系统安全及应用
一:账号安全控制
1.1 系统账号清理
1.1.1 将非登陆用户的Shell 设置为 /sbin/nologin (设置为这个解释器,禁止用户登陆)
[root@localhost ~]# usermod -s /sbin/nologin zhangsan #将用户zhangsan 的登录解释器 设置为 /sbin/nologin [root@localhost ~]# echo "123456" | passwd --stdin zhangsan 更改用户 zhangsan 的密码 。 passwd:所有的身份验证令牌已经成功更新。
在登录界面,登录zhangsan 的账号, 发现,输入完 用户账号 和 密码 后, 又会返回到登录界面
1.1.2 锁定上期不使用的账号
usermod -L 用户名 或者 passwd -l 用户名 ##锁定用户
usermod -U 用户名 或者 passwd -u 用户名 ## 解锁用户
passwd -S 用户名 #查看用户状态
[root@localhost ~]# passwd -S zhangsan zhangsan PS 2021-06-25 0 99999 7 -1 (密码已设置,使用 SHA512 算法。) [root@localhost ~]# passwd -l zhangsan #锁定用户zhangsan 锁定用户 zhangsan 的密码 。 passwd: 操作成功 [root@localhost ~]# passwd -S zhangsan #查看用户 zhangsan 的账号状态 zhangsan LK 2021-06-25 0 99999 7 -1 (密码已被锁定。) [root@localhost ~]# usermod -U zhangsan #解锁用户 zhangsan [root@localhost ~]# passwd -S zhangsan zhangsan PS 2021-06-25 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
1.1.3 删除无用 的账号
userdel [-r] 用户名
[root@localhost ~]# userdel -r zhangsan #删除用户zhangsan , 选项 -r 表示连同它的家目录一起删除 [root@localhost ~]# id zhangsan id: zhangsan: no such user
1.1.4 锁定账号文件 /etc/passed /etc/shadow
chattr +i 文件 #锁定文件
chattr -i 文件 #解锁文件
lsattr 文件 #查看文件是否锁定
# 修改用户信息会 涉及 到 /etc/passwd 和 /etc/shadow 两个文件。将这两个文件锁定,将无法 管理用户 ,如 删除/新建用户 , 修改密码等操作
[root@localhost ~]# lsattr /etc/passwd /etc/shadow #查看/etc/passwd 和 /etc/shadow 文件是否已经锁定 ---------------- /etc/passwd ---------------- /etc/shadow [root@localhost ~]# chattr +i /etc/passwd /etc/shadow #将/etc/passwd /etc/shadow 文件锁定 [root@localhost ~]# lsattr /etc/passwd /etc/shadow ----i----------- /etc/passwd ----i----------- /etc/shadow [root@localhost ~]# id zhangsan id: zhangsan: no such user [root@localhost ~]# useradd zhangsan #创建用户失败 useradd:无法打开 /etc/passwd [root@localhost ~]# id test uid=1000(test) gid=1000(test) 组=1000(test),10(wheel) [root@localhost ~]# echo '123456' |passwd --stdin test #修改用户密码失败 更改用户 test 的密码 。 passwd: 鉴定令牌操作错误 [root@localhost ~]# userdel test #删除用户失败 userdel:无法打开 /etc/passwd [root@localhost ~]# chattr -i /etc/passwd /etc/shadow #解除 /etc/passwd 和 /etc/shadow 文件锁定 [root@localhost ~]# lsattr /etc/passwd /etc/shadow ---------------- /etc/passwd ---------------- /etc/shadow [root@localhost ~]# useradd zhangsan #解除锁定后,添加用户成功 [root@localhost ~]# id zhangsan uid=1002(zhangsan) gid=1002(zhangsan) 组=1002(zhangsan)
1.2 密码安全控制
1.2.1 设置密码有效期
(1) 对于未创建的用户。修改 新建用户配置文件 /etc/login.defs , 修改字段 PASS_MAX_DAYS 的值
[root@localhost ~]# vim /etc/login.defs #修改新用户配置文件 PASS_MAX_DAYS 30 #设置密码有效期为 30 天 [root@localhost ~]# useradd wangwu #创建信用户 [root@localhost ~]# cat /etc/shadow | grep wangwu wangwu:!!:18803:0:30:7::: # 新用户密码有效期为30 #/etc/shadow 的第 5 个字段保存 用户密码最长有效天
(2) 对于已有用户,使用 chage -M 时间 账户 #只有root 用户才可以使用 chage 命令
[root@localhost ~]# cat /etc/shadow | grep test test:密码加密数据:18803:0:99999:7::: #此时,test 用户的密码 有效期 为99999 表示永不过期 [root@localhost ~]# chage -M 30 test #设置test 用户密码有效期为30 天 [root@localhost ~]# cat /etc/shadow | grep test test:密码加密数据:18803:0:30:7::: #成功设置test 用户密码有效期为30 天
1.2.2 要求用户下一次 登录时修改密码
chage -d 0 用户名
[root@localhost ~]# cat /etc/shadow | grep wangwu wangwu:!!:18803:0:30:7::: #表示上一次修改密码时间(从1970.01.01 开始计算), [root@localhost ~]# chage -d 0 wangwu #设置用户wangwu 下一次登录时修改密码 [root@localhost ~]# cat /etc/shadow | grep wangwu wangwu:!!:0:0:30:7::: #0表示下次登录强制修改密码
1.3 历史命令限制
历史命令,可以查看到用户之前输入的命令。
history 可以查看到用户的历史命令。历史命令默认保存1000 条。保存在 用户家目录 的 .bash_history 隐藏文件中
history -c 可以清空历史命令。但是,用户家目录下的 .bash_history 文件中依旧保存着历史命令
!命令字 可以执行最近使用的该命令字开头的命令
! 加编号 可以执行该编号的历史命令
[root@localhost ~]# !ls #调用最近一次以 ls 开头的命令 lsattr /etc/passwd /etc/shadow #这个是最近一次 以 ls 开头的命令,执行这个命令 ---------------- /etc/passwd ---------------- /etc/shadow
[root@localhost opt]# ls
rh
[root@localhost opt]# history #查看历史命令
1 ls
2 cd .
3 rm -rf shadow.txt
4 ls
5 history
[root@localhost opt]# !1 #执行编号为 1 的历史命令
ls
rh
1.3.1 设置历史命令的数目
历史命令的配置 在 全局文件 /etc/profile 中 。有个 字段 HISTSIZE=1000,设置了历史命令的数目
可以修改 HISTSIZE 的值 ,或者 新添加 字段 export HISTSIZE ,并设置数值
[root@localhost opt]# vim /etc/profile #修改全局配置文件 export HISTSIZE=30 #设置历史命令数为30 [root@localhost opt]# source /etc/profile #重新加载文件
1.3.2 设置登录时自动清空历史命令
用户每次登录时,都会加载 家目录下的 .bashrc 文件。用户的历史命令保存在 用户家目录的 .bash_history 文件中
所以,我们可以在 用户家目录下的 .bashrc 文件 中设置命令 来清空 家目录 下的 .bash_history 文件
root@localhost ~]# echo "echo '' >~/.bash_history " >> ~/.bashrc
#将 echo '' > ~/.bash_history 追加重定向写入 到 ~/.bashrc 文件中
#echo '' > ~/.bash_history 表示 将空字符 覆盖重定向写入 到 ~/.bash_history 文件中
[root@localhost ~]# history
1 ifconfig
2 ping www.baidu.com
3 cd /etc/sysconfig/
4 ls
5 cd network-scripts/
6 ls
[root@localhost ~]# init 6 #重启系统
[root@localhost ~]# history #历史命令被清空
1 history
1.4 终端自动注销
修改全局配置文件 /etc/profile ,添加 字段 export TMOUT ,并设置数值(单位为秒)
[root@localhost ~]# echo "export TMOUT=600" >> /etc/profile #设置终端闲置600s 自动注销 [root@localhost ~]# source /etc/profile #重新加载文件
1.5 限制使用su 命令切换
将允许使用su 命令的用户加入到 wheel 组中
启用pam_wheel 认证模块 。 编辑 文件 /etc/pam.d/su
[root@localhost ~]# grep "wheel" /etc/group #查看wheel 组有哪些用户 wheel:x:10:test [root@localhost ~]# gpasswd -a zhangsan wheel #将zhangsna 用户加入 wheel 组中 正在将用户“zhangsan”加入到“wheel”组中 [root@localhost ~]# grep "wheel" /etc/group wheel:x:10:test,zhangsan [root@localhost ~]# vim /etc/pam.d/su #编辑 /etc/pam.d/su 文件 6// auth required pam_wheel.so use_uid #将文件 第6 行注释打开, 启用 pam_wheel 认证模块 [lisi@localhost ~]$ whoami lisi [lisi@localhost ~]$ su - root #lisi 不在 wheel 组中,所以切换失败 密码: su: 拒绝权限 [lisi@localhost ~]$ [zhangsan@localhost ~]$ whoami zhangsan [zhangsan@localhost ~]$ su - root #zhangsan 在wheel 组中 ,所以 可以切换 密码: 上一次登录:五 6月 25 10:19:00 CST 2021从 192.168.23.1pts/0 上 最后一次失败的登录:五 6月 25 10:46:41 CST 2021pts/0 上 最有一次成功登录后有 1 次失败的登录尝试。 [root@localhost ~]#
su 的操作记录会记录在 安全日志文件 /var/log/secure 中
1.6 配置sudo 授权
sudo 命令可以让普通用户 提权, 执行高权限用户 才可以执行的命令
[zhangsan@localhost opt]$ ls -ld #查看/opt/目录权限,发现只有 root 用户有写(w)的权限 drwxr-xr-x. 3 root root 34 6月 25 10:41 . [zhangsan@localhost opt]$ whoami zhangsan [zhangsan@localhost opt]$ touch abc.txt #因为zhangsan 用户没有写(w)的权限,所以写入失败 touch: 无法创建"abc.txt": 权限不够 [zhangsan@localhost opt]$ sudo touch abc.txt #提权,在执行写入 [sudo] zhangsan 的密码: #输入zhangsan 用户密码 [zhangsan@localhost opt]$ ls abc.txt rh #写入成功
1.6.1配置sudo 授权
vim /etc/sudoers 或者 visudo 编辑sudo 的配置文件 (注,vim /etc/sudoers 保存需要强制保存 :wq!)
格式:
用户 主机名=命令程序列表
用户 主机名=(使用哪个用户的权限) 命令程序列表
[lisi@localhost ~]$ sudo ifconfig ens33:1 192.168.100.100/24 #lisi 用户提权使用ifconfig 命令失败
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] lisi 的密码:
对不起,用户 lisi 无权以 root 的身份在 localhost.localdomain 上执行 /sbin/ifconfig ens33:1 192.168.100.100/24。
[lisi@localhost ~]$ exit
登出
[root@localhost ~]# vim /etc/sudoers #修改配置文件 /etc/sudoers 或者 visudo
lisi ALL=/usr/sbin/* #允许lisi 用户在所有主机 使用 /usr/sbin/下的所有命令
[root@localhost ~]# su - lisi
[lisi@localhost ~]$ sudo ifconfig ens33:1 192.168.100.100/24 #提权使用ifconfig 命令成功
[sudo] lisi 的密码:
[lisi@localhost ~]$ ifconfig ens33:1
ens33:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.100.100 netmask 255.255.255.0 broadcast 192.168.100.255
ether 00:0c:29:e8:7a:50 txqueuelen 1000 (Ethernet)
1.6.2 /etc/sudoers 文件的编辑语法格式
(1)如果主机没有设置过主机名,可以用localhost 表示本机 。有配置过的则用实际的主机名
(2) 可以使用通配符 * ,取反符号 !。
lisi centos=/usr/sbin/*,!/usr/sbin/ifconfig ,表示lisi 用户可以在 主机名为 centos 的主机上提权使用/usr/sbin/ 下的所有命令,除了 /usr/sbin/ifconfig 命令
(3) ALL 代表所有。
ALL ALL=ALL ,表示所有用户在所有主机可以提权使用所有命令
(4) 用% 表示组。
%wheel 表示wheel 组
(5) 可以使用NOPASSWD: 来免去提权时的密码输入
%wheel ALL=NOPASSWD: /usr/sbin/* #wheel 组用户可以在所有主机上提权使用 /usr/sbin/ 下的所有命令,并且不用输入密码
(6) 支持使用关键字设置和调用别名 ,但是 别名必须大写。关键字 User_Alias、Host_Alias, Cmnd_Alias,分别表示 用户,主机,命令列表
User_Alias USERS=zhangsan,lisi #设置别名,USERS表示 用户zhangsan,lisi
Host_Alias HOSTS=localhost,centos #HOSTS 表示 主机名 localhost ,centos
Cmnd_Alias CMNDS=/usr/sbin/ifconfig,/usr/sbin/useradd #CMNDS 表示 命令 /usr/sbin/ifconfig 和 /usr/sbin/useradd
USERS HOSTS=CMNDS #调用别名。
#允许用户zhangsan,lisi ,在本机 和 主机名centos 主机上允许 提权使用命令 /usr/sbin/ifconfig 和命令 /usr/sbin/useradd
1.6.3 查看 sudo -l 查看用户的提权
[zhangsan@localhost ~]$ sudo -l
[sudo] zhangsan 的密码:
用户 zhangsan 可以在 localhost 上运行以下命令:
(ALL) ALL
1.6.4 查看sudo 操作记录
sudo 的默认日志文件 /var/log/sudo
添加字段 Defaults logfile="/var/log/sudo" ,开启日志
二:系统引导和控制登录
2.1 开关机安全控制
2.1.1 调整BIOS 引导设置
(1) 将第一引导设备设置为当前系统所在硬盘
(2) 禁止从其他设备(光盘,U盘,网络)引导设备
(3)将安全级别设为setup ,并设置管理员密码
2.1.2 GRUB 限制
重启系统时,按 e 直接就可以进入GRUB 菜单。需要进行限制,设置密码
[root@localhost ~]# grub2-mkpasswd-pbkdf2 #设置密码 输入口令: Reenter password: PBKDF2 hash of your password is grub.pbkdf2.略过,这是一长串的密码加密 [root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.bak [root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak #备份这两个文件 [root@localhost ~]# vim /etc/grub.d/00_header #编辑文件 cat << EOF set superusers="root" password_pbkdf2 root grub.pbkdf2...... EOF [root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
重启系统,进入grub 菜单需要输入账户和密码
2.2 终端登录控制
2.2.1 限制root 只在安全终端登录
安全终端配置 /etc/securetty
[root@localhost logs]# vim /etc/securetty #编辑配置文件,将禁止root 登录的终端注释。如注释 tty2,就禁止root在tty1 终端登录 tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9
2.2.1 禁止普通用户登录
建立 /etc/nologin 文件。 建立后,所有的普通用户将无法登录。删除文件后,恢复正常。或者重启系统后,/etc/nologin 文件自动消失
[root@localhost ~]# touch /etc/nologin
三:网络端口扫描
3.1 NMAP 工具扫描
(1) 下载软件包
[root@promote ~]# rpm -qa |grep nmap nmap-6.40-7.el7.x86_64 #如果没有安装此软件包,则下载 nmap-ncat-6.40-19.el7.x86_64 [root@promote ~]# yum -y install nmap
(2) 使用nmap 工具
nmap命令常用的选项和扫描类型
-p:指定扫描的端口.
-n :禁用反向DNS解析(以加快扫描速度)。
-sS: TCP的SYN扫描(半开扫描) ,只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT : TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型) ,用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并末开放。
-sF: TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU: UDP扫描,探测目标主机提供哪些UDP服务, UDP扫描的速度会比较慢
-sP: ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-P0 :跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
[root@promote ~]# nmap -p 80 192.168.23.0/24 #查看192.168.23.0 网段,开发80 端口的有哪些 Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 16:59 CST Nmap scan report for promote.ldns.rate.local (192.168.23.1) #主机iP 地址 Host is up (0.00015s latency). PORT STATE SERVICE 80/tcp filtered http MAC Address: 00:50:56:C0:00:08 (VMware) #主机mac地址 [root@promote ~]# nmap -n -sP 192.168.23.0/24 # 快速扫描查看192.168.23.0 网段哪些主机可以ping通 Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 16:59 CST Nmap scan report for 192.168.23.1 Host is up (0.000069s latency). MAC Address: 00:50:56:C0:00:08 (VMware) Nmap scan report for 192.168.23.2 Host is up (0.000034s latency). MAC Address: 00:50:56:ED:B2:47 (VMware) Nmap scan report for 192.168.23.254 Host is up (0.000043s latency). MAC Address: 00:50:56:EB:E6:DF (VMware) Nmap scan report for 192.168.23.10 Host is up. Nmap done: 256 IP addresses (4 hosts up) scanned in 1.96 seconds [root@promote ~]# nmap -n -sT 192.168.23.10 # 快速扫描目标 主机开放的 tcp 端口 Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 17:00 CST Nmap scan report for 192.168.23.10 Host is up (0.00036s latency). Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 111/tcp open rpcbind Nmap done: 1 IP address (1 host up) scanned in 0.04 seconds
3.2 netstat 命令
netstat命令常用选项:
-a :显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n :以数字的形式显示相关的主机地址、端口等信息。
-t :查看TCP相关的信息。
-u :显示UDP协议相关的信息。
-p :显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r :显示路由表信息。
-l :显示处于监听状态的网络连接及端口信息。
-i : 显示网卡接口信息
netstat -natp #查看正在运行使用tcp 协议的相关信息
netstat -naup #查看正在运行使用的 udp 协议 相关信息
netstat -na | more # more 查看所有开放的端口信息
netstat -i 或者 netstat -ie #显示网卡接口信息。
总结:
要保护root 账号,限制普通用户。
账户密码的设置应该复杂,英文,数字,大小写,特殊字符等,都应该有,防止暴力破解
管理普通账号,清理长期不使用的,无用的账号,清理锁定陌生账号。
授予权限要谨慎,不要给普通用户超出范围的权限。
清理历史命令,防止泄露数据。如密码等
能够对系统造成威胁的操作,要设置保护,如进入grub 菜单等
只开放必要端口和业务端口,对于非必要端口,不使用端口,统统关闭
原文地址:https://blog.csdn.net/eagle89/article/details/145302702
免责声明:本站文章内容转载自网络资源,如侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!