系统账号清理
将非登录用户的Shell设为 /sbin/nologin
锁定长期不使用账号
删除无用账号
锁定账号文件 passwd、shadow
指定用户的登录shell
grep "/sbin/nologin$" /etc/passwd
usermod -s /sbin/nologin lisi //不开登录用户
usermod -s /bin/bash lisi //可以登录用户
#账号锁住
usermod -L zhangsan #锁定账号
passwd -S zhangsan # 查看账号状态
passwd -l zhangsan 锁定用户账户
#解锁账号
usermod -U zhangsan #解锁账号
passwd -u zhangsan #解锁账号
删除无用账号
userdel -r 用户名
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方 法。使用 chattr 命令,分别结合"+i""-i"选项来锁定、解锁文件,使用 lsattr 命令可以查看文 件锁定情况
#锁定文件、解锁文件
chattr +i /etc/passwd /etc/shadow #锁定文件(锁住passwd无法创建用户)
lsattr /etc/passwd /etc/shadow #查看为锁定的状
chattr -i /etc/passwd /etc/shadow #解锁文件
lsattr /etc/passwd /etc/shadow #查看为解锁的状态
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
设置密码有效期
vim /etc/login.defs #适用于新建的用户
PASS_MAX_DAYS 30 #设置密码有效期30天 默认99999 30 90 60 天很少
PASS_MIN_DAYS 0 #表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是 0
PASS_MIN_LEN 5 #密码最小长度,对于root无效 18位包含密码复杂性 大写 、小写、字符、数字(指定密码的最小长度,默认不小于 5 位,但是现在用户登录时验证已经被 PAM 模块取代,所以这个选项并不生效。)
#chage 命令用于设置密码时限
用法:chage [选项] 登录
-d, --lastday 最近日期 将最近一次密码设置时间设为"最近日期"
-E, --expiredate 过期日期 将帐户过期时间设为"过期日期"
-I, --inactive INACITVE 过期 INACTIVE 天数后,设定密码为失效状态
-l, --list 显示帐户年龄信息
-m, --mindays 最小天数 将两次改变密码之间相距的最小天数设为"最小天数"
-M, --maxdays 最大天数 将两次改变密码之间相距的最大天数设为"最大天数"
-R, --root CHROOT_DIR chroot 到的目录
-W, --warndays 警告天数 将过期警告天数设为"警告天数"
chage -M 30 lisi #适用于已有的 lisi 用户
cat /etc/shadow | grep lisi
chage -l lisi
要求用户下次登录时修改密码
chage -d 0 lisi #强制要求用户zhangsan下次登录时重设密码
cat /etc/shadow | grep lisi
chage -d 99999 lisi #不被强制要求修改密码
创建新的用户账号
命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
闲置600s后自动注销
vim /etc/profile
1、直接把history条数改为10(默认1000) HISTSIZE=10
2、 在最后添加 export HISTSIZE=10 (登入时显示10条历史)
3、刷新历史****source /etc/profile //刷新history
用于新登录用户
46 HISTSIZE=18
export HISTSIZE=15 #适用于当前用户
验证history 中保留15条就前面记录将删除
永久清空history
1、 直接 echo " " > /root/.bash_history
2、vim /root/.bashrc
G到行位,添加****echo " " > /root/.bash_history
3、vim /root/.bash_logout (登出时)
G到行尾,添加 history -c
临时清除
history -c
终端自动退出
1、 vim /etc/profile
添加 export TMOUNT=30**//30秒没动,自动登出****(适用于新登录用户)**
2、 export TMOUT=30 //30秒没动,自动登出(适用于当前用户)
export TMOUT=0 //取消自动登出
.bash_profile "文件中的命令将在该用户每次登录时 被执行
.bashrc"文件中的命令会在每次加载"/bin/bash
如果需要每个用户登出时 都清除输入的命令历史记录,可以在**/etc/skel/.bash_logout**文件中添加下面这行rm -f $HOME/.bash_history 。这样,当用户每次注销时,.bash_history文件都会被删除.
终端自动注销:等待超时,自动登出
新登录用户
当前用户
限制su命令用户
默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root) 的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel 认证模块,只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
在/etc/pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/su
set nu 序号
2 auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是运行所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第一行第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
root@localhost ~]# gpasswd -a zhangsan wheel #添加授权用户 zhangsan
正在将用户"zhangsan"加入到"wheel"组中
[root@localhost ~]# grep wheel /etc/group #确认 wheel 组成员
wheel:x:10:zhangsan
[root@localhost ~]# vim /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid #去掉此行开头的 # 号
启用 pam_wheel 认证以后,未加入到 wheel 组内的其他用户将无法使用 su 命令,尝试进行切换时将提示"拒绝权限",从而将切换用户的权限控制在最小范围内。
普通用户切换登录测试验证
使用 su 命令切换用户的操作将会记录到安全日志**/var/log/secure** 文件中,可以根据需要进行查看。 tail -f /var/log/secure
PAM安全认证
Linux-PAM,是linux可插拔认证模块,是一套可定制、 可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/1ib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的。(通过配置文件调用动态函数库)
ls /lib64/security
PAM认证原理:
1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so;
2.PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于
/lib64/security/下)进行安全认证。
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM 认证,可以用ls命令进行查看/etc/pam.d/
例:查看su是否支持PAM模块认证
ls /ect/pam.d |grep su
PAM的配置文件 中的每一行都是一个独立的认证过程 ,它们按从上往下 的顺序依次由PAM模块调用,一共有四列 vim /etc/pam.d/su
第一列代表PAM认证模块类型
auth: 对用户身份进行识别,如提示输入密码,判断是否为root。
account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。
password: 使用用户信息来更新数据,如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块 ,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数 ,这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个,之间用空格分隔开
控制标记的补充说明:
required:表示该行以及所涉及模块的成功是用户通过鉴别的[必要条件]。换句话说,只有当对应于应用程序的所有带
required:标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带requi red标记的模块出现了错误,PAM并不立
刻将错误消息返回给应用程序,而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。反正说白了,就是必须将所有的此类型模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop-样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与 required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败 就不再执行堆中后面的其他模块,并且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一些。
sufficient:表示该行以及所涉及模块验证成功是用户通过鉴别的[充分条件]。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite或者required控制标志也是一 样。当标记为sufficient的模块失败时,sufficient模块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不会导致整个验证失败,但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重。
optional:他表示即便该行所涉及的模块验证失败用户仍能通过认证。在PAM体系中,带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败,也允许用户享受应用程序提供的服务。使用该标志,PAM框架会忽略这个模块产生的验证错误,继续顺序执行下一个层叠模块。
每一行都是一个独立的认证过程;
每一行可以区分为三个字段: 认证类型 ; 控制类型 ; PAM 模块及其参数
PAM 认证类型包括四种:
认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
密码管理(password management):主要是用来修改用户的密码;
会话管理(session management):主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1)required 验证失败时仍然继续,但返回 Fail
2)requisite 验证失败则立即结束整个验证过程,返回 Fail
3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
4)optional 不用于验证,只是显示信息(通常用于 session 类型)
面试案例
required:前面回答的不好,面试官说没关系,你继续回答,最后面试官回答,不好意思你不适合我们这里工作
requisite:你在我这边不通过,只要有一个回答不上来,你就不通过
sufficient:我后面有关系,如果回答上来就直接通过,如果回答不上来,没关系,后面继续找人回答,只要我答出来,就让我过
PAM实例:
用户1 用户2 用户3 用户4
auth required 模块1 pass fail pass pass //第一个成功与否都会忽略,继续进行
auth sufficient 模块2 pass pass fail pass
auth required 模块3 pass pass pass fail //第一个成功就成功; 第一个失败就失败
结果 pass fail pass pass
sudo机制提升权限 (管理员给什么权限,你就有什么权限)
系统管理员可以为用户分配执行特定命令的权限,而无需直接给出root密码,这增强了系统的安全性和审计能力。
使用sudo机制提升
visudo
vim /etc/sudoers (此文件的默认权限为440, 保存退出时必须执行" :wq! "命令来强制操作)
语法格式:
用户 主机名 = 命令程序列表
用户 主机名 = (用户)命令程序列表
用户 :直接授权指定的用户名,或采用"%组名"的形式(授权一个组的所有用户)。
主机名 :使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机
(用户) :用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令.
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号" , "进行分隔。ALL则代表系统中的所有命令
示例
Tom ALL=/sbin/ifconfig (ALL代表所有主机)
Jerry localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff
#通配符"*"表示所有、取反符号"!"表示排除 优先级最高的是取反符号 "!"
%wheel ALL=NOPASSWD: ALL
#表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL= (root) NOPASSWD: /bin/ki1l, /usr/bin/killall
gpasswd -M lisi wheel ##李四加入wheel组
sudo [参数选项] 命令
-l 列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;
-v 验证用户的时间戳;如果用户运行sudo 后,输入用户的密码后,在短时间内可以不用输入口令来直接进行sudo 操作;用-v 可以跟踪最新的时间戳;
-u 指定以以某个用户执行特定操作;
-k 删除时间戳,下一个sudo 命令要求用求提供密码;
案列一
lisi 用户可以使用useradd usermod
需求:lisi root用户下的权限 useradd usermod
visudo
lisi ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel
如 lisi ALL=(root) NOPASSWD: /usr/sbin/useradd,PASSWD: /usr/sbin/userdel #前面不需要输入密码 ,后面需要输入密码
测试
su - lisi
[wangliu@kgc root]$ sudo /usr/sbin/useradd zhangsan (创建新用户)
[sudo] lisi 的密码:
[wangliu@kgc root]$ tail -2 /etc/passwd
zhangsan:x:1005:1005::/home/zhangsan:/bin/bash
lisi:x:1006:1006::/home/lisi:/bin/bash
sudo -l #查看当前用户获得哪些sudo授权
案列二 用户可以临时创建网卡
visudo
yu Centos7-1=(root) NOPASSWD: /usr/sbin/ifconfig
验证2
su - yu
[Tom@kgc root]** **sudo ifconfig** **\[Tom@kgc root\]sudo ifconfig ens33:0 192.168.1.11/24
#初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期间不再重复验证密码。
sudo - l #查看当前用户获得哪些sudo授权
用户别名案例
当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、 主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。
#查看组下面的用户
grep "wheel" /etc/group
用户别名的语法格式:
1)User_Alias 用户别名 :包含用户、用户组(%组名(使用%引导) )、还可以包含其他已经用户的别名
User_Alias OPERATORS=zhangsan,tom,lisi
2)Host_Alias
主机别名 :主机名、IP、网络地址、其他主机别名 ( !取反)
Host_Alias MAILSVRS=smtp,pop
3)Cmnd_Alias
命令路径、目录(此目录内的所有命令)、其他事先定义过的命令别名
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum
案例一 用户别名
使用关键字User_ Alias、 Host_ Alias、 Cmnd Alias 来进行设置别名(别名必须为大写)
1)
visudo
Host_Alias MYHOSTS =localhost,Centos7-1
User_Alias MYUSERS = yu,lisi
Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/yum
MYUSERS MYHOSTS=NOPASSWD:MYCMNDS //映射
不加NOPASSWD也行
User_Alias USERS=Tom, Jerry,Mike
Host_Alias HOSTS=localhost, bogon
Cmnd_Alias CMNDS=/sbin/ifconfig, /usr/sbin/useradd, /usr/sbin/userdel
USERS HOSTS=CMNDS
案列二 用户别名
例如,以下操作通过别名方式来添加授权记录,允许用户wangliu、 wangliu组、useradmin组 并且定义命令别名。
在主机 smtp、pop 中执行 rpm、yum 命令
User_Alias USERADMIN = wangliu,%wangliu ,%useradmin
Cmnd_Alias USERADMINCMND =/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd,!/usr/bin/passwd root #前面的优先级最高
USERADMIN ALL=(root) NOPASSWD: USERADMINCMND
验证别名以及命令路径
注bug
sudo passwd root 测试
解决方法
Cmnd_Alias USERADMINCMND =/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,! /usr/bin/passwd root
启用sudo操作日志
visudo
Defaults logfile = "/var/log/sudq"
sudo日志记录以备管理员查看,应在/etc/sudoers 文件中增加"Defaults logfile"设置
如果已经启用 sudo 日志,则可以从/var/log/sudo 文件中看到用户的 sudo 操作记录。
注:启用日志:Defaults logfile=/var/log/sudo
另外一个方法是/var/log/secure 日志可查看到sudo操作用户步骤
sudo -l #查看当前用户获得哪些sudo授权
限制更改GRUB 引导参数
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码 ,只有提供正确的密码才被允许修改引导参数。
grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub . pbkd..... #省略部分内容为经过加密生成的密码字符串
####备份配置文件
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
###配置设置用户和密码文件
vim /etc/grub.d/00_header
在行尾添加
cat << EOF
set superusers="root" #设置用户名为root
password_pbkdf2 root grub.pbkd2..... #设置密码,省略部分内容为经过加密生成的密码字符串
EOF
##生成行grub.cfg
grub2-mkconfig -o /boot/grub2/grub.cfg#生成新的grub.cfg 文件
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
一步到位
grub2-setpassword
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
终端登录安全控制
限制root只在安全终端登录
禁止普通用户登录 当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。这时 候,只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在, 如果存在,则拒绝普通用户登录系统(root 用户不受限制)。
touch /etc/nologin #除root以外的用户不能登录了。
此方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时 使用。当手动删除/etc/nologin 文件或者重新启动主机以后,即可恢复正常。
last 显示用户或终端登录情况
vim /etc/securetty 修改用户或终端登录
虚拟机内 远程不可
虚拟控制台的选择可以通过按下Ctrl+Alt键和功能键Fn(n=1~6)来实现(tty1-tty6) tty1 图形界面 tty2-6 字符界面
注释 tty4
root 就不能登录
last 命令显示用户或终端登录情况
把tty2注释掉,在tty2前面加#
=============系统弱口令检测=============
弱口令检测一 -John the Ripper.
JohntheRipper是一-款开源的密码破解工具,可使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。
#解压工具包
cd /opt
tar. zxf john-1.8.0.tar.gz
#安装软件编译工具
yum install -y gcc gcc-c++ make
#切换到src子目录
cd /opt/john-1.8.0/src
#进行编译安装
make clean linux-x86-64
#准备待破解的密码文件
cp /etc/shadow /opt/shadow.txt
#执行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt
#查看已破解出的账户列表
./john --show /opt/shadow.txt
#使用密码字典文件
> john. pot
#清空已破解出的账户列表,以便重新分析
./john --wordlist=./password.1st /opt/shadow.txt
#使用指定的字典文件进行破解
===============网络端口扫描============
控制位
SYN 建立链接
ACK 确认
FIN 结束断开
PSH 传送 0 数据缓存 上层应用协议
RST 重置
URG 紧急
rpm -qa|grep nmap 查看nmap
yum install -y nmap
nmap命令常用的选项和描类型
-p:指定扫描的端口。
-n:禁用反向DNS解析(以加快扫描速度)
-sS: TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即
断开连接;否则认为目标端口并未开放。
-sT: TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监
听服务,否则认为目标端口并未开放。
-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU: UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP: ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0:跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法
ping通而放弃扫描。
示例:
#分别查看本机开放的TCP端口、UDP端口
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1
#检测192.168.80.0/24网段有哪些主机提供HTTP服务
nmap -p 80 192.168.80.0/24
#检测192.168.80.0/24网段有哪些存活主机
nmap -n -sP 192.168.80.0/24
再扩展
通过pam 模块来防止暴力破解ssh
[root@benet ~]# vim /etc/pam.d/sshd
在第一行下面添加一行:
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
说明:尝试登陆失败超过3次,普通用户600秒解锁,root用户1200秒解锁
手动解除锁定:
查看某一用户错误登陆次数:
pam_tally2 ---user
例如,查看work用户的错误登陆次数:
pam_tally2 ---user root
清空所用户错误登陆次数:
pam_tally2 ---user ---reset
例如,清空 work 用户的错误登陆次数,
pam_tally2 ---user root ---reset