Linux系统管理：账户安全控制及应用实验

前言：

用户账号是计算机使用者的身份标识，每一个要访问系统资源的人，必须凭借其用户

一、 系统账号清理

将非登录用户的Shell设为/sbin/nologin（不运行登录终端）

锁定长期不使用的账号

删除无用的账号

锁定账号文件passwd、shadow

此处我们就锁定账号文件进行讨论：

首先我们创建wangwu用户并设置密码

[root@localhost ~]# useradd wangwu 
[root@localhost ~]# passwd wangwu
更改用户 wangwu 的密码 。
新的 密码：
无效的密码： 密码少于 8 个字符
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。
[root@localhost ~]# tail -2 /etc/passwd
dings02:x:1000:1000:dings02:/home/dings02:/bin/bash
wangwu:x:1001:1001::/home/wangwu:/bin/bash

查看文件属性状态：

[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow

查看到etc/passwd和/etc/shadow这两个文件的属性状态为未锁定

此时我们进行锁定：

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  （锁定etc/passwd和etc/shadow文件）
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd    （被锁定）
----i----------- /etc/shadow    （被锁定）
[root@localhost ~]# useradd lisi  （尝试创建用户）
useradd：无法打开 /etc/passwd    （无法加载文件，创建失败）

可见通过chattr +i可以锁定文件，同时解锁命令为chattr -i ,此时我们可以创建lisi用户。示例：

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# useradd lisi
[root@localhost ~]# ls /home
dings02  lisi  

我们同时可以使用“chattr +i 文件”来锁定，防止关键文件被修改。

示例：

[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd
----i----------- /etc/passwd
[root@localhost ~]# mv /etc/passwd /home
mv: 无法删除"/etc/passwd": 不允许的操作

二、 密码安全控制

密码安全控制主要从以下两个方面进行：

设置密码有效期

要求用户下次登录时修改密码

查看账户密码文件：

更改密码属性文件，配置文件位置：etc/login.defs。进入编辑，示例：

[root@localhost ~]# vim /etc/login.defs

进入编辑模式，“ESC"---->”shift+:“进入末行模式，输入/99999，查找到PASS_MAX_DAYS(修改更改密码最大周期)的位置。然后改为30（密码更改周期为30天），最后wq保存退出，如图：

此设置针对创建新用户，我们新建一个“zhaoliu”用户，然后查看密码文件 vim /etc/shadow，如图可见新用户密码周期属性更改成功：

针对已有用户的密码属性更改的方法如下：

命令：chage -M 30 wangwu，示例：

还有一种设置，指定用户在下一次登录时强制其进行重新设置密码，方法如下:

命令：chage -d 0 wangwu，示例：

[root@localhost ~]# chage -d 0 wangwu

用户wangwu登录时如下：

输入完成后：

三、 历史命令与终端自动注销

历史命令限制方式：

减少历史记录的命令条数

注销时自动清空命令历史

终端自动注销：

闲置xxx秒后自动注销

3.1 历史命令限制：

想要减少历史记录的命令条数，我们可以先进入/etc/profile环境变量配置文件中进行设置，保存退出后将其设置为生效，命令为：source /etc/profile，或者直接重启。示例：

[root@localhost ~]# vim /etc/profile
[root@localhost ~]# source /etc/profile   （使更改的配置文件生效）
[root@localhost ~]# history  （历史命令只保留了20条）
   10  cat /john
   11  cd /opt/john
   12  ls
   13  vim /etc/login.defs
   14  useradd lisi
   15  ls /home
   16  tail /etc/shadow
   17  useradd zhaoliu
   18  passwd zhaoliu 
   19  tail -3 /etc/shadow
   20  chage -M 30 zhaoliu
   21  tail -3 /etc/shadow
   22  chage -M 30 wangwu
   23  tail -3 /etc/shadow
   24  chage -d 0 wangwu
   25  echo "123123" | passwd --stdin wangwu
   26  vim etc/profile
   27  vim /etc/profile
   28  source /etc/profile
   29  history
[root@localhost ~]# 

以上针对于所有用户，如果我们想要指针对于用户进行设置，我们可以先进入用户的家目录，然后进入“.bash_logout 中进行设置。示例：

[root@localhost ~]# cd /home/wangwu
[root@localhost wangwu]# ls -a
.  ..  .bash_logout  .bash_profile  .bashrc  .mozilla
[root@localhost wangwu]# vim .bash_logout （此配置文件在用户注销时会进行加载）

# ~/.bash_logout
history -c   （注销时自动清除历史命令）
clear   （清除缓存）

~                                       

3.2 终端自动注销设置（闲置时）

针对于闲置时自动注销，我们同样可以在/etc/profile中进行配置，示例：

设置完成后设置其生效：

[root@localhost wangwu]# vim /etc/profile
[root@localhost wangwu]# source /etc/profile
[root@localhost wangwu]#  等待输入超时：自动登出

如上图可见，我们在设置生效后，在15秒后系统自动登出。

四、 账户安全切换

首先我们对PAM认证模块进行简要介绍：

我们一般使用su 用户来切换用户，当无意中泄露root密码后，就有普通用户登录管理员用户的潜在安全问题，此处我们介绍通过设置用户级别来限制普通用户的su切换。

为了加强su命令的使用控制，可以借助于PAM认证模块，只允许极个别用户使用su命令进行切换

PAM（Pluggable Authentication Modules）可插拔式认证模块，它是一种高效且灵活便利的用户级别的认证。

PAM认证一般遵循的顺序：Service（服务）---->PAM(配置文件)—>pam_*.so

PAM认真首先要确定是哪一项服务，然后加载对应额PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/etc/security下）进行安全认证

用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证

不同的应用程序所对应的PAM模块也是不同的。

查看PAM认证的构成：

查看某个程序是否支持PAM认证，可以用ls命令进行查看，以”su”为例：

[root@localhost wangwu]# ls /etc/pam.d | grep su
ksu
su
sudo
sudo-i
su-l

查看su的PAM配置文件：

[root@localhost wangwu]# cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以区分为三个字段：

认证类型

控制类型

PAM模块及参数

账户安全切换管理（su）：

开启“su”功能的PAM认证模块：

PAM认证模块开启后，只有将普通用户添加到wheel组中，这个组中的用户才可以使用su进行切换。

查看wheel组：

[root@localhost ~]# grep "wheel" /etc/group
wheel:x:10:

我们现在有wangwu用户，现在新增一个lisi用户，并将此用户添加到wheel组中:

[root@localhost ~]# useradd lisi
[root@localhost ~]# passwd lisi
更改用户 lisi 的密码 。
新的 密码：
无效的密码： 密码少于 8 个字符
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。
[root@localhost ~]# gpasswd -a lisi wheel
正在将用户“lisi”加入到“wheel”组中
[root@localhost ~]# grep "wheel" /etc/group
wheel:x:10:lisi

此时wheel组中只有lisi用户，wangwu用户不在此组内。我们现在假设lisi、wangwu用户知晓管理员密码，然后分别在这两个用户中进行切换root用户操作：

[root@localhost ~]# su lisi
[lisi@localhost root]$ su root
密码：
[root@localhost ~]# su wangwu
[wangwu@localhost root]$ su root
密码：
su: 拒绝权限
[wangwu@localhost root]$ 

此实验证明，我们在开启su的PAM认证后，未被管理员添加到wheel组的用户，知道其他用户密码后也无法进行su切换操作。

以上为通过开启PAM认证来控制用户权限的方法

五、使用sudo机制提升权限

sudo命令的用途及用法

用途：以其他身份（例如root）执行授权的命令

格式：sudo 授权命令

配置sudo授权

“visudo” 或者 vim /etc/sudoers （内容相同，只是有无颜色区别）

记录格式： 用户 主机名列表=命令程序列表（可使用”which 命令“查找到命令程序的绝对路径）

我们现在有两个用户，lisi与wangwu，而处于wheel组的只有lisi，示例：

[root@localhost ~]# tail -3 /etc/passwd
dings02:x:1000:1000:dings02:/home/dings02:/bin/bash
wangwu:x:1001:1001::/home/wangwu:/bin/bash
lisi:x:1002:1002::/home/lisi:/bin/bash
[root@localhost ~]# grep "wheel" /etc/group
wheel:x:10:lisi

假设现在我们分别从这两个用户中通过提权去进行重新指定ifconfig（IP地址），实验如下：

我们先在lisi用户中查询、尝试更改IP地址：
在lisi用户下使用sudo提权操作更改IP地址：
实验结果为lisi可以更改，然后我们使用wangwu用户尝试使用sudo提权更改IP地址：

如图，wangwu用户无法进行操作，现在我们切换到root用户编辑sudo的配置文件，给与wangwu使用ipconfig命令功能的权限，输入vim /etc/sudoers 进入配置文件进行新增，如图：

在此配置文件我们同时可看到wheel组拥有所有的root权限，所以用户lisi可以通过提权更改IP地址，如图：

保存退出后，我们再切换回wangwu用户，再次尝试提权更改IP地址：

以上为通过设置sudo（提权）的配置文件来指定给与普通用户权限的管理方法。

六、 开关机安全控制

调整BIOS引导设置

将第一引导设备设为当前系统所在的硬盘

禁止从其他设备（光盘、U盘、网络）引导系统

将安全级别设为setup，并设置管理员密码

GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥

修改/etc/grub.d/00_header文件中，添加密码记录

生成新的grub.cfg配置文吉件

我们在正常开机时可以通过此界面进入grub菜单来设置grub的配置文件:

GRUB菜单：

可见正常情况下并不安全，对于这种情况，我们可以通过设置口令的方法来加一道“锁”去防范。

我们先进行备份两个文件，以防操作失败后可以进行恢复:

[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

使用grub2-mkpasswd-pbkdf2 的形式进行哈希的密钥加密，生成密文：

这里我们的口令设置的是“123456”，“password is”之后我们复制的部分就是针对我们的口令“123456”使用哈希算法生成的密文。
然后我们在头文件中进行设置：

[root@localhost ~]# vim /etc/grub.d/00_header

使用G切换到行尾，然后o切换到下一行，添加配置：

创建grub中的配置

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
/etc/grub.d/00_header: line 362: warning: here-document at line 359 delimited by end-of-file (wanted `EOF')
Found linux image: /boot/vmlinuz-3.10.0-693.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-693.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-7a07272cf0604d959af555760e807dbf
Found initrd image: /boot/initramfs-0-rescue-7a07272cf0604d959af555760e807dbf.img
（配置成功）

最后进行验证，重启，init 6/reboot

如图可见我们想要进入grub菜单需要输入口令才可以进入：

以上为通过设置GRUB菜单的密文来增强账号安全性

七、终端登录安全控制

限制root只在安全终端登录

安全终端配置：/etc/securetty

禁止普通用户登录

建立/etc/nologin文件

删除nologin文件或重启后即恢复正常

命令：touch /etc/nologin 禁止普通用户登录

命令：rm -rf /etc/nologin 取消上述登录限制

我们一般在维护的时候会进行此类设置

7.1 限制root只在安全终端登录

安全终端配置文件： /etc/securetty

[root@localhost ~]# vim /etc/securetty

7.2 禁止普通用户登录

建立/etc/nologin文件

[root@localhost ~]# touch /etc/nologin

然后我们尝试登录wangwu用户

限制删除nologin文件

[root@localhost ~]# rm -rf /etc/nologin

再次尝试登录wangwu用户

登录成功

八、NMAP扫描

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。它是一款强大的网络扫描、安全检测的工具。

NMAP的扫描语法:

nmap [扫描类型] [选项] <扫描目标…>

常用的扫描类型：

我们常会使用netstat -natp 查看本机开启的TCP端口。

或者使用netstat -naup，查看本机开启的UDP端口

对于远程而言（例如Xshell），nmap是一个探测工具，同时也可以检测对方对外开启的哪些可以被连接的端口服务，命令：

[root@localhost ~]# nmap -sT 127.0.0.1

Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-16 20:17 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0025s latency).
Not shown: 996 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.39 seconds

现在我们安装一个网站服务（httpd）端口号为80，开启服务后再使用以上的命令：

[root@localhost ~]# yum install httpd已加载插件：fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
..................省略部分安装过程
[root@localhost ~]# systemctl start httpd.service
（开启httpd服务）

[root@localhost ~]# nmap -sT 127.0.0.1

Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-16 20:23 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0016s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp 
80/tcp  open  http   （探测到了对方刚刚开启服务的端口）
111/tcp open  rpcbind
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.24 seconds

同理，也可以探测UDP相对于的端口

[root@localhost ~]# nmap -sU 127.0.0.1

查看指定网段内已开启的主机数量

我们可以探测指定网段内已开启的主机，如图：

[root@localhost ~]# nmap -sP 192.168.15.0/24

Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-16 20:28 CST
Nmap scan report for 192.168.15.1
Host is up (0.00071s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.15.2
Host is up (0.00051s latency).
MAC Address: 00:50:56:FC:43:A9 (VMware)
Nmap scan report for 192.168.15.254
Host is up (0.00042s latency).
MAC Address: 00:50:56:F9:C9:09 (VMware)
Nmap scan report for 192.168.15.160
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 1.99 seconds

查看其中一个主机的状态及具体开启了哪些端口，示例：

[root@localhost ~]# nmap -sT 192.168.15.2

Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-16 20:33 CST
Nmap scan report for 192.168.15.2
Host is up (0.0094s latency).
Not shown: 999 closed ports
PORT   STATE    SERVICE
53/tcp filtered domain
MAC Address: 00:50:56:FC:43:A9 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

以上为nmap探测工具的基本使用方式，具体需要根据我们某一时刻的需要而进行使用~

总结：

本篇博客内容包含的各种配置文件位置及作用需要我们在日常学习、工作中能尽数熟悉，在编辑配置文件时，需注意不要使用中文输入法。

在我们实验过程中，可以把防火墙和增强型安全功能关闭，例如在nmap探测中就有可能导致探测不到指定主机的端口信息，关闭防火墙：systemctl stop firewalld.service 。关闭增强型安全功能：setenforce 0。