系统安全及应用_云虚拟主机

账号安全控制

1、基本安全措施

（1）系统账号清理

除了超级用户root之外，其他大量账号只是用来维护系统运作、启动或保持服务进程，一般是不允许登录的，因此也称为非登录用户账号，常见的非登录用户账号包括 bin、daemon、adm、lp、mail 等，为了确保系统安全，这些用户账号的登录 shell 通常是/sbin/nologin，表示禁止终端登录，应确保不被人为改动

设置登录shell为/sbin/nologin
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd

1、锁定账号

对于 linux 服务器中长期不用的用户账号,若无法确定是否应该删除，可以暂时将其锁定

[root@localhost ~]# usermod -l zhangsan        //锁定账号
[root@localhost ~]# usermod -u zhangsan        //解锁账号
[root@localhost ~]# passwd -s zhangsan        //查看账号状态

2、锁定文件

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow        //锁定文件
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow        //解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow         //查看文件状态

备注1：chattr（设置文件的隐藏属性）
    参数的设置方法：
    +：增加某个参数
    -：删除某个参数
    =：仅有后面接的参数

备注2：lsattr（显示文件隐藏属性）
    参数的设置方法：
    -a：将隐藏文件的属性也显示出来
    -d：如果接的是目录，仅列出目录本身的属性而不是目录内的文件名
    -r：连同子目录的数据也显示出来

参数含义
- a 设置a属性后，若你访问此文件或目录时，它的访问时间atime不会被修改，可避免i/o较慢的机器过度访问磁盘。这对速度较慢的计算机有帮助
- s 一般文件是异步写入磁盘，加上s属性后，文件将同步写入磁盘
- a 当设置a后，文件只能增加数据，既不能删除也不能修改数据，只有root才能设置这个属性
- c 设置c属性后，会自动将文件压缩，在读取时自动解压缩
- d 当dump程序执行时，设置d属性将可使改文件或目录不被dump备份
- i i属性可使文件不能被删除、改名，设置连接也无法写入或添加数据。对于系统安全性有很大帮助。只有root能设置此属性
- s 当文件设置s属性时，如果文件被删除，将从硬盘彻底删除
- u 与s相反，当文件设置u属性时，文件删除后数据内容还存在磁盘，可以使用来找回该文件

（2）密码安全控制

1、密码有效期设置

[root@localhost ~]# cat /etc/shadow    
zhangsan:$6$apny60ss$i0a0xr1oph.xsc.jkoqjoefuk/ilkred72gnhtqttznf9pxiezfdpdztkne3fznohtuhyqc4odygybenldwwv0:19166:0:99999:7:::
备注：
    第1字段：用户的登录名
    第2字段：加密（sha加密算法）的用户密码
    第3字段：最近一次修改密码的时间
    第4字段：最短密码使用期限
    第5字段：最长密码使用期限
    第6字段：过期前若干天提醒用户
    第7字段：密码过期后多少天禁用此账户
    第8字段：账号失效时间
    第9字段：保留

[root@localhost ~]# vim /etc/login.defs
...
pass_max_days   99999        //密码最长过期天数
pass_min_days   0            //密码最小过期天数
pass_min_len    5            //密码最小长度
pass_warn_age   7            //密码过期警告天数
...

2、可以设置用户最短密码策略

[root@localhost ~]# vim /etc/pam.d/system-auth
......
添加：
password     requisite     pam_cracklib.so try_first_pass retry=3 minlen=12

3、设置用户下次登录时重设密码

[root@localhost ~]# chage -d 0 (zhangsan)
//切换到tty终端下，用zhangsan登录系统，需要重设密码

（3）命令历史、自动注销

1、为新登录的用户设置命令历史

[root@localhost ~]# vim /etc/profile        //适用于新登录的用户
.....
histsize=20

2、为已登录的当前用户设置命令历史

[root@localhost ~]# export histsize=200        //适用当前用户

3、清空历史命令

[root@localhost ~]# vi ~/.bash_logout
history -c 
clear

在终端输入logout注销出去，重新登录后history查看命令历史的清除效果

4、空闲自动注销

新登录用户设置
[root@localhost ~]# vi /etc/profile        //适用于新登录用户
export tmout=600

当前已登录用户设置
[root@localhost ~]# export tmout=600        //适用于当前用户

2、用户切换与提权

（1）su命令

1、su切换用户

[root@localhost ~]# su zhangsan
密码:                    //输入用户 root 的口令
[root@localhost ~]#      //验证成功后获得root 权限

2、只允许指定用户使用su进行切换

[root@localhost ~]# gpasswd -a zhangsan wheel        //添加授权用户 tsengyia
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group            //确认 wheel 组成员
wheel:x:10:zhangsan        
[root@localhost ~]# vi /etc/pam.d/su
auth            required        pam_wheel.so use_uid        //注意：去掉前面的#号

（2）pam安全认证(pluggable authentication modules)

1、允许wheel组成员使用su命令

pam 提供了对所有服务进行认证的中央机制，适用于login，远程登录(telnet,rlogin,fsh,ftp)，su 等应用程序中。系统管理员通过 pam 配置文件来制定不同应用程序的不同认证策略

[root@localhost ~]# cat /etc/pam.d/su
auth            required        pam_wheel.so use_uid
每一行都是一个独立的认证过程
每一行可以区分为三个字段:
    认证类型
    控制类型
    pam 模块及其参数

2、pam 认证类型包括四种：

认证管理(authentication management):接受用户名和密码，进而对该用户的密码进行认证
- 帐户管理(account management):检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等
  - 密码管理(password management):主要是用来修改用户的密码
    - 会话管理(session management):主要是提供对会话的管理和记账

控制类型也可以称做 control flags，用于 pam 验证类型的返回结果

（3）sudo 命令 —— 提升执行权限

需要由管理员预先进行授权，指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令

1、若要授权用户zhangsan能够执行 ifconfig 命令来修改 ip 地址，而 wheel 组的用户无需验证密码即可执行任何命令；在配置文件/etc/sudoers 中添加授权

[root@localhost ~]# visudo
zhangsan  localhost=/sbin/ifconfig 
lisi localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
%wheel  all=nopasswd: all
备注：
user machine=commands，多个命令可以用逗号隔开
all=nopasswd: all 表示无需验证密码即可执行任何命令
lisi  all=(all)  nopasswd: all
sudo 配置记录的命令部分允许使用通配符“*”、、取反符号“!”，当需要授权某个目录下的所有命令或取消其中个别命令时特别有用

2、默认情况下，通过 sudo 方式执行的操作并不记录若要启用 sudo 日志记录以备管理员查看，应在/etc/sudoers 文件中增加“defaults logfile”设置

[root@localhost ~]# visudo
添加：
defaults logfile = "/var/log/sudo"

3、通过sudo执行特权命令

由于特权命令程序通常位于/sbin、lusr/sbin 等目录下，普通用户执行时应使用绝对路径；在当前会话过程中，第一次通过 sudo 执行命令时，必须以用户自己的密码(不是 root用户或其他用户的密码)进行验证；若要查看用户自己获得哪些 sudo 授权，可以执行“sudo -”命令。未授权的用户将会得到“may not run sudo”的提示，已授权的用户则可以看到自己的 sudo 配置

系统引导和登录控制

1、调整 bios 引导设置

将第一优先引导设备(first boot device)设为当前系统所在磁盘
禁止从其他设备(如光盘、u盘、网络等)引导系统，对应的项设为“disabled”
将 bios的安全级别改为“setup”，并设置好管理密码，以防止未授权的修改

2、限制更改 grub 引导参数（为grub添加密码）

如果任何人都能够修改 grub 引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制，可以为grub 菜单设置一个密码，为 grub 菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2”命令生成，表现为经过pbkdf2 算法加密的字符串，安全性更好

[root@localhost ~]# grub2-mkpasswd-pbkdf2        //根据提示指定密码
enter password:
reenter password:
pbkdf2 hash of your password is grub.pbkdf2.sha512.10000.59c69312c10f5734dc5f6a427874ae6049c912ee7... //经过加密的密码字符串
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
[root@localhost ~]# vim /etc/grub.d/01_users
cat << eof
set superusers="root"
export superusers
password_pbkdf2 root
grub.pbkdf2.sha512.10000.59c69312c10f5734dc5f6a427874ae6049c912ee7...
eof

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg 生成新的grub.cfg文件

2.使用明文grub密码

[root@localhost ~]# vi /etc/grub.d/01_users
 
cat << eof
set superusers="root"
password root pwd123
eof
 
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

3、终端及登录控制

（1）禁止 root 用户登录

[root@localhost ~]# vim /etc/securetty
若要禁止 root 用户从 tty5、tty6 登录，就注释掉tty5和tty6
#tty5 
#tty6

（2）禁止普通用户登录

需要简单地建立/etc/nologin 文件即可。login 程序会检査/etc/nologin 文件是否存在，如果存在，则拒绝普通用户登录系统(root用户不受限制)
[root@localhost ~]# touch /etc/nologin

弱口令检测、端口扫描

1、弱口令检测——john the ripper

john the ripper 是一款开源的密码破解工具，能够在已知密文的情况下快速分析出明文的密码字串，支持 des、md5 等多种加密算法，而且允许使用密码字典(包含各种密码组合的列表文件)来进行暴力破解

（1）安装 john the ripper

john the ripper 的官方网站是 openwal.com is for sale | hugedomains通过该网站可以获取稳定版源码包，如john-1.8.0.tar.gz

[root@localhost ~]# tar zxf john-1.8.0.tar.gz 
[root@localhost ~]# cd john-1.8.0
[root@localhost john-1.8.0]# cd src/ 
[root@localhost src]# yum -y install gcc
[root@localhost src]# make clean linux-x86-64

（2）检测弱口令

[root@localhost src]# cp /etc/shadow /root/shadow.txt        //准备待破解的密码文件
[root@localhost src]# cd /root/john-1.8.0/run/
[root@localhost run]# ./john /root/shadow.txt            //执行暴力破解

[root@localhost run]# ./john --show /root/shadow.txt            //查看已破解出的账户列表

（3）使用密码字典检测

[root@localhost run]# vim /root/pass.list        //编写密码字典，将所有的用户密码写进去

[root@localhost run]# ./john --wordlist=/root/pass.list /root/shadow.txt
[root@localhost run]# ./john --show /root/shadow.txt 
root:aptech::0:99999:7:::
lisi:111:19166:0:50:7:::

2、网络扫描——nmap

（1）安装 nmap软件包

在 centos7 系统中，既可以使用光盘自带的 nmap-6.40-7.el7.x86 64.rpm 安装包，也可以使用从 nmap 官方网站下载的最新版源码包

[root@localhost ~]# yum install -y nmap

（2）扫描语法及类型

nmap [扫描类型][选项]<扫描目标...>

[root@localhost ~]# nmap 127.0.0.1
[root@localhost ~]# nmap -su 127.0.0.1  //扫描常用端口
[root@localhost ~]# ifconfig
[root@localhost ~]# nmap -p 21 192.168.10.0/24    //扫描网段中哪些主机启用的端口21
[root@localhost ~]# nmap -n -sp 192.168.10.0/24   //扫描存活主机
[root@localhost ~]# nmap -p 139,445 192.168.10.10-20    //扫描主机是否开了共享

扫描目标可以是主机名、ip地址或网络地址等，多个目标以空格分隔:常用的选项有“-p”“-n”，分别用来指定扫描的端口、禁用反向 dns 解析(以加快扫描速度)
- ss，tcp syn 扫描（半开扫描）：只向目标发出 syn 数据包，如果收到 syn/ack响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放
- -st，tcp 连接扫描：这是完整的 tcp 扫描方式，用来建立一个 tcp 连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放
- -sf，tcp fin 扫描：开放的端口会忽略这种数据包，关闭的端口会回应 rst 数据包。许多防火墙只对 syn 数据包进行简单过滤，而忽略了其他形式的 tcp 攻击包。这种类型的扫描可间接检测防火墙的健壮性
- -su，udp 扫描:探测目标主机提供哪些 udp 服务，udp 扫描的速度会比较慢
- -sp，icmp 扫描:类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描
- -p0,跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应icmp请求时，使用这种方式可以避免因无法 ping 通而放弃扫描

系统安全及应用

2024年08月01日 • 云虚拟主机 •我要评论