linux系统安全及应用是怎样的
linux系统安全及应用是怎样的,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。
一 :账号安全基本措施
1.1 系统账号清理
将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号 'usermod -L '
删除无用的账号 'userdel -r'
锁定账号文件passwd、shadow,用以控制用户(包括root)无法创建删除修改账户
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow '给passwd和shadow加锁+i'[root@localhost ~]# lsattr /etc/passwd /etc/shadow 'ls查看attr是否锁定,即查看状态' ----i----------- /etc/passwd '锁定'----i----------- /etc/shadow '锁定'
+i 进行加锁 -i 解锁
lsattr 查看是否锁定
实操:
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow '给账号文件加锁'[root@localhost ~]# lsattr /etc/passwd /etc/shadow '查看账号文件状态'----i----------- /etc/passwd----i----------- /etc/shadow[root@localhost ~]# id zhangsan '检查一下测试账号是否存在'id: zhangsan: no such user '反馈没有'[root@localhost ~]# useradd lisi '创建lisi'useradd:无法打开 /etc/passwd '反馈无法打开账号文件去进行修改'[root@localhost ~]# chattr -i /etc/passwd /etc/shadow '解锁'[root@localhost ~]# useradd lisi '再次创建lisi'[root@localhost ~]# passwd lisi更改用户 lisi 的密码 。新的 密码:无效的密码: 密码少于 8 个字符重新输入新的 密码:passwd:所有的身份验证令牌已经成功更新。 '成功'[root@localhost ~]# lsattr /etc/passwd /etc/shadow '此时再查看账号文件状态'---------------- /etc/passwd---------------- /etc/shadow[root@localhost ~]# chattr +i /etc/passwd /etc/shadow '再次加锁'[root@localhost ~]# userdel lisi '删除lisi'userdel:无法打开 /etc/passwd '反馈无法删除'[root@localhost ~]# chattr -i /etc/passwd /etc/shadow '解锁帐号文件'[root@localhost ~]# userdel lisi '再次删除'[root@localhost ~]# id lisi '查看lisi'id: lisi: no such user '删除成功'[root@localhost ~]# ls /home '查看普通用户的家目录'gsy lisi 'lisi的家目录还在,因为删除时没有-r递归删除'[root@localhost ~]# rm -rf /home/lisi '强制删除'[root@localhost ~]# ls /homegsy
1.2 密码安全控制
设置密码有效期
要求用户下次登陆时修改密码
[root@localhost ~]# vim /etc/login.defs '进入默认配置文件'......PASS_MAX_DAYS 99999 '默认设置为99999天'PASS_MAX_DAYS 30 '可以先修改为30天验证'
修改默认配置文件适用于在修改配置文件保存之后的时间点后的用户创建,这个方法不会修改已创建的用户的密码有效期
[root@localhost ~]# tail -3 /etc/shadow '查看账号密码文件的后三行'tcpdump:!!:18192::::::gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:'99999':7::: '用单引号单独标注出来的99999就是gsy用户的密码的有效期'apache:!!:18213::::::[root@localhost ~]# useradd lisi '创建lisi'正在创建信箱文件: 文件已存在[root@localhost ~]# passwd lisi '设置密码'更改用户 lisi 的密码 。新的 密码:无效的密码: 密码少于 8 个字符重新输入新的 密码:passwd:所有的身份验证令牌已经成功更新。[root@localhost ~]# tail -3 /etc/shadow '查看末尾三行'gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::apache:!!:18213::::::lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:'30':7:::'新创建的lisi的密码有效期为30天'
对已存在的用户的密码有效期设置命令是
[root@localhost ~]# chage -M 时间 用户名
[root@localhost ~]# chage -M 99999 lisi '设置lisi密码的有效期为99999'[root@localhost ~]# tail -3 /etc/shadow '查看'gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::apache:!!:18213::::::lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:'99999':7:::
密码有效期设置
1.已创建的用户如何设置:chage -M 30
2.未创建的用户如何设置:使用vim编辑器去 /etc/longin.defs文件
login.defs 登录的默认文件
把/etc/login.defs中的有效期恢复为默认日期
#是注释符号,行首有#代表不会执行
# Please note that the parameters in this configuration file control the# behavior of the tools from the shadow-utils component. None of these# tools uses the PAM mechanism, and the utilities that use PAM (such as the# passwd command) should therefore be configured elsewhere. Refer to# /etc/pam.d/system-auth for more information.## *REQUIRED*# Directory where mailboxes reside, _or_ name of file, relative to the# home directory. If you _do_ define both, MAIL_DIR takes precedence.# QMAIL_DIR is for Qmail##QMAIL_DIR MaildirMAIL_DIR /var/spool/mail#MAIL_FILE .mail# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7## Min/max values for automatic uid selection in useradd#UID_MIN 1000UID_MAX 60000:wq '保存退出'
[root@localhost ~]# chage --help用法:chage [选项] 登录选项: -d, --lastday 最近日期 将最近一次密码设置时间设为"最近日期" -E, --expiredate 过期日期 将帐户过期时间设为"过期日期" -h, --help 显示此帮助信息并推出 -I, --inactive INACITVE 过期 INACTIVE 天数后,设定密码为失效状态 -l, --list 显示帐户年龄信息 -m, --mindays 最小天数 将两次改变密码之间相距的最小天数设为"最小天数" -M, --maxdays 最大天数 将两次改变密码之间相距的最大天数设为"最大天数" -R, --root CHROOT_DIR chroot 到的目录 -W, --warndays 警告天数 将过期警告天数设为"警告天数"
实操:
[root@localhost ~]# chage -d 0 lisi '代表下一次登陆时及时修改密码'[root@localhost etc]# su lisi '不带-,会切换用户,不会切换目录'[lisi@localhost etc]$ exit[root@localhost etc]# su - lisi '带- ,不仅切换用户,还会切换到用户的家目录'上一次登录:四 11月 14 14:00:17 CST 2019pts/0 上[lisi@localhost ~]$ exit[root@localhost lisi]# su gsy '切换到同级别用户去登录lisi'[gsy@localhost lisi]$ su lisi密码:您需要立即更改密码(root 强制)为 lisi 更改 STRESS 密码。(当前)UNIX 密码: '就是当前密码'新的 密码:无效的密码: 密码与原来的太相似新的 密码:无效的密码: 密码与原来的太相似新的 密码:无效的密码: 密码与原来的太相似su: 已经超出服务重试的最多次数[gsy@localhost lisi]$
小结:
chage -d 0 用户名 下次登陆时及时修改密码(修改的密码不允许连续数字、连续字母,可以为zxc196!类型)
1.3 命令历史限制
减少记录的命令条数
[root@localhost lisi]# vim /etc/profile '进入/etc/profile'HOSTNAME=`/usr/bin/hostname 2>/dev/null`HISTSIZE=1000 '默认为1000,可以修改为200,减少历史命令缓存'
注销时自动清空命令历史
[root@localhost /]# vim ~/.bash_logout '进入root家目录~中的注销变量文件去配置'# ~/.bash_logouthistory -c '增加'clear '增加'~
1.4 终端自动注销
闲置600s后自动注销
[root@localhost /]# vim ~/.bash_profile '编辑root家目录的环境变量'# .bash_profile# Get the aliases and functionsif [ -f ~/.bashrc ]; then . ~/.bashrcfi'export TIMOUT=600' '单引号不含,此处为增加项,超过600s会自动注销'# User specific environment and startup programsPATH=$PATH:$HOME/binexport PATH
小结:
注销时间不要太快,不然不好修改回来
二 : 使用su命令切换用户
2.1 用途及用法
用途: Substitute User, 切换用户
格式:
[root@localhost /]# su - 目标用户用法: su [选项] [-] [USER [参数]...]将有效用户 id 和组 id 更改为 USER 的 id。单个 - 视为 -l。如果未指定 USER,将假定为 root。选项: -m, -p, --preserve-environment 不重置环境变量 -g, --group <组> 指定主组 -G, --supp-group <组> 指定一个辅助组 -, -l, --login 使 shell 成为登录 shell -c, --command <命令> 使用 -c 向 shell 传递一条命令 --session-command <命令> 使用 -c 向 shell 传递一条命令 而不创建新会话 -f, --fast 向shell 传递 -f 选项(csh 或 tcsh) -s, --shell若 /etc/shells 允许,则运行 shell -h, --help 显示此帮助并退出 -V, --version 输出版本信息并退出
2.2 密码验证
root切换到任意用户,不用验证密码
普通用户切换到其他用户,需要验证目标用户的密码
[root@localhost /]# su - gsy '带-选项标识将使用目标用户的登录shell环境'上一次登录:四 11月 14 14:16:48 CST 2019pts/0 上[gsy@localhost ~]$ su - root密码:上一次登录:四 11月 14 14:28:57 CST 2019pts/0 上[root@localhost ~]# whoamiroot[root@localhost ~]#
2.3 限制使用su命令的用户
将允许使用su命令的用户加入wheel组,在wheel组内的用户才可以使用su切换用户命令
[root@localhost ~]# id gsyuid=1000(gsy) gid=1000(gsy) 组=1000(gsy)[root@localhost ~]# cat /etc/group | grep wheelwheel:x:10: [root@localhost ~]# cat /etc/gshadow | grep wheelwheel:::[root@localhost ~]# gpasswd -a gsy wheel正在将用户"gsy"加入到"wheel"组中[root@localhost ~]# id gsyuid=1000(gsy) gid=1000(gsy) 组=1000(gsy),10(wheel)[root@localhost ~]# cat /etc/group | grep wheelwheel:x:10:gsy[root@localhost ~]# cat /etc/gshadow | grep wheelwheel:::gsy
启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su%PAM-1.0auth sufficient pam_rootok.so# Uncomment the following line to implicitly trust users in the "wheel" group.#auth sufficient pam_wheel.so trust use_uid# Uncomment the following line to require a user to be in the "wheel" group.#auth required pam_wheel.so use_uid '把#删掉即可启用'auth substack system-authauth include postloginaccount sufficient pam_succeed_if.so uid = 0 use_uid quietaccount include system-authpassword include system-authsession include system-authsession include postloginsession optional pam_xauth.so记得wq保存退出
pam.su需要手动开启,在没有开启的时候,是默认所有用户都可以使用su去切换到别的用户,即使不在wheel中的用户也可以使用su
[root@localhost pam.d]# id gsy '查看gsy在哪组'uid=1000(gsy) gid=1000(gsy) 组=1000(gsy),10(wheel)[root@localhost pam.d]# id lisi '查看lisi在哪组'uid=1001(lisi) gid=1001(lisi) 组=1001(lisi)[root@localhost pam.d]# id root '查看root,不在wheel'uid=0(root) gid=0(root) 组=0(root)[root@localhost pam.d]# su gsy '直接切换到普通用户'[gsy@localhost pam.d]$ su lisi '切换同级别用户'密码:[lisi@localhost pam.d]$ su gsy 'lisi切换到gsy'密码:su: 拒绝权限 'su拒绝权限'[lisi@localhost pam.d]$ su root 'lisi切换root'密码:su: 拒绝权限[lisi@localhost pam.d]$ exit '返回上个用户'exit[gsy@localhost pam.d]$ exit '返回上个用户'exit[root@localhost pam.d]# gpasswd -a lisi wheel '把lisi加入到wheel组'正在将用户"lisi"加入到"wheel"组中[root@localhost pam.d]# su lisi[lisi@localhost pam.d]$ su gsy '再次切换到gsy'密码:[gsy@localhost pam.d]$ '切换成功'
2.4 查看su操作记录
安全日志文件; /var/log/secure
[root@localhost /]# cd /var/log[root@localhost log]# lsanaconda dmesg lastlog qemu-ga sssd wtmp yum.logaudit dmesg.old libvirt rhsm tallylog Xorg.0.logboot.log firewalld maillog sa tuned Xorg.0.log.oldbtmp gdm messages samba vmware-vgauthsvc.log.0 Xorg.1.logchrony glusterfs ntpstats 'secure' vmware-vmsvc.log Xorg.1.log.oldcron grubby_prune_debug pluto speech-dispatcher vmware-vmusr.log Xorg.2.logcups httpd ppp spooler wpa_supplicant.log Xorg.9.log
三 : Liunx中的PAM安全认证
3.1 su命令的安全隐患
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险
为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM(Pluggable Authentication Modules)可拔插式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式
3.2 PAM认证原理
PAM认证一般遵循的顺序:Service(服务)>PAM(配置文件)>pam_*.so
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块也是不同的
.so 为结尾的就是模块文件
3.3 PAM认证的构成
查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d,然后管道符号检索想要查询的程序;例如查看su是否支持PAM模块认证
ls /etc/pam.d | grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是独立的认证过程
每一行可以区分为三个字段
认证类型
控制类型
PAM模块及其参数
3.4 PAM安全认证流程
控制类型也可以乘坐Control Flags,用于PAM验证类型的返回结果
1.required验证失败时仍然继续,但返回Fail
2.requisite验证失败则立即结束整个验证过程,返回fail(最重要的一步)
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只显示信息(通常用户session类型)
四 : 使用sudo机制提升权限
4.1 su命令的缺点
默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险
4.2 sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
4.3 配置sudo授权
visudo命令 或者 vim /etc/sudoers
记录格式: 用户 主机名列表 = 命令程序列表
[root@localhost log]# visudo......用户 主机名列表 = 命令程序列表%wheel ALL = NOPASSWD:ALLjerry localhost = /sbin/ifconfigsyrianer localhost = /sbin/*,!/sbin/ifconfig,!/sbin/route'可以使用通配符号*和取反符号!'Cmnd_Alias PKGTOOLS = /bin/rpm,/usr/bin/yummike localhost = PKGTOOLS
备注:
可以使用通配符号*和取反符号!
用户与主机名列表间用制表符隔开,=号左右有空格,命令程序列表中若是有两个及以上命令,命令于命令之间用逗号隔开,
命令程序要写绝对路径,用which查看为准
主机名用hostname查看
用户字段前面百分号代表组
localhost 指本地主机名
!/sbin/ifconfig 除了/sbin/ifconfig
cmnd_alias 命令别名 PKGTOOLS (中文意包装水池) 别名,相当于把相关的命令编排到一个组内,可以用于主机名列表处=别名
类似别名还包括user_Alias、Host_Alias
[root@localhost gsy]# id gsy '查看gsy的id'uid=1000(gsy) gid=1000(gsy) 组=1000(gsy)[root@localhost gsy]# id lisi '查看lisi的id'id: lisi: no such user '没有lisi'[root@localhost gsy]# useradd lisi '创建测试用户lisi'[root@localhost gsy]# passwd lisi更改用户 lisi 的密码 。新的 密码:无效的密码: 密码未通过字典检查 - 它没有包含足够的不同字符重新输入新的 密码:passwd:所有的身份验证令牌已经成功更新。[root@localhost gsy]# id lisi '查看lisi的id'uid=1001(lisi) gid=1001(lisi) 组=1001(lisi)[root@localhost gsy]# ifconfig '以修改ip地址为例,先查看ip地址'ens33: flags=4163mtu 1500 inet 192.168.139.153 netmask 255.255.255.0 broadcast 192.168.139.255 inet6 fe80::413b:c9ad:e0e:1afc prefixlen 64 scopeid 0x20 ether 00:0c:29:d6:c0:8a txqueuelen 1000 (Ethernet) RX packets 741 bytes 574698 (561.2 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 332 bytes 31777 (31.0 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0[root@localhost gsy]# su lisi[lisi@localhost gsy]$ ifconfig ens33 10.10.10.10 '先正常的输入修改ip地址命令'SIOCSIFADDR: 不允许的操作SIOCSIFFLAGS: 不允许的操作 '反馈无法执行,没有权限'[lisi@localhost gsy]$ sudo ifconfig ens33 10.10.10.10 'sudo提权执行'我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点: #1) 尊重别人的隐私。 #2) 输入前要先考虑(后果和风险)。 #3) 权力越大,责任越大。[sudo] lisi 的密码: lisi 不在 sudoers 文件中。此事将被报告。 '反馈说lisi不再sudoers文件,后面会去查看这个文件'[lisi@localhost gsy]$ cd / [lisi@localhost /]$ sudo -l '查看sudo权限'[sudo] lisi 的密码:对不起,用户 lisi 不能在 localhost 上运行 sudo。 '显示lsii不可以使用sudo'[lisi@localhost /]$ su root密码:[root@localhost /]# gpasswd -a lisi wheel '把lisi加入wheel组内'正在将用户"lisi"加入到"wheel"组中[root@localhost /]# id lisiuid=1001(lisi) gid=1001(lisi) 组=1001(lisi),10(wheel)[root@localhost /]# su lisi[lisi@localhost /]$ ifconfig ens33 10.10.10.10SIOCSIFADDR: 不允许的操作SIOCSIFFLAGS: 不允许的操作[lisi@localhost /]$ sudo ifconfig ens33 10.10.10.10我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点: #1) 尊重别人的隐私。 #2) 输入前要先考虑(后果和风险)。 #3) 权力越大,责任越大。[sudo] lisi 的密码:SIOCSIFADDR: 文件已存在[lisi@localhost /]$ ifconfigens33: flags=4163 mtu 1500 inet 10.10.10.10 netmask 255.0.0.0 broadcast 10.255.255.255 inet6 fe80::413b:c9ad:e0e:1afc prefixlen 64 scopeid 0x20 ether 00:0c:29:d6:c0:8a txqueuelen 1000 (Ethernet) RX packets 2581 bytes 697151 (680.8 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 525 bytes 50661 (49.4 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0[lisi@localhost /]$ sudo -l[sudo] lisi 的密码:匹配 %2$s 上 %1$s 的默认条目: !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin用户 lisi 可以在 localhost 上运行以下命令: (ALL) ALL
这个时候查询一下sudoers文件;即/etc/sudoers,使用lisi去vim /etc/sudoers会提示权限不足,需要su到root再去vim
[root@localhost /]# grep -v "^#" /etc/sudoers >> 1.txt '这个命令是把/etc/sudoers中有效指令输入到1.txt中'[root@localhost /]# cat 1.txtDefaults !visiblepwDefaults always_set_homeDefaults match_group_by_gidDefaults env_resetDefaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"Defaults env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"Defaults env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"Defaults env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/binroot ALL=(ALL) ALL%wheel ALL=(ALL) ALL '在wheel组内的用户可以在所有主机执行所有操作'
[root@localhost /]# vim /etc/sudoers 'vim进入配置文件'## Allow root to run any commands anywhere root ALL=(ALL) ALL## Allows members of the 'sys' group to run networking, software, ## service management apps and more.# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS## Allows people in group wheel to run all commands%wheel ALL=(ALL) ALL '这个命令,上面是解释'## Same thing without a password# %wheel ALL=(ALL) NOPASSWD: ALL
可以在/etc/sudoers 中手动配置一个条目
[root@localhost /]# which ifconfig '先which查找到命令的绝对路径'/usr/sbin/ifconfig[root@localhost /]# hostname '查看hostname'localhost.localdomain[root@localhost /]# vim /etc/sudoers## Allow root to run any commands anywhere root ALL=(ALL) ALLlisi localhost = /usr/sbin/ifconfig '新加入这一行'## Allows members of the 'sys' group to run networking, software, ## service management apps and more.# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS## Allows people in group wheel to run all commands%wheel ALL=(ALL) ALL:wq! 保存[root@localhost /]# gpasswd -d lisi wheel '把lisi从wheel删除'正在将用户"lisi"从"wheel"组中删除[root@localhost /]# id lisiuid=1001(lisi) gid=1001(lisi) 组=1001(lisi)[root@localhost /]# su lisi '切换lisi'[lisi@localhost /]$ ifconfig ens33 13.13.13.13i '直接使用命令' SIOCSIFADDR: 不允许的操作SIOCSIFFLAGS: 不允许的操作[lisi@localhost /]$ sudo ifconfig ens33 13.13.13.13 '加上sudo'[sudo] lisi 的密码:[lisi@localhost /]$ ifconfig '查看ens33配置,发现已修改'ens33: flags=4163mtu 1500 inet 13.13.13.13 netmask 255.0.0.0 broadcast 13.255.255.255 inet6 fe80::413b:c9ad:e0e:1afc prefixlen 64 scopeid 0x20 ether 00:0c:29:d6:c0:8a txqueuelen 1000 (Ethernet) RX packets 4927 bytes 874213 (853.7 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 812 bytes 95433 (93.1 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0[lisi@localhost /]$ sudo -l '再次查看sudo的权限'匹配 %2$s 上 %1$s 的默认条目: !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin用户 lisi 可以在 localhost 上运行以下命令: (root) /usr/sbin/ifconfig '可用权限'[lisi@localhost /]$
4.4 查看sudo操作记录
需启用Defaults logfile配置
默认日志文件: /var/log/sudo
[root@localhost ~]# visudo '或者 vim /etc/sudoers也可以'......## Allow root to run any commands anywhereroot ALL=(ALL) ALLlisi localhost = /usr/sbin/ifconfigDefaults logfile = "/var/log/sudo" '输入设置'## Allows members of the 'sys' group to run networking, software,
在启用默认配置文件/var/log/sudo后进行的sduo操作都会在此文件内记录
[root@localhost ~]# cat /var/log/sudo Nov 14 19:24:15 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ; COMMAND=/sbin/ifconfig ens33 14.14.14.14Nov 14 19:25:00 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ; COMMAND=listNov 14 19:28:28 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ; COMMAND=/sbin/ifconfig ens33 15.15.15.15
su -l 也是切换到root的指令
五 : 开关机安全控制
5.1 调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为isetup,并设置管理员密码
备注:禁止从其他设备引导系统操作,感觉若是出现忘记root密码就可能无法从光驱去修改,所以还是谨慎操作
5.2 GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
pbkdf2 是一种算法
使用方向键来改变选择。按"e"来编辑选择的项目,或"c"作为命令提示符。所选条目将在4s中自动启动
按e的界面
按c的界面
直接就可以进入编辑,可以对其进行设置密码,以保证安全性
设置grub密码步骤:
[root@localhost ~]# cd /boot/grub2 '切换到内核/boot/grub2目录'[root@localhost grub2]# ls '查看'device.map fonts grub.cfg grubenv i386-pc locale[root@localhost grub2]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak '做操作前先把配置文件备份一份,防止做错无法恢复'[root@localhost grub2]# ls '查看'device.map fonts grub.cfg 'grub.cfg.bak' grubenv i386-pc locale '备份配置文件成功'[root@localhost grub2]# cd /etc/grub.d/ '切换到配置/etc/grub.d目录'[root@localhost grub.d]# ls '查看'00_header 01_users 20_linux_xen 30_os-prober 41_custom00_tuned 10_linux 20_ppc_terminfo 40_custom README[root@localhost grub.d]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak '把grub的头部文件备份'[root@localhost grub.d]# ls00_header 00_tuned 10_linux 20_ppc_terminfo 40_custom README00_header.bak 01_users 20_linux_xen 30_os-prober 41_custom[root@localhost grub.d]# grub2-mkpasswd-pbkdf2 '使用mkpasswd-pbkdf2算法去加密密码'输入口令: '输入要设置的密码'Reenter password: PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B19594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7 'grub.pbkdf2.sha512往后是密码,复制粘贴'[root@localhost grub.d]# vim /etc/grub.d/00_headerif [ "x${GRUB_BADRAM}" != "x" ] ; then echo "badram ${GRUB_BADRAM}"ficat << EOF '从这开始编辑'set superusers="root"password_pbkdf2 root grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B19594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7EOF:wq [root@localhost grub.d]# grub2-mkconfig -o /boot/grub2/grub.cfg '重新输出配置文件'Generating grub configuration file ...Found linux image: /boot/vmlinuz-3.10.0-693.el7.x86_64Found initrd image: /boot/initramfs-3.10.0-693.el7.x86_64.imgFound linux image: /boot/vmlinuz-0-rescue-33c124456fa34c50a98483245dfea58dFound initrd image: /boot/initramfs-0-rescue-33c124456fa34c50a98483245dfea58d.imgdone[root@localhost grub.d]# [root@localhost grub.d]# init 6 '重启'
按e或c
输入错误的用户或密码就会退出去,正确则会安全进入
六 :终端登录安全控制
6.1 限制root只在安全终端登录
安全终端配置:/etc/securetty
不想root再哪登录,就把哪个给注释掉
[root@localhost etc]# vim /etc/securetty#console '默认没有#,都可以登陆,不想让用户从consle登录就注释掉'vc/1vc/2vc/3:wq! 修改成自己想要的结果就保存退出
6.2 禁止普通用户登录
建立/etc/nologin文件 (用于维护时创建使用,设置这个文件可以方便有效防止变量出现)
删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin '禁止普通用户登录'[root@localhost etc]# find -name "nologin" ./nologin[root@localhost etc]# rm -rf /etc/nologin '删除掉/etc/nologin文件即可恢复正常'
七 : 系统弱口令检测
7.1 John the Ripper,简称为JR
一款密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
无法通过yum下载,想要的评论处+1
[root@localhost etc]# mkdir /aaa[root@localhost etc]# mount.cifs //192.168.254.10/linuxs /aaaPassword for root@//192.168.254.10/linuxs: [root@localhost etc]# cd /aaa[root@localhost aaa]# lsapr-1.4.6.tar.gz apr-util-1.4.1.tar.gz httpd-2.4.2.tar.gz john-1.8.0.tar.gz[root@localhost aaa]# tar xzvf john-1.8.0.tar.gz -C /mntjohn-1.8.0/READMEjohn-1.8.0/doc/CHANGESjohn-1.8.0/doc/CONFIG......[root@localhost aaa]# ls /mntjohn-1.8.0[root@localhost aaa]# cd /mnt/john-1.8.0/[root@localhost john-1.8.0]# lsdoc README run src 'readme 使用说明书,doc文档没啥用,src源码文件目录,需要对其进行配置安装'[root@localhost john-1.8.0]# cd run[root@localhost run]# lsascii.chr john.conf mailer password.lstdigits.chr lm_ascii.chr makechr relbench[root@localhost run]# ls /mnt/john-1.8.0/srcAFS_fmt.c common.h external.c LM_fmt.c misc.h rpp.h tty.halpha.h compiler.c external.h loader.c nonstd.c rules.c unafs.calpha.S compiler.h formats.c loader.h options.c rules.h unique.cbatch.c config.c formats.h logger.c options.h sboxes.c unshadow.cbatch.h config.h getopt.c logger.h os.h sboxes-s.c vax.hbench.c cracker.c getopt.h Makefile params.c signals.c wordlist.cbench.h cracker.h ia64.h Makefile.dep params.h signals.h wordlist.hbest.c crc32.c idle.c math.c pa-risc.h single.c x86-64.hbest.sh crc32.h idle.h math.h path.c single.h x86-64.SBF_fmt.c DES_bs_b.c inc.c MD5_fmt.c path.h sparc32.h x86-any.hBF_std.c DES_bs.c inc.h MD5_std.c ppc32alt.h sparc64.h x86-mmx.hBF_std.h DES_bs.h john.asm MD5_std.h ppc32.h status.c x86-mmx.SBSDI_fmt.c DES_fmt.c john.c memory.c ppc64alt.h status.h x86.Sc3_fmt.c DES_std.c john.com memory.h ppc64.h symlink.c x86-sse.hcharset.c DES_std.h john.h mips32.h recovery.c times.h x86-sse.Scharset.h detect.c list.c mips64.h recovery.h trip_fmt.ccommon.c dummy.c list.h misc.c rpp.c tty.c
安装这个工具包需要使用手动编译安装
[root@localhost run]# yum install gcc gcc-c++ -y '安装环境包'若是出现yum.pid被锁定,就先kill -9 pid,再去yum安装作为依赖被安装: cpp.x86_64 0:4.8.5-39.el7 glibc-devel.x86_64 0:2.17-292.el7 glibc-headers.x86_64 0:2.17-292.el7 kernel-headers.x86_64 0:3.10.0-1062.4.3.el7 libmpc.x86_64 0:1.0.1-3.el7 libstdc++-devel.x86_64 0:4.8.5-39.el7 作为依赖被升级: glibc.x86_64 0:2.17-292.el7 glibc-common.x86_64 0:2.17-292.el7 libgcc.x86_64 0:4.8.5-39.el7 libgomp.x86_64 0:4.8.5-39.el7 libstdc++.x86_64 0:4.8.5-39.el7 完毕![root@localhost run]# ls /mnt/john-1.8.0/srcAFS_fmt.c common.h external.c LM_fmt.c misc.h rpp.h tty.halpha.h compiler.c external.h loader.c nonstd.c rules.c unafs.calpha.S compiler.h formats.c loader.h options.c rules.h unique.cbatch.c config.c formats.h logger.c options.h sboxes.c unshadow.cbatch.h config.h getopt.c logger.h os.h sboxes-s.c vax.hbench.c cracker.c getopt.h Makefile params.c signals.c wordlist.cbench.h cracker.h ia64.h Makefile.dep params.h signals.h wordlist.hbest.c crc32.c idle.c math.c pa-risc.h single.c x86-64.hbest.sh crc32.h idle.h math.h path.c single.h x86-64.SBF_fmt.c DES_bs_b.c inc.c MD5_fmt.c path.h sparc32.h x86-any.hBF_std.c DES_bs.c inc.h MD5_std.c ppc32alt.h sparc64.h x86-mmx.hBF_std.h DES_bs.h john.asm MD5_std.h ppc32.h status.c x86-mmx.SBSDI_fmt.c DES_fmt.c john.c memory.c ppc64alt.h status.h x86.Sc3_fmt.c DES_std.c john.com memory.h ppc64.h symlink.c x86-sse.hcharset.c DES_std.h john.h mips32.h recovery.c times.h x86-sse.Scharset.h detect.c list.c mips64.h recovery.h trip_fmt.ccommon.c dummy.c list.h misc.c rpp.c tty.c[root@localhost run]# cd ../src[root@localhost src]# make linux-x86-64ln -sf x86-64.h arch.hmake ../run/john ../run/unshadow ../run/unafs ../run/unique \ JOHN_OBJS="DES_fmt.o DES_std.o DES_bs.o DES_bs_b.o BSDI_fmt.o MD5_fmt.o MD5_std.o BF_fmt.o BF_std.o AFS_fmt.o LM_fmt.o trip_fmt.o dummy.o batch.o bench.o charset.o common.o compiler.o config.o cracker.o crc32.o external.o formats.o getopt.o idle.o inc.o john.o list.o loader.o logger.o math.o memory.o misc.o options.o params.o path.o recovery.o rpp.o rules.o signals.o single.o status.o tty.o wordlist.o unshadow.o unafs.o unique.o c3_fmt.o x86-64.o" \ CFLAGS="-c -Wall -Wdeclaration-after-statement -O2 -fomit-frame-pointer -DHAVE_CRYPT" \ LDFLAGS="-s -lcrypt"make[1]: 进入目录"/mnt/john-1.8.0/src"......rm -f ../run/unshadowln -s john ../run/unshadowrm -f ../run/unafsln -s john ../run/unafsrm -f ../run/uniqueln -s john ../run/uniquemake[1]: 离开目录"/mnt/john-1.8.0/src"[root@localhost src]# lsdoc README run src[root@localhost john-1.8.0]# cd run[root@localhost run]# lsascii.chr john lm_ascii.chr makechr relbench uniquedigits.chr john.conf mailer 'password.lst' unafs unshadow[root@localhost run]# ./john /etc/passwd /etc/shadow '运行john去查看账号文件'Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])Press 'q' or Ctrl-C to abort, almost any other key for status '会停止一会,此时无法操作,是因为在匹配密码'123123 (root) '匹配出来了'123123 (lisi)123123 (gsy)3g 0:00:00:25 100% 2/3 0.1184g/s 364.1p/s 402.0c/s 402.0C/s leslie..bostonUse the "--show" option to display all of the cracked passwords reliablySession completed[root@localhost run]#
password.list是密码字典,john的工作原理就是将帐号文件中的密码去与密码字典匹配比对,以此来验证密码的安全级别是否高
7.2 安装JR工具
安装方法:make clean 系统类型
主程序文件为john
7.3 检测弱口令账号
获得Linux/Unix服务器的shadow文件
执行john程序,将shadow文件作为参数
7.4 密码文件的暴力破解
准备好密码字典文件,默认为password.lst
执行john程序,结合--wordlist=字典文件
八 : 网络端口扫描
8.1 NMAP
一款强大的网络扫描、安全检测工具
官方网站:http://nmap.org/
可从CentOS 7.3 光盘中安装nmap-6.40-7.el7.x86_64.rpm包
可以使用yum下载
8.2 NMAP的扫描语法
nmap 【扫描类型】 【选项】 <扫描目标...>
8.3 常用的扫描类型
-sS TCP的syn扫描
-sT 查看目标主机的TCP端口 例如:nmap -sT 目标IP地址
-sF TCP的fin的扫描
-sU 查看目标主机的UDP端口 例如:nmap -sU 目标IP地址
-sP ping扫描
--help 翻译
[root@localhost run]# nmap --helpUsage: nmap [Scan Type(s)] [Options] {target specification}使用方法:nmap[扫描类型][选项]{目标规范}TARGET SPECIFICATION:目标说明:Can pass hostnames, IP addresses, networks, etc.可以传递主机名、IP地址、网络等。Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1;例如:scanme.nmap.org, microsoft.com/24, 192.168.0.1;10.0.0-255.1-25410.0.0-255.1-254-iL: Input from list of hosts/networks-iL :来自主机/网络列表的输入-iR : Choose random targets-iR :随机选择目标--exclude : Exclude hosts/networks>:排除主机/网络--excludefile : Exclude list from file--exclude_file>:从文件中排除列表HOST DISCOVERY:主人发现:-sL: List Scan - simply list targets to scan列表扫描-简单地列出要扫描的目标-sn: Ping Scan - disable port scanPing扫描-禁用端口扫描-Pn: Treat all hosts as online -- skip host discovery-Pn:对待所有主机在线-跳过主机发现-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP或SCTP发现给定的端口-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes-PE/PP/PM: ICMP echo、时间戳和netmask请求发现探测-PO[protocol list]: IP Protocol Ping-PO[协议列表]:IP协议Ping-n/-R: Never do DNS resolution/Always resolve [default: sometimes]-n/-R:从不做DNS解析/总是解析[默认:有时]--dns-servers : Specify custom DNS servers>:指定自定义DNS服务器--system-dns: Use OS's DNS resolver--系统DNS:使用OS的DNS解析器--traceroute: Trace hop path to each host--traceroute:跟踪到每个主机的hop路径SCAN TECHNIQUES:扫描技术:-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon扫描-sU: UDP Scan- su: UDP扫描-sN/sF/sX: TCP Null, FIN, and Xmas scans-sN/sF/sX: TCP Null, FIN,和圣诞扫描--scanflags : Customize TCP scan flags--scanflags :自定义TCP扫描标志-sI : Idle scan-sI :空闲扫描-sY/sZ: SCTP INIT/COOKIE-ECHO scansSCTP INIT/COOKIE-ECHO扫描-sO: IP protocol scanIP协议扫描-b : FTP bounce scan-b :FTP反弹扫描PORT SPECIFICATION AND SCAN ORDER:端口规格和扫描顺序:-p : Only scan specified ports-p <端口范围>:只扫描指定的端口Ex: -p22;例:第22位;-p1-65535;p1 - 65535;-p U:53,111,137,T:21-25,80,139,8080,S:9T - p U: 53111137: 21 - 25日,80139年,8080年,史:9-F: Fast mode - Scan fewer ports than the default scan快速模式-扫描较少的端口比默认扫描-r: Scan ports consecutively - don't randomize-r:连续扫描端口-不要随机化--top-ports : Scan most common ports--顶部端口 :扫描 最常见的端口--port-ratio : Scan ports more common than --端口比 :扫描端口比 更常见SERVICE/VERSION DETECTION:服务/版本检测:-sV: Probe open ports to determine service/version info探测打开的端口以确定服务/版本信息--version-intensity : Set from 0 (light) to 9 (try all probes)-版本强度<级别>:设置从0(光)到9(尝试所有探测)--version-light: Limit to most likely probes (intensity 2)--版本光:限制最有可能的探测(强度2)--version-all: Try every single probe (intensity 9)--version-all:尝试每个探针(强度9)--version-trace: Show detailed version scan activity (for debugging)--版本跟踪:显示详细的版本扫描活动(用于调试)SCRIPT SCAN:脚本扫描:-sC: equivalent to --script=default-sC:相当于--script=默认值--script= : is a comma separated list of--script= : 是一个逗号分隔的列表directories, script-files or script-categories目录、脚本文件或脚本类别--script-args= : provide arguments to scripts]>:为脚本提供参数--script-args-file=filename: provide NSE script args in a file--script-args-file=filename:在文件中提供NSE脚本参数--script-trace: Show all data sent and received--脚本跟踪:显示所有发送和接收的数据--script-updatedb: Update the script database.--script-updatedb:更新脚本数据库。--script-help= : Show help about scripts.--script-help= :显示关于脚本的帮助。 is a comma separted list of script-files or 是一个逗号分隔的脚本文件列表或script-categories.script-categories。OS DETECTION:操作系统检测:-O: Enable OS detection启用操作系统检测--osscan-limit: Limit OS detection to promising targets--osscan-limit:将OS检测限制在有希望的目标上--osscan-guess: Guess OS more aggressively--osscan-guess:更大胆地猜测TIMING AND PERFORMANCE:时间和性能:Options which take
关于linux系统安全及应用是怎样的问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注行业资讯频道了解更多相关知识。