘
• 禁止从其他设备(光盘、 U盘、网络)引导系统；
• 将安全级别设为setup,并设置管理员密码。
  禁用重启热键：Ctrl+Alt+Delete 避免因用户误操作重启

2.1.2GRUB菜单设置

• 未经授权禁止修改启动参数
• 未经授权禁止进入指定系统

2.1.3GRUB限制的实现

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

 - 使用grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码；

 - 修改/etc/grub.d/00_ header文件中， 添加密码记录；

 - 生成新的grub.cfg配置文件。

法一：
1.  使用grub2-mkpasswd-pbkdf2 生成密钥并复制，然后备份两个配置文件。 
2.  修改/etc/grub.d/00_ header文件中， 添加密码记录，并存并退出 
​
法二：
【一步到位】直接设置grub2—setpasswd 设置grub密码

1.生成新的grub.cfg文件，然后**重启系统**
2.验证结果

法一：




法二：

2.2终端及登录控制

2.2.1限制root用户只在安全终端登录

• 安全终端配置：/etc/securetty

• 步骤：

  1.更改相关配置文件
  2.切换至指定终端进行测试
  3.切换至其他终端进行测试
  
  

2.2.2禁止普通用户登录

• 建立/etc/nologin文件
  

• 删除nologin文件或者重启后即恢复正常
  

三、弱口令检测、端口扫描

3.1弱口令检测—Joth the Ripper

• 一款密码分析工具，支持字典式的暴力破解；
• 通过对shadow文件的口令分析，可以检测密码强度；
• 官方网站：John the Ripper password cracker

3.1.1Joth the Ripper实例

• 安装方法 ： make clean 系统类型
• 主程序文件为john

 1. 把下载好的安装包用过rz命令下到目录opy下（sz可以把linux系统中的文件传到自己的windows系统中）：
[root@localhost ~]#cd /opt
[root@localhost ~]#rz   
[root@localhost opt]#ls
john-1.8.0.tar.gz
​
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz 
​
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y
​
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
​
5. 准备待破解的密码文件
[root@localhost src]#cd ..   切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt  准备密码文件
 
6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt 
​
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt

3.2网络扫描—NMAP

• 一款强大的网络扫描、安全 检测工具
• 官方网站：http://nmap.org/
• CentOS 7.7光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

控制位：

控制位	功能
SYN	建立链接
ACK	确认
FIN	结束断开
PSH	传送 0 数据缓存 上层应用协议
RST	重置
URG	紧急

**常用格式：**

nmap [扫描类型]  [选项]  <扫描目标>
netstat natp                                            #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd                          #实际操作（httpd换成80也可以）
​
netstat -naup                                           #查看正在运行的使用UDP协议的网络状态信息
​
[root@localhost run]#rpm -qa|grep nmap   查看nmap
[root@localhost run]#yum install -y nmap   安装nmap

常见 的选 项	选项的作用
-p	指定扫描的端口。
-n	禁用反向DNS解析(以加快扫描速度)
-sS	TCP的SYN扫描(半开扫描)，只向目标发出SYN数据包，如果收到SYNACK响应包就认为目标端口正在监听，并立即断开连接; 否则认为目标端口并未开放。
-sT	TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否 则认为目标端口并未开放。
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU	UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。
-sP	ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描。
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放 弃扫描。

natstat常用选项	作用
-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。
-n	以数字的形式显示相关的主机地址、端1等信息。
-t	查看TCP相关的信息。
-u	显示UDP协议相关的信息。
-p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r	显示路由表信息。
-l	显示处于监听状态的网络连接及端口信息。

示例：
1.分别查看本机开放的TCP端口、UDP端口


2.检测192.168.59.0/24网段有哪些存活主机