0
点赞
收藏
分享

微信扫一扫

Linux系统安全和应用

何以至千里 2022-01-09 阅读 81
  1. 账号安全控制
  2. 系统引导和登录控制
  3. 弱口令检测
  4. 端口扫描
  5. 总结

1.账号安全控制

[root@localhost ~]# chattr +i /etc/passwd   ###锁定

[root@localhost ~]# lsattr /etc/passwd    ###查看状态

[root@localhost ~]# chattr -i /etc/passwd   ###解锁

 

 [root@localhost ~]# vim /etc/login.defs   ###进入修改PASS_MAX_DAYS  为30

再新建用户查看俩次修改密码最大间隔

 

 [root@localhost ~]# chage -M 30 zhangsan   ###修改用户修改密码俩次最大间隔

 

 

 

命令历史限制

Linux系统当你再shell(控制台)中输入并执行命令时,shell会自动把你的命令记录到历史列表中,一般保持再用户目录下的.bash_history文件中。迷人保存1000条,你也可以更改这个值

[root@localhost ~]# source /etc/profile   ###更改过后需用刷新

[root@localhost ~]#  . /etc/profile   ###另一种刷新方式

[root@localhost ~]# vim ~/.bash_history  ###历史命令记录存储在.bash_history里

[root@localhost ~]# echo " " > .bash_history   ###情况历史命令记录 .bash_history

[root@localhost ~]# history -c   ###临时删除

 

 

[root@localhost ~]# vi /etc/profile

###进入写入  export TMOUT=600

保存退出

[root@localhost ~]# . /etc/profile   ###刷新这个文件

2.系统引导和登录控制

使用su命令切换用户

 

 

 

默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登陆密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许及个别用户使用su命令进行切换

在/etc/pam.d/su文件李设置禁止用户使用的su命令

[root@localhost ~]# vim /etc/pam.d/su   

###默认状态

 

 将第二行和第六行都注释,也是允许所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第二行不注释,则切换不需要密码。(pam rootok,so模块的主要作用时使uid为0的用户,即root用户能够直接通过认证而不需要输入密码)

 

 如果开启第六行,表示只有root用户和wheel组内的用户才可以使用su命令

 

 如果注释第二行,开启第六行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令

 

 普通用户切换登录测试验证

 

 使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看

 

 

PAM认证原理

PAM认证一般遵循的顺序:Service(服务)--->PAM(配置文件)--->pam_*.so

pam认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib/security下)进行安全认证

用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。

不同的应用程序所对应的PAM模块也是不同的

PAM的配置文件中的每一行都是一个独立的认证过程,他们按从上往下的顺序一次由PAM模块调用

第一列代表PAM认证模块类型

auth:对用户身份进行识别,如提示输入密码,判断是否为root

account:对账号各项属性进行检查,如是否允许登陆系统,账号是否过期,是否达到最大用户数等

password:使用用户信息来更新数据,如修改用户密码

session:定义登录前以及退出后索要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统

第二列代表PAM控制标记

required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,二十继续进行同类型的下一验证,所有此类型的模块都执行完成后,在返回失败

requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败

sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值

optional:不进行成功与否返回,一般不用于验证,知识显示信息(通常用于session类型)

include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登陆系统的认证工作)来实现认证而不需要重新逐一去写配置项

第三列代表PAM模块。默认在/lib64/security/目录下,如果不在默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数

第四类代表PAM模块的参数,这个需要根据所使用的模块来添加

传递给模块的参数。参数可以有多个,之间用空格隔开

 

 

 

 

 

用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)

主机名:使用此规则的主机名,没配置过主机名时可用localhost,有配置过主机名则用实际的主机名,ALL则代表所有主机

(用户):用户能够以何种身份来执行命令。可省略

命令程序列表:允许授权的用户通过sudo方式执行的特殊命令,需天写命令程序的完整路径,多个命令之间用逗号进行分隔。ALL则代表系统中的所有命令

 

 

[root@localhost ~]# visudo    ###进入设置

User_Alias MYUSERS = dmy

Host_Alias MYHOSTS = ALL

Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,/bin/passwd

MYUSERS MYHOSTS=NOPASSWD:MYCMNDS

 

 

保存退出

[root@localhost ~]# su - dmy   ###切换到用户界面

测试普通用户是否有权限使用命令


 

### /sbin/下的命令都可以使用,reboot命令设置未取反,所以无法使用,passwd命令设置为可以使用。

Defaults logfile = /var/log/sudo   ###visudo写入开启日志文件,可查看记录

 

 

 限制更改GRUB引导参数

 

 

通常情况下再系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器时是一个很大的威胁

可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。

[root@localhost ~]# grub2-mkpasswd-pbkdf2    ###设置引导带单密码

设置完成后

[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak

[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

###给这俩个文件做一个备份

[root@localhost ~]# vim /etc/grub.d/00_header   

###进入设置文本

cat << EOF

set superusers="root"

password_pbkdf2 root gurb.pbkdf2.sha512.10000.E0BA8F4C5891EAF02A69CAB9910D4F38BB895E99211230D290B70E6701E27A1913D7ED858F0929C97F6D014B1C25CF25311729E6888441B3924A33BEA65D5AEE.819D347B444053E908B6975A6889308E469507569B0A0AE2EBEA5954D35CF2EBE2DCB5F3BDAC667A7B2679790E9171FE272B1CF3DA63097388535FF130F66CE9

EOF

 

 

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg 

###生成新的grub.cfg文件

init 6 #重启

按E进入

先输入用户名root

再输入密码

即可进入

快捷方式:grub2-setpassword


 

 

3.弱口令检测

 

 

 

[root@localhost ~]# rz -E   ###导入文件

[root@localhost ~]# tar -zxvf john-1.8.0.tar.gz -C /opt/  ###解压文件到/opt目录下

[root@localhost john-1.8.0]# yum install gcc ggc-c++ make  ###安装编译软件

[root@localhost ~]# cd /opt/john-1.8.0/   ###进入这个目录

[root@localhost src]# make clean linux-x86-64   ###准备待破解的密码文件

[root@localhost src]# cp /etc/shadow /opt/shadow.txt  ###复制shadow到/opt/shadow.txt

[root@localhost john-1.8.0]# cd run/   ###切换目录

[root@localhost run]# ./john /opt/shadow.txt  ###进行破译密码

[root@localhost run]# ./john --show /opt/shadow.txt   ###看看破译密码

 

 4.端口扫描

网络端口扫描 

 

 

 

控制位

SYN   建立连接

ACK   确认

FIN   结束断开

PSH   传送

RST   重置

URG  紧急

nmap命令常用的选项和扫描类型

-p:指定扫描的端口

-n:禁用反向DNS解析(以加快扫描速度)

-sS:TCP的SYMN扫描

(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACk相应包就认为目标端口正在监听,并立即断开连接;否则认为目标并未开放

-sT:TCP连接扫描,这是完整的TCp扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放

-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包,许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包,这种类型的扫描可间接检测防火墙的健壮性

-sU:UDP扫描,探测mu'b奥主机提供哪些UDP服务,UDP扫描的速度会比较慢

-sP:ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描

-PO:跳过ping检测

这种方式认为所有的目标主机是存货的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通二放弃扫描

[root@localhost run]# yum install nmap -y   ###安装nmap

[root@localhost run]# nmap -p 80 192.168.174.22/24   ###扫描其他机器的端口

[root@localhost run]# nmap -n -sP 192.168.174.0/24   ###扫描一整个网段的主机是否存活

拓展

通过pam模块来防止暴力破解ssh

[root@localhost run]# vim /etc/pam.d/sshd

再第一行下面添加一行

auth required  pam_tally2.so deny=3  unlock_time=600 even_deny_root root_unlock_time1200

###保存退出

说明:尝试登陆失败超过三次,普通用户600秒解锁,root用户1200秒解锁

手动解除锁定

查看某一用户的错误登陆次数

pam_tally2 --user

查看work用户的错误登陆次数

pam_tally2 --user root

清空所有用户的错误登陆次数

pam_tally2 --user --reset

清空work用户的错误登录次数

pam_tally2 --user root --reset

5.总结

账号基本安全措施(系统账号清理、密码安全控制、命令历史清理、自动注销)

用户切换与提权(su、sudo)

开关机安全控制(BIOS引导设置、进制Ctrl+Alt+Del快捷键、GRUB菜单设置密码)

终端控制

John the Ripper工具

namp命令

 

 

举报

相关推荐

Linux的系统安全和应用

Linux——系统安全及应用

linux系统安全及应用

Linux系统安全

十、《系统安全及应用》

0 条评论