系统安全及应用

• 一、账号安全控制
• • 1. 系统账号清理
  • 2. 密码安全控制
  • 3. 命令历史限制
  • 4. 终端自动注销
  • 5. 使用su命令切换用户
  • 6. 限制使用su命令的用户
  • 7. 使用sudo机制提升权限
• 二、Linux中的PAM安全认证
• • 1. PAM认证原理
  • 2. PAM认证的构成
  • 3. PAM安全认证流程
• 三、开关机安全控制
• • 1. GRUB限制
  • 2. 限制root只在安全终端登录
  • 3. 禁止普通用户登录
• 四、系统弱口令检测
• 五、网络扫描—NMAP

一、账号安全控制

1. 系统账号清理

• 将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

• 锁定长期不使用的账号

usermod -L 用户名
passwd -l 用户名
passwd -S 用户名

• 删除无用的账号

userdel [-r] 用户名

• 锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow     锁定文件
lsattr /etc/passwd /etc/shadow        查看状态
chattr -i /etc/passwd /etc/shadow     解锁文件   

2. 密码安全控制

• 设置密码有效期

修改已有用户：

chage -M 30 znc      设置用户“znc”的密码有效期为30天

对新建用户有效：

vim /etc/login.defs                修改密码配置文件

密码有效期修改为30，保存并退出：

新建一个用户“zhangsan”，并查看密码信息：

• 要求用户下次登录时修改密码

chage -d 0 用户名               

3. 命令历史限制

• 减少记录的命令条数

vim /etc/profile
source /etc/profile

若改为50，则用history命令只能查看最后50条命令

• 登录时自动清空历史命令

vim .bashrc
echo "" > ~/.bash_history

4. 终端自动注销

vim /etc/profile

source /etc/profile

5. 使用su命令切换用户

su -目标用户

密码验证：

• root→任意用户，不验证密码
• 普通用户→其他用户，验证目标用户的密码

whoami命令：查看当前处于的用户

6. 限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组

gpasswd -a 用户 wheel

• 启用pam_wheel认证模块

vim /etc/pam.d/su

1. 以上两行都是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户使用su命令进行切换的
2. 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换普通用户就不需要输入密码（pam_rootok.so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码）
3. 如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
4. 如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令

将上图第二条红框中最前面的“#”号键删掉并保存退出
对其他用户使用su命令：

只有znc用户可以使用su命令：


查看su操作记录：
安全日志文件：/var/log/secure

vim /var/log/secure

7. 使用sudo机制提升权限

用法：

sudo 授权命令

配置sudo授权：

visudo

或

vim /etc/sudoers       此文件默认权限为440，退出保存要使用:wq!来执行

语法格式：
用户 主机名=（用户）命令程序列表

用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
主机名：使用此规则的主机名。没配置过主机名时可以localhost
，有配过主机名则用实际的主机名，ALL则代表所有主机。
（用户）：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来执行命令。
命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“，”进行分隔，ALL则代表系统中的所有命令。

例：

znc ALL=/sbin/ifconfig
123 localhost=/sbin/*,!/sbin/reboot,!/sbin/power
off            通配符“*”表示所有，“！”表示排除（除了）
%wheel ALL=NOPASSWD:ALL   
表示wheel组成员无需验证密码即可使用sudo执行任何命令

启用sudo操作日志：
启用之后，sudo操作过程才会被记录

visudo
Defaults logfile = “/var/log/sudo”
sudo -l                               查看当前用户获得哪些sudo授权                                    

二、Linux中的PAM安全认证

Linux-PAM，是linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d下的配置文件，来管理对程序的认证方式。应用程序调用相应的PAM配置文件，从而调用本地的认证模块，模块放置在/lib64/security下，以加载动态库的形式进行认证。比如使用su命令时，系统会提示输入root用户的密码，这就是su命令通过调用PAM模块实现的。

1. PAM认证原理

• 一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so
• 首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/lib64/security下）进行安全认证
• 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
• 不同的应用程序所对应的PAM模块是不同的
  

2. PAM认证的构成

• 查看某个程序是否支持PAM认证，可以用ls命令
  例：查看su是否支持PAM模块认证

ls /etc/pam.d | grep su

• 查看su的PAM配置文件：

cat /etc/pam.d/su

PAM配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。

1. 第一列代表PAM认证模块类型
   auth：对用户身份进行识别，如提示输入密码，判断是否为root
   account：对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否达到最大用户数等。
   passwd：使用用户信息来更新数据，如修改用户密码
   session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。
2. 第二列代表PAM控制标记
   required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败
   requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
   sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
   optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于session信息）
   include：表示在认证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项
3. 第三列代表PAM模块，默认是在/lib64/security目录下，如果不在此默认路径下，要填写绝对路径
   同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数
4. 第四列代表PAM模块的参数，这个需要根据所使用的模块来添加
   传递给模块的参数，参数可以有多个，之间用空格分隔开。

3. PAM安全认证流程

1. required验证失败时仍然继续，但返回Fail
2. requisite验证失败则立即结束整个验证过程，返回Fail
3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4. optional不用于验证，只显示信息（通常用于session类型）

三、开关机安全控制

1. GRUB限制

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。





按e键，发现需要输入密码才能进入：

2. 限制root只在安全终端登录

在Linux系统中，login程序会读取/etc/securetty文件，以决定允许root用户从哪些终端（安全终端）登录系统。

vim /etc/securetty

限制tty5和tty6终端登录

3. 禁止普通用户登录

建立nologin文件

touch /etc/nologin

删除nologin文件或重启后可以登录

rm -rf /etc/nologin

四、系统弱口令检测

1. 解压工具包

cd /opt
tar zxvf john-1.8.0.tar.gz

2. 安装软件编译工具

yum -y install gcc gcc-c++ make

3. 切换到src目录，进行编译安装

cd /opt/john-1.8.0/src
make clean linux-x86-64

4. 准备待破解的密码文件

cp /etc/shadow ./

5. 执行暴力破解

cd /opt/john-1.8.0/run
./john shadow

6. 查看已破解出的账户列表

./john --show shadow

编辑密码字典：

字典库：

五、网络扫描—NMAP

①-p：指定扫描的端口。

②-n：禁用反向 DNS 解析（以加快扫描速度）。

③-sS：TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放。

④-sT：TCP连接扫描，这是完整的TCP扫描方式（默认扫描类型），用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。

⑤-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性。

⑥-sU：UDP 扫描，探测目标主机提供哪些 UDP 服务，UDP 扫描的速度会比较慢。

⑦-sP：ICMP 扫描，类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描。

⑧-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping 通而放弃扫描。

• 查看正在运行的使用TCP协议的网络状态信息
  

• 查看正在运行的使用UDP协议的网络状态信息
  

• 分别查看本机开放的TCP、UDP端口

nmap -sT 127.0.0.1

namp -sU 127.0.0.1