系统安全与应用

账号的安全措施

系统账号清理

将非登录的用户shell设置为/sbin/nologin

usermod -s /sbin/nologin 用户名

锁定长期不使用的账号

usermod -L 用户名

passwd -S 用户名 ;查看被锁定用户的信息

passwd -l 用户名

删除无用的账号

userdel -r 用户名 （r表示连同删除宿主目录，是可选项）

锁定用户账号文件（passwd、shadow）

chattr +i /etc/passwd /etc/shadow ；锁定文件

lsattr /etc/passwd /etc/shadow ；查看文件的状态（是否被锁定）

chattr -i /etc/passwd /etc/shadow ； 解锁文件

密码安全控制

措施：设置密码有效期，要求用户下次登录时修改密码

1、适用于已存在户

chage -M 30 用户名 ；对xxx用户修改成有效期为30天的用户密码 （永不过期，-M 99999 ）

cat /etc/shadow | grep 用户 ；查看是否被修改（如果所见，最后的字段已经变成0：30：7了）2、适用于新建用户，修改密码配置文件

vi /etc/login.defs ;进入vi编辑器

PASS_MAX_DAYS 30 ; 末行加入以下命令，有效期为30天的用户密码cat /etc/shadow |grep 用户 ；查看用户密码有效期的字段

3、强制在下次登录时更改密码

chage -d 0 用户

命令的历史限制

1、减少记录的命令条数

vim /etc/profile ；去profile文件

export HISTSIZE=200；末行加入以下命令，限制最大命令200条

2、登录时自动清空命令历史

vi编辑器修改bashrc文件，echo输出空白文件的方式覆盖.bashrc_history文件的内容，达到登录清空命令的要求

cd ~

vim .bashrc

echoc "" > ~/.bash_history验证history，发现清空了3、临时清空历史命令

history -c

终端自动注销

闲置600秒后自动注销

vim /etc/profile ;vi编辑器进入profile

export TIMEOUT=60 ；末行加入以上命令达到60秒后中端直接注销,单位是：秒

使用su命令切换用户

用途与用法

用途：substitute user ，切换用户

格式 su 目标用户

密码验证

root-任意用户。不用验证密码

普通用户-其他用户，验证目标用户的密码

举例

1、su - root ;带“-”选项表示使用目标用户的登录shell环境

2、whoami ；显示当前用户的用户名

限制使用su命令的用户

首先，将允许使用su命令的用户加入到wheel组

接着启用pam——wheel认证模块（启用后，未加入wheel组的用户将无法使用su命令）

gpasswd -a jinyuplsp wheel ；把jinyuplsp加入到wheel组中

vim /etc/pam.d/su ；进入这个su文件当中，文件里设置禁止用户使用su命令

2// auth sufficient pam_rootok.so

...................................

6// （#）auth required pam_wheel.so use_uid ；把第六行的开头“#”去掉

.................................

a、以上两行都是默认状态（开启第一行，注释第二行），这种状态下是允许所有用户间使用su命令进行切换的。

b、两行都注释也是运行所有用户都能使用su命令，但是root下使用su切换到其他用户需要输入密码，如果第一行不注释，则root使用su切换普通用户就不需要输入密码（pam_rootok.so模块的主要作用是使用uid为0的用户，就是root用户可以直接过认证不用输入密码）

c、如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令

d、如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁止su命令实际操作（仅允许加入wheel组的用户使用su命令）

查看su操作日志

安全日志文件位置： /var/log/secure操作：进入安全文件查看日志vim /var/log/secure ;进入该安全日志文件查看su操作日志

linux中的PAM安全认证

su命令的安全隐患：

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户的登录密码，带来安全风险。

为了加强su命令的使用控制，可借助于PAM认证模块，只允许及个别用户使用su命令切换

PAM可插拔式认证模块

是一种高效而且灵活便利的用户级别的认证方式

也是当前linux服务器普遍使用的认证方式

PAM认证原理

一般遵循的顺序：

service(服务)——PAM（配置文件）——pam_*.so

首先要确定那一项服务，然后加载相应的PAM配置文件（文件位置位于/etc/pam.d下），最后调用认证文件（位于/etc/pam.d下），最后调用认证文件（位于/lib64/security下）进行安全认证

用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证

不同的应用程序对应的PAM模块是不同的

PAM的认证过程

查看某个服务是否支持PAM认证，可以使用ls命令

示例：查看su是否支持pam模块认证

ls /etc/pam.d |grep su

查看su的PAM配置文件：cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以分区为三个字段

认证类型

控制类型

PAM模块及其参数

PAM的每一行都是一个独立的认证过程，他们按照从上往下的顺序依次由PAM模块调用

第一列代表对PAM认证模块的类型

auth：对用户身份进行识别，如提示输入密码，判断是否为root

account：对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否达到最大用户数量等等

password：让用户来更新数据，如修改密码

session：定义登录前以及退出后要进行的会话管理，如登录连接信息，用户数的打开和关闭，挂载文件系统等。

第二列代表PAM控制标记

required：表示需要返回一个成功值。如果返回失败，不会立即把失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完毕后，再返回失败

requisite：与required类似，但是如果此模块返回失败，则立即返回失败并表示次类型失败

sufficient：如果此模块返回成功，则立即向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。

optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于session类型）

include: 表示在验证过程中调用其他的PAM配置文件，比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作），来实现认证，不需要重新逐一的去写配置

第三列代表PAM模块：默认是在/lib64/security/目录下，如果不在次目录下，要填写绝对路径。同一个模块，可以出现在不同的模块类型中，它在不同类型中所执行的操作都不相同，这是由于每个模块针对不同模块类型编制了不同的执行函数。

第四行代表PAM模块参数，这个需要根据所使用的的模块来添加

传递给模块的参数，参数可以有多个，之间用空格分开

PAM安全认证的流程（了解即可）

控制类型也称作control flags,用于PAM验证类型的返回结果

required验证失败时候任然继续，但是返回失败的值

requisite验证失败则立即结束整个验证过程，返回失败值

sufficient验证成功则立即返回，不再继续，否则忽略结果并继续

optional：不用于验证，只显示信息（通常用于session类型）

使用sudo机制提升权限

sudo命令的用途以及用法

用法：以其他用户身份（如root）执行授权的命令

用法： sudo 授权命令

配置sudo授权

visudo

或者vi /etc/sudoers (这个保存需要使用强制保存“wq!”)

格式： 用户 主机名=命令程序列表1 ， 命令程序列表2 ，！命令程序列表3

（注意：使用通配符号“！”来表示除了这个命令以外）

例如1：给一个用户赋予sudo权限

visudo（以下例如都在sudoers文件中添加！）

jinyuplsp localname=/sbin/ifconfig, !/sbin/reboot实验操作：给test用户赋予sudo权限例如2：给一个组赋予sudo权限

%wheel ALL=NOPASSWD: ALL ；表示wheel用户成员无需验证密码就可以使用sudo指令操作：进入visudo后给wheel组用户赋予无需验证密码即可使用sudo权限

例如3：设置别名来给多个用户赋予sudo权限

User_Alias USERS = jinyup ， lsp ；定义USERS包含的人数

Cmnd_Alias CMDS = /sbin/*, ！/sbin/reboot； 设置别名CMDs并赋予sudo权限

USERS ALL=NOPASSWD:CMDS 或者 CMDS ；定义CMDS是USERS的别名操作：设置别名来给多个用户赋予sudo权限++注意：最后一条NOPASSWD表示无需验证密码，实操环节慎重加这一条++<u>补充：</u>

1、启用sudo操作日志

visudo

Defaults logfile = "/var/log/sudo"2、查询授权的sudo操作

sudo -l

（注意：启用日志配置后，sudo操作过程才会记录下来）实操：

开关机安全控制（了解）

调整BIOS引导设置

将第一引导设备设置为当前系统所在硬盘

禁止从其他设备（光盘、U盘、网络）引导系统

将安全级别设置为setup，并设置管理员密码

限制更改GRUB引导参数

同城情况下载系统开机进入GRUB菜单时候，按e可以查看并引导GRUB参数，这对服务是一个极大地威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才能被允许修改引导参数

实验步骤：

1、使用 grub2-mkpasswd-pbkdf2 生成密钥，然后进行备份

然后cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak

​ cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

(备份这两个文件)

2、修改/etc/grub.d/00_header 文件中，添加密码记录

生成新的grub.cfg配置文件

vi /etc/grub.d/00_header

cat << EOF

set superusers="root" ;设置用户名为root

passwd_pbkdf2 root grub.pbkdf2... ；设置密码，省略部分是加密生成的字符串

grub2-mkconfig -o /boot/grub2/grub.cfg ;生成新的grub.cfg配置文件

重新进入GRUB菜单时，按e需要输入账号密码才能进入引导参数

终端登录安全控制（了解）

限制root只在安全终端登录

安全终端配置路径：/etc/securetty

vim /etc/securetty ;vi编辑器进入这个配置文件

#tty5

#tty6（表示禁止5、6号安全终端登录，之后保存并退出就行）实操：备注：如上图所示，只要在终端前加个“#就可以禁止登陆了”

禁止普通用户登录

建立/etc/nologin文件

删除nologin文件或者重启后恢复正常

touch /etc/nologin ；禁止普通用户登录

rm -rf /etc/nologin ;取消上述登录限制（或者重启也能取消）

（原理是通过创建临时文件来达到目的，重启或者删除后就取消。

专业描述：loin程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统，root用户不受限制）

操作：

系统弱口令检测

安装JR工具

安装方法：make clean 系统类型

主程序为john

检测弱口令账号

获得linux服务器的shadow文件

执行john程序，将shadow文件作为参考

密码文件暴力破解

准备好密码字典文件，默认为passworld.lst

执行john程序，结合--wordlist=字典文件

执行步骤：

1、解压工具包（官网自己下载）

cd /opt

tar zxf john-1.8.0.tar.gz

安装软件编译工具

yum install -y gcc-c++ make

切换到src子目录

cd /opt/john-1.8.0/src

进行编译安装

make clean linux-x86-64

准备待破解的密码文件

cp /opt/john-1.8.0 /run

./john /opt/shadow.txt

执行暴力破解

cd /opt/john-1.8.0 /run

./john /opt/shadow.txt

网络端口扫描

安装nmap软件包：

rpm -qa |grep nmap

yum install -y nmap

NMAP扫描： nmap 扫描类型 选项 扫描目标

常用的扫描类型

-p :指定扫描的端口

-n ：禁用反向DNS解析

-sS : TCP的SYN扫描，只向目标发送SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，立即断开连接。否则就认为目标端口未开放

-sT: TCP连接扫描，这是完整的TCP扫描方式，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为端口未开放

-sF ： TCP的FI你扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包，许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP包，这种类型的扫描可以间接检测防火墙的健壮性

-sU :UDP扫描。探测目标主机提供哪些UDP服务，UDP扫描会做的比较慢。

-sP :ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描

-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方主机不响应ICMP请求时，使用这种方式可以避免因无法使用ping而放弃扫描

示例：

1、查看本机的TCP、UDP端口

nmap -sT 127.0.0.1

nmap -sU 127.0.0.1

2、检测192.168.80.0/24网段有哪些主机提供http服务

nmap -p 8 192.168.80.0/24

！使用natstat查看运行的服务

netstat -natp ;查看正在运行中的TCP协议网络状态信息

netstat -naup ;查看正在运行中的UDP协议网络状态信息

netatat -natup ;查看正在运行中的TCP与UDP协议

举例：netatat -natp | grep :22 ;监听TCP协议的22号端口

实操：监听TCP、UDP、端口22

补充：查看服务的几种方式

a、ps aux |grep 服务b、systemctl is-actvie 服务c、 systemctl is-enbale 服务d、lsof -i 服务名称e、systemctl status 服务名称*

natstat命令常用选项

-a :显示主机中所有活动的网络连接信息（包括监听、非监听状态的服务端口）

-n：艺术字的形式显示相关的主机地址、端口信息等

-t: 查看TCP相关的信息

-u ：显示UDP相关的信息

-p：显示与网络连接相关联的进程号、进程名称信息（改选项需要root权限）

-r ：显示路由表信息

-l:显示处于监听状态的网络连接与端口信息