系统安全及应用

系统安全及应用

一、账号安全控制

1. 系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
  • 锁定长期不使用的账号
usermod -L 用户名
passwd -l 用户名
passwd -S 用户名
  • 删除无用的账号
userdel [-r] 用户名
  • 锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow     锁定文件
lsattr /etc/passwd /etc/shadow        查看状态
chattr -i /etc/passwd /etc/shadow     解锁文件   

系统安全及应用
系统安全及应用

2. 密码安全控制

  • 设置密码有效期

修改已有用户:

chage -M 30 znc      设置用户“znc”的密码有效期为30天

系统安全及应用
对新建用户有效:

vim /etc/login.defs                修改密码配置文件

系统安全及应用
密码有效期修改为30,保存并退出:
系统安全及应用
新建一个用户“zhangsan”,并查看密码信息:
系统安全及应用
系统安全及应用

  • 要求用户下次登录时修改密码
chage -d 0 用户名               

系统安全及应用
系统安全及应用

3. 命令历史限制

  • 减少记录的命令条数
vim /etc/profile
source /etc/profile

系统安全及应用
若改为50,则用history命令只能查看最后50条命令

  • 登录时自动清空历史命令
vim .bashrc
echo "" > ~/.bash_history

4. 终端自动注销

vim /etc/profile

系统安全及应用

source /etc/profile

5. 使用su命令切换用户

su -目标用户

密码验证:

  • root→任意用户,不验证密码
  • 普通用户→其他用户,验证目标用户的密码

whoami命令:查看当前处于的用户

6. 限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
gpasswd -a 用户 wheel
  • 启用pam_wheel认证模块
vim /etc/pam.d/su

系统安全及应用

  1. 以上两行都是默认状态(即开启第一行注释第二行),这种状态下是允许所有用户使用su命令进行切换的
  2. 两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码)
  3. 如果开启第二行,表示只有root用户wheel组内的用户才可以使用su命令
  4. 如果注释第一行开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令

将上图第二条红框中最前面的“#”号键删掉并保存退出
对其他用户使用su命令:
系统安全及应用
只有znc用户可以使用su命令:
系统安全及应用
系统安全及应用
查看su操作记录:
安全日志文件:/var/log/secure

vim /var/log/secure

7. 使用sudo机制提升权限

用法:

sudo 授权命令

配置sudo授权:

visudo

vim /etc/sudoers       此文件默认权限为440,退出保存要使用:wq!来执行

语法格式:
用户 主机名=(用户)命令程序列表

用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可以localhost
,有配过主机名则用实际的主机名,ALL则代表所有主机。
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来执行命令。
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔,ALL则代表系统中的所有命令。

例:

znc ALL=/sbin/ifconfig
123 localhost=/sbin/*,!/sbin/reboot,!/sbin/power
off            通配符“*”表示所有,“!”表示排除(除了)
%wheel ALL=NOPASSWD:ALL   
表示wheel组成员无需验证密码即可使用sudo执行任何命令

启用sudo操作日志:
启用之后,sudo操作过程才会被记录

visudo
Defaults logfile = “/var/log/sudo”
sudo -l                               查看当前用户获得哪些sudo授权                                    

二、Linux中的PAM安全认证

Linux-PAM,是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/lib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的。

1. PAM认证原理

  • 一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so
  • 首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
  • 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序所对应的PAM模块是不同的
    系统安全及应用

2. PAM认证的构成

  • 查看某个程序是否支持PAM认证,可以用ls命令
    例:查看su是否支持PAM模块认证
ls /etc/pam.d | grep su
  • 查看su的PAM配置文件:
cat /etc/pam.d/su

系统安全及应用
PAM配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。

  1. 第一列代表PAM认证模块类型
    auth:对用户身份进行识别,如提示输入密码,判断是否为root
    account:对账号各项属性进行检查,如是否允许登录系统,账号是否已经过期,是否达到最大用户数等。
    passwd:使用用户信息来更新数据,如修改用户密码
    session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
  2. 第二列代表PAM控制标记
    required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败
    requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败
    sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值
    optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session信息)
    include:表示在认证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项
  3. 第三列代表PAM模块,默认是在/lib64/security目录下,如果不在此默认路径下,要填写绝对路径
    同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数
  4. 第四列代表PAM模块的参数,这个需要根据所使用的模块来添加
    传递给模块的参数,参数可以有多个,之间用空格分隔开。

3. PAM安全认证流程

系统安全及应用

  1. required验证失败时仍然继续,但返回Fail
  2. requisite验证失败则立即结束整个验证过程,返回Fail
  3. sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
  4. optional不用于验证,只显示信息(通常用于session类型)

三、开关机安全控制

1. GRUB限制

通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
系统安全及应用
系统安全及应用
系统安全及应用
系统安全及应用
系统安全及应用
按e键,发现需要输入密码才能进入:
系统安全及应用
系统安全及应用

2. 限制root只在安全终端登录

在Linux系统中,login程序会读取/etc/securetty文件,以决定允许root用户从哪些终端(安全终端)登录系统。

vim /etc/securetty

系统安全及应用
限制tty5和tty6终端登录

3. 禁止普通用户登录

建立nologin文件

touch /etc/nologin

删除nologin文件或重启后可以登录

rm -rf /etc/nologin

四、系统弱口令检测

  1. 解压工具包
cd /opt
tar zxvf john-1.8.0.tar.gz

系统安全及应用

  1. 安装软件编译工具
yum -y install gcc gcc-c++ make

系统安全及应用

  1. 切换到src目录,进行编译安装
cd /opt/john-1.8.0/src
make clean linux-x86-64

系统安全及应用

  1. 准备待破解的密码文件
cp /etc/shadow ./

系统安全及应用

  1. 执行暴力破解
cd /opt/john-1.8.0/run
./john shadow

系统安全及应用

  1. 查看已破解出的账户列表
./john --show shadow

系统安全及应用
编辑密码字典:
系统安全及应用
字典库:
系统安全及应用

五、网络扫描—NMAP

①-p:指定扫描的端口。

②-n:禁用反向 DNS 解析(以加快扫描速度)。

③-sS:TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。

④-sT:TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。

⑤-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性。

⑥-sU:UDP 扫描,探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢。

⑦-sP:ICMP 扫描,类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描。

⑧-P0:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫描。

  • 查看正在运行的使用TCP协议的网络状态信息
    系统安全及应用

  • 查看正在运行的使用UDP协议的网络状态信息
    系统安全及应用

  • 分别查看本机开放的TCP、UDP端口

nmap -sT 127.0.0.1

系统安全及应用

namp -sU 127.0.0.1

系统安全及应用

上一篇:eclipse配置android开发环境并搭建第一个helloWord工程


下一篇:一步步来配置安卓开发环境ADTBundle