网络运维与网络安全 学习笔记2023.12.5

网络运维与网络安全 学习笔记 第三十五天

今日目标

su用户切换、sudo命令提权、部署动态Web应用

数据库安全加固、Web安全加固

网络监控基础、配置zabbix主控机、配置zabbix被控机

管理监控项、监控结果分析

su用户切换

su机制介绍及用法

Linux安全基线

指的是使Linux各项配置都符合安全要求的基本标准

账号/密码:口令复杂度/wheel组

SSH登录控制:禁root/改端口/密码/密钥验证··

root@svr203\~\]# vim /etc/ssh/sshd_configPermitRootLogin no //此行中的yes改no，可以禁止root远程登录 \[root@svr203\~\]# systemctl restart sshd //重启远程服务 **su机制介绍** Substitute User，切换/替换用户 root切换为任何可登录的用户，无需密码 普通用户切换至其他用户时，需要验证目标用户的登录密码 不指定目标用户时，默认切换为root **su基本用法** 切换到新用户的登录环境 执行su -用户名进入新的用户环境 执行exit返回原来的用户 \[root@svr203\~\]# su - student //切换为student，其中--表示登录 ... ... \[student@svr203 \~\]$ pwd //以student身份执行任务 /home/student \[student@svr203 \~\]$ exit //退出切换环境 注销 \[root@svr203\~\]# //已返回到原来的环境 #### su控制及跟踪 **禁止滥用su切换权限** 通常情况下，任何用户都被允许使用su切换 openEuler中已启用wheel组限制 除了root以外，只有加入wheel组的用户才被允许使用su切换 其他人使用su切换时，会提示拒绝权限 \[root@svr203\~\]# vim /etc/pam.d/su... .- auth requiredpam_wheel.so use_uid //删除此行开头的#注释符号 \[student@svr203\~\]$ su - 密码: su:拒绝权限 **su操作日志** 安全日志/var/log/secure 文件 记录了用户登录、切换相关的事件消息 查找su-l关键词，可以找到与使用su切换用户相关的消息 \[root@svr203\~\]# less /var/log/secure Apr 2510:34:15svr203 su: pam_unix(su-l:session): session opened for user studentby root(uid=0) Apr 25 i0:34:26svr203 su: pam_succeed_if(su-l:auth): requirement "uid\>= 1000"not met by user "root" Apr2510:38:07svr203 su: pam_unix(su-l:session): session closed for user student ### sudo命令提权 #### sudo授权及使用 **sudo机制介绍** Super doing，执行管理员授权的命令 允许授权用户代替管理员（或其他用户）来完成预先授权的命令 授权用户、授权命令需要提前配置 通过sudo执行命令时，只验证自己的密码(5分钟内不重复验证) **配置sudo授权** 使用visudo专用工具 用户名本机可用主机名列表=(用户身份)授权命令列表 不指定用户身份时，缺省为root \[root@svr203\~\]# visudo ... %wheelALL =(ALL) ALL //允许wheel组用户使用任何命令(行首加#号可取消) zx ALL= /usr/bin/nmcli,/usr/ bin/nmtui //允许用户zx使用nmcli、nmtui管理网络 zy ALL=ALL//允许用户zy使用所有命令 **sudo基本用法** 查看自己的sudo授权 sudo -l \[zy@svr203\~\]$ sudo -l 我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点: #1)尊重别人的隐私。 #2)输入前要先考虑(后果和风险)。 #3)权力越大,责任越大。 \[sudo\] zy的密码://初次使用时，验证用户zy的密码(5分钟内不再验证)用户zy可以在svr203上运行以下命令: (root)ALL 执行管理员已允许提权的命令 sudo命令行 \[zy@svr203\~\]$ mkdir /zydir//正常使用，无权在/下创建子目录 mkdir:无法创建目录"/zydir":权限不够 \[zy@svr203 \~\]$ sudo mkdir /zydir //sudo方式使用，成功在/下创建子目录 \[zy @svr203\~\]$ ls -ld /zydir drwxr-Xr-x. 2 root root 64月25 11:20/zydir #### sudo日志跟踪 **sudo操作日志** 日志审计功能默认不开启 如果需要，可以手动打开sudo操作日志 \[root@svr203\~\]# visudo ... Defaults logfile=/var/log/sudo //添加此行，要求记录sudo操作 \[root@svr203\~\]# cat /var/log/sudo//使用过sudo后，会记录在这个文件中 Apr2511:34:52:zy:TTY=pts/1; PWD=/home/zy; USER=root ; COMMAND=list Apr 25 11:34:59:zy: TTY=pts/1; PWD=/home/zy; USER=root ; COMMAND=/bin/touch/zyfile ### 部署动态Web应用 #### 部署DZ论坛代码 **论坛系统概述** Forum，网络论坛 指的是Internet上的一种电子信息服务系统 提供一块公共电子白板，每个用户都可以在上面发布信息、提出看法 也称为BBS，Bulletin Board System 关于Discuz!论坛/社区系统 腾讯旗下北京康盛公司Comsenz出品 使用PHP语言编写，支持MySQL等多种数据库 免费提供源代码，用于学习、测试;商业站点需购买授权许可 **确认LAMP环境** LAMP平台要确保已正常运行 主要是httpd、mariadb服务，必要时可以重启一下 \[root@svr203 \~\]# systemctl restart httpd mariadb //重启web和数据库 若无特别需要,建议停用防火墙、停用SELinux保护 \[root@svr203\~\]# systemctl disable firewalld --now //停用防火墙 \[root@svr203 \~\]# setenforce 0 //停用SELinux **部署Discuz!论坛代码** 下载 Discuz!论坛程序包，部署为网站目录 将upload目录上传到Web服务器（比如，作为bbs 网页子目录) \[root@svr203\~\]# ls /var/www/html/bbs/ //确认结果 admin.php configfavicon.ico index.php misc.php search.php api connect.php forum.php install plugin.php source ... ... **访问Discuz!安装页面** 从浏览器访问http://服务器地址/bbs/，可看到安装页面 #### 安装DZ论坛系统 **搞定目录权限** 1.使用chown将相关目录的所有者改为apache 2.特别提示:还需要关闭SELinux保护机制 **正确设置数据库连接、管理员密码** MariaDB数据库的默认管理员为root，密码为空 **成功安装后，页面底部会出现相应提示** ### 数据库安全加固 #### 数据库服务配置 **LAMP+Discuz!环境部署** 网站+数据库"速成版"环境 1.安装httpd、mariadb-server、php、php-mysql 2.启用httpd 服务、mariadb服务 3.基于上述LAMP默认环境部署Discuz_X3.4_SC_UTF8.zip 论坛系统 ――其实，互联网中相当一部分网站就是类似这种的"默认"环境 **mysql_secure_installation** 默认设置很方便，也很不安全 需要为MariaDB/MySQL的test库、空密码等默认设置填坑 注意:生产环境建议运行此脚本，并仔细完成所有安全优化操作 \[root@svr203 \~\]# mysql_secure_installation **Web前台连数据库** 指定前端系统如何连接数据库 服务器地址、数据库用户名、连接密码、数据库名 最好改用非root用户(需提前授权) \[root@svr203\~\]# vim /var/www/html/bbs/config/config_global.php ... ... $_config\['db'\]\['1'\]\['dbhost'\]='localhost'; //数据库服务器地址 $_config\[db'\]1\]\[dbuser'\] ='root'; //数据库用户名 $_config\['db'\]1\]\[dbpw'\]='pwd@1234"; //数据库密码 $_config\['db\]1\]\['dbname'\]='ultrax'; //数据库名称 **Web后台连数据库** 指定后端系统如何连接数据库 可以与前端使用同一套数据库用户名/密码 也可以另外准备一套账号 \[root@svr203\~\]# vim /var/www/html/bbs/config/config_ucenter.php ... ... define('UC_DBHOST', ' localhost'); //数据库服务器地址 define('UC_DBUSER',' root'); //数据库用户名 define('UC_DBPW", 'pwd@1234'); //数据库密码 define('UC_DBNAME, ' ultrax'); //数据库名称 **控制配置文件的权限** 默认所有人有r读权限，非必要、应去除\[ \[root@svr203 bbs\]# chmod o-r config/config_global.php \[root@svr203 bbs\]# chmod o-r config/config_ucenter.php \[root@svr203 bbs\]# ls -lh config/config_global.php -rw-r-----. 1 apache apache 4.8K 6月15 14:49 config/config_global.php -rw-r-----. 1 apache apache 540 6月1515:24 config/config_ucenter.php ### Web安全加固 #### Web配置调整 **httpd.conf常规优化** **理解常规配置** DocumentRoot:设置本网站的网页根目录 Listen:设置在本机监听Web服务的IP地址及端口 DirectoryIndex:设置访问网站目录时的默认网页文件名 ServerName:设置本网站注册的DNS名称(即完整域名) \[root@svr203\~\]# vim /etc/httpd/conf/httpd.conf ... ... DocumentRoot "/var/www/html" Listen 80 Directorylndex index.html... //上述内容是默认配置 **隐藏版本信息** 通过浏览器/扫描工具很容易获取Web服务端的软件版本信息 通过隐藏版本细节，可以提高侦察难度 \[root@svr203\~\]# vim /etc/httpd/conf.d/sec1.conf //新建一个配置文件 ServerTokens Prod //HTTP响应只显示产品名(默认为Full，显示全部) ServerSignature off //服务器信息不显示签名 ... \[root@svr203\~\]# systemctl restart httpd //重启服务 \[root@svr203\~\]# nmap -sV -p 80 localhost //使用nmap扫描本机，只显示Apache httpd **保护网页目录** 默认配置的httpd允许自动列出目录下所有资源 针对目录启用"Options -Indexes"可以关闭目录浏览功能 \[root@svr203\~\]# vim /etc/httpd/conf.d/sec2.conf \ //针对特定目录 Options -Indexes //添加-号表示禁用此项功能 \[root@svr203\~\]# systemctl restart httpd //重启服务 ### 网络监控基础 **开源监控方案** 拥有集成化、自动化、Web管理等优势 监控结果直观、支持报警插件 ... ... **zabbix体系架构** 采集数据 展示结果 触发告警  **准备网站、数据库支持** 一台openEuler 20.03主机 主机名: svr203.tedu.cn，IP地址:192.168.10.203/24 安装并启用LAMP网站平台 \[root@svr203\~\]# vim /etc/hosts //添加本地域名记录 192.168.10.203 svr203.tedu.cn \[root@svr203 \~\]# yum -y install /root/lamp_oe1_pkgs/\*.rpm //安装预备好的离线包 //安装LAMP组件 \[root@svr203\~\]# systemctl restart httpd mariadb php-fpm //开启服务 \[root@svr203\~j# systemctl enable httpd mariadb php-fpm //设置开机自运行 **安全策略调整** **禁用防火墙** \[root@svr203\~\]# systemctl stop firewalld //立即停止防火墙 \[root@svr203\~\]# systemctl disable firewalld //禁止开机自动运行 **禁用SELinux机制** \[root@svr203\~\]# setenforce 0 //使SELinux失效 \[root@svr203\~\]# vim /etc/selinux/config //开机时禁用 SELINUX=disabled //修改原有的SELINUX=enforcing行 ### 配置zabbix主控机 #### 安装zabbix主控端软件 **安装主控端组件** 在线安装可参考官方文档 https://www.zabbix.com/documentation/5.0/zh/manual 国外源，可能会比较慢 离线安装可从教学资源中获取 比如zabbix5o_pkgs目录，将其上传至主控机的/root/目录下 \[root@svr203\~\]# yum -y install /root/zabbix50_pkgs/*.rpm //安装包 \[root@svr203\~\]# yum list "zabbix* " //检查安装结果 ... 已安装的软件包 zabbix-agent.x86_64 5.0.11-1.el8 //被控端 zabbix-apache-conf.noarch 5.0.11-1.el8 //网站配置文件 zabbix-get.x86_64 5.0.11-1.el8 //检测工具(可选) zabbix-server-mysql.x86_64 5.0.11-1.el8 //主控端 zabbix-web.noarch 5.0.11-1.el8 //web控制界面 zabbix-web-deps.x86_64 5.0.11-1.el8 //PHP协作配置文件 zabbix-web-mysql.noarch 5.0.11-1.el8 //数据库支持 #### 安装zabbix网页控制台 配置Web界面 安装好zabbix包以后，先重启一次httpd服务 \[root@svr203\~\]# systemctl restart httpd//更新zabbix的网页配置 访问http://192.168.10.203/zabbix，单击"Next step" 若提示时区未设置，要先正确设置时区，再刷新网页 修改/etc/httpd/conf.d/zabbix.conf配置 启用时区配置（删除行首;号)，并正确设置时区值 \[ root@svr203 \~\]# vim /etc/php-fpm.d/zabbix.conf ... ... php_value\[date.timezone\]=Asia/Shanghai //时区设为亚洲/上海 \[root@svr203\~\]# systemctl restart php-fpm //重启Web以更新服务配置 若提示拒绝连接数据库，要先准备库及账号，再刷新网页 为zabbix建立专用库及授权用户，根据提示填写网页 \[root@svr203\~\]# mysql -u root create database zabbix character set utf8 collate utf8_bin; //建库 grant all on zabbix.\* to zabbix@localhost identified by 'zbx@1234"; //建用户、设置密码 quit; 若提示table ... ... not found，则要先导入初始库，再刷新网页ZABBIX 导入zabbix-server-mysql提供的初始数据 通过管道\|操作交给mysql命令，导入到zabbix库中 \[root@svr203\~\]# zcat /usr/share/doc/zabbix-server-mysql\*/create.sql.gz\| mysql -uzabbix -pzbx@1234 zabbix 完成初始化以后，可以看到登录界面 #### 启用zabbix主控服务 要告知zabbix-server如何访问数据库 \[root@svr203\~\]# vim /etc/zabbix/zabbix_server.conf DBName=zabbix //数据库名 DBUser=zabbix //数据库用户 DBPassword=zbx@1234 //连接密码，注意删除行首#号 然后，再启动zabbix-server服务 \[root@svr203\~\]# systemctl restart zabbix-server //启动主控端服务 \[root@svr203 \~\]# systemctl enable zabbix-server //设置开机自运行 #### 部署zabbix被控机 **安装被控端组件** 被监控的Linux主机需要部署zabbix-agent代理程序 zabbix主控机，也可以作为被控机 前一节实际上已经安装好了 \[ root@svr204\~\]# yum -y install /root/zabbix50_pkgs/zabbix-agent\*.rpm //安装agent代理包 \[ root@svr204\~\]# yum list "zabbix\*" //检查安装结果 已安装的软件包 zabbix-agent.x86_64 5.0.11-1.el8 @@commandline **启用zabbix-agent被控服务** 调整监听设置,允许主控机来采集数据 \[root@svr204\~\]# vim /etc/zabbix/zabbix_agentd.conf ... Server=127.0.0.1,192.168.10.203 //添加主控机的地址 ServerActive=127.0.0.1,192.168.10.203 //添加主控机的地址 Hostname=svr204.edu.cn //本机的主机名 启用zabbix-agent服务 \[root@svr204\~\]# systemctl restart zabbix-agent //启动服务 \[root@svr204\~\]# systemctl enable zabbix-agent //设置开机自运行 ### 管理监控项 #### 管理被控机 **用户登录及账号控制** 登入zabbix控制台http://192.168.10.203/zabbix/ 默认管理员账号Admin，密码是zabbix 单击左侧栏User settings，将界面语言修改为Chinese(zh_CN) **管理被控机** Zabbix导航边栏→配置→主机 可添加新的被控机:指定主机名、可见名、agent接口地址 可管理现有被控机:停用/启用、修改、选监控模板、....... #### 管理被控机的监控项 **设置监控项** 单击被控主机右侧的"监控项"，可以管理监控项 关联了OS Linux模板时，会自动添加大量监控项 比如针对CPU、内存、登录用户数、运行任务数等指标的监控 zabbix自动发现,或管理员手动添加新监控项 网卡入站流量net.if.in\[ens33

网卡出站流量net.if.out[ens33]

监控结果分析

使用仪表板

监测→仪表板,用于集中展现监控指标、报告问题

仪表板展示的数据块可以编辑

查看监控图形

监测→主机→xx→图形,查看主机的监控结果

修复中文显示

root@svr203 \~ \]# yum -y install wqy-zenhei-fonts//安装中文字体(文泉驿-正黑) \[root@svr203 \~ \]# cp /usr/share/fonts/wqy-zenhei/wqy-zenhei.ttc /usr/share/zabbix/assets/fonts/graphfont.ttf//替换掉默认字体cp:是否覆盖"/usr/share/zabbix/assets/fonts/graphfont.ttf"? y  **创建监控图形** 选中被监控主机→图形→创建图形 比如"网卡流量分析"图，整合入站/出站流量监控项