十一章.系统安全及应用

十一章.系统安全及应用

文章目录

• 十一章.系统安全及应用
• • 目录：
  • • • • 账号安全控制
        • 系统引导和登录控制
        • 弱口令检测
        • 端口扫描
• 一：账号安全控制
• • • 1.1系统账号清理
  • 1.2密码安全控制
  • • • 设置密码有效期
      • 要求用户下次登录时修改密码
  • 二、使用su命令切换用户2-1
  • • 2.1用途以及方法
    • • [用途：Substitute User，切换用户](#用途：Substitute User，切换用户)
    • 格式：
    • • 密码验证
      • [root 用户到任意用户，不同验证密码](#root 用户到任意用户，不同验证密码)
      • [普通用户到任意 用户，验证目标用户，验证目标用户的密码](#普通用户到任意 用户，验证目标用户，验证目标用户的密码)
  • 2.2限制使用su命令的用户
  • • 将允许使用su命令的用户加入wheel组
    • • • 启用pam_wheel认证模块
        • su命令具有安全隐患
        • su命令使每个用户都具有反复尝试其他用户的登陆密码的能力，若是root用户，则风险更大。
        • 所以需要加强su命令的使用控制，可以借助PAM认证模块，仅允许极个别指定用户可使用su命令进行切换
        • [命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组，修改/etc/pam.d/su认证配置以启用pam wheel 认证。](#命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组，修改/etc/pam.d/su认证配置以启用pam wheel 认证。)
        • 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的
        • 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok)
        • so模块的主要作用是使uid为o的用户，即root用户能够直接通过认证而不用输入密码如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
        • 如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令
    • 示例：
    • • 将suangcaiyu用户加入wheel组中
      • [进入vi /etc/pam.d/su](#进入vi /etc/pam.d/su)
      • 将这条命令前面的#号删除启动
    • 账号安全基本措施3-1
    • • 系统账号清理
      • 将非登录用户的Shell设为/sbin/nologin
      • 锁定长期不使用的账号
      • 删除无用的账号
      • 锁定账号文件passwd、shadow
      • 账号安全基本措施3-2
      • 密码安全控制
      • 设置密码有效期
      • 要求用户下次登录时修改密码
      • 账号安全基本措施3-3
      • 命令历史限制
      • • 减少记录的命令条数
        • 注销时自动清空命令历史
      • 终端自动注销
      • • 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
  • 四、PAM认证原理及构成
  • 4.1PAM认证的原理
  • 4.2PAM认证的构成
  • 限制su命令
  • • • [把可以使用su的用户加入 wheel 组](#把可以使用su的用户加入 wheel 组)
      • 去掉注释则表示启用
      • 使用sudo机制提升权限3-1
      • su命令的缺点
      • sudo命令的用途及用法
      • • 用途：以其他用户身份（如root）执行授权的命令
        • 用法：
      • 使用sudo机制提升权限3-2
      • • 配置sudo授权
        • [visudo或者vi /etc/sudoers](#visudo或者vi /etc/sudoers)
        • 记录格式
      • 配置sudo授权
  • 配置sudo授权1.2
  • • • 普通用户默认是无法执行shutdown的
      • 对普通用户授权
  • 配置sudo授权1.3
  • • • • 查看自己被授予的权限
    • 配置sudo授权
    • 执行命令
  • 使用sudo机制提升权限3-3
  • • 查看sudo操作记录
    • • [需启用 Defaults logfile](#需启用 Defaults logfile)
      • 配置默认日志文件：/var/log/sudo
      • 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
  • 开关机安全控制
  • • • 调整BIOS引导设置
      • • 将第一引导设备设为当前系统所在硬盘
        • 禁止从其他设备（光盘、U盘、网络）引导系统
        • 将安全级别设为setup，并设置管理员密码
        • GRUB限制
        • [方法1：使用grub2-mkpasswd 生成密钥](#方法1：使用grub2-mkpasswd 生成密钥)
        • [方法2：使用grub2-mkpasswd-pbkdf2 生成密钥](#方法2：使用grub2-mkpasswd-pbkdf2 生成密钥)
        • 命令grub2-setpasssword
  • 终端登录安全控制
  • • 限制root只在安全终端登录
    • • • 安全终端配置：/etc/securetty
    • 禁止普通用户登录
    • • 建立/etc/nologin文件
      • 删除nologin文件或重启后即恢复正常
  • 系统弱口令检测2-1
  • • • [Joth the Ripper，简称为 JR](#Joth the Ripper，简称为 JR)
      • • 一款密码分析工具，支持字典式的暴力破解
        • 官方网站：http://www.openwall.com/john/
    • 系统弱口令检测2-2
    • • 安装JR工具
      • [安装方法make clean 系统类型](#安装方法make clean 系统类型)
      • [主程序文件为 john](#主程序文件为 john)
      • 检测弱口令账号
      • 获得Linux/Unix服务器的shadow文件
      • 执行john程序，将shadow文件作为参数
      • 密码文件的暴力破解
      • • 准备好密码字典文件，默认为password.lst
        • 执行john程序，结合--wordlist=字典文件
  • JR
  • • • • 下载安装JR
    • JR-破解密码
    • • 检测弱口令账号
      • 获得Linux/Unix服务器的shadow文件
      • 执行john程序，将shadow文件作为参数
      • 密码文件的暴力破解
      • • 准备好密码字典文件，默认为password.lst
        • 执行john程序，结合--wordlist=字典文件
  • JR
  • • • • 下载安装JR
    • JR-破解密码

目录：

账号安全控制

系统引导和登录控制

弱口令检测

端口扫描

一：账号安全控制

1.1系统账号清理

将非登录的用户的shell设为/sbin/nologin

锁定长期不使用的账号

删除无用的账号

锁定账号文件passwd，shadow

1.2密码安全控制

设置密码有效期

要求用户下次登录时修改密码

chage -M 日期 用户   【设置用户密码有效期】
 
chage -E xxxx-xx-xx 用户   【设置用户过期时间】

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

vi /etc/login.defs   【修改密码配置文件】

二、使用su命令切换用户2-1

2.1用途以及方法

用途：Substitute User，切换用户

格式：

su -目标用户

密码验证

root 用户到任意用户，不同验证密码

普通用户到任意 用户，验证目标用户，验证目标用户的密码

2.2限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块

su命令具有安全隐患

su命令使每个用户都具有反复尝试其他用户的登陆密码的能力，若是root用户，则风险更大。

所以需要加强su命令的使用控制，可以借助PAM认证模块，仅允许极个别指定用户可使用su命令进行切换

命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组，修改/etc/pam.d/su认证配置以启用pam wheel 认证。

在/etc/ pam.d/su文件里设置禁止用户使用su命令

vim /etc/pam.d/ su

#auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use__uid 

以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的

两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok)

so模块的主要作用是使uid为o的用户，即root用户能够直接通过认证而不用输入密码如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令

如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令

示例：

将suangcaiyu用户加入wheel组中

进入vi /etc/pam.d/su

将这条命令前面的#号删除启动

账号安全基本措施3-1

系统账号清理

将非登录用户的Shell设为/sbin/nologin

锁定长期不使用的账号

删除无用的账号

锁定账号文件passwd、shadow

账号安全基本措施3-2

密码安全控制

设置密码有效期

要求用户下次登录时修改密码

账号安全基本措施3-3

命令历史限制

减少记录的命令条数

注销时自动清空命令历史

终端自动注销

###### 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

四、PAM认证原理及构成

4.1PAM认证的原理

一般遵循的顺序:

Service (服务) -->PAM (配置文件) --> pam_ *.so;

首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d 下)，最后调用认证模块(位于/lib64/ security/下)进行安全认证。

3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

4.2PAM认证的构成

查看某个程序是否支持PAM认证，可以用ls命令

ls /etc/pam.d | grep su

查看su的PAM配置文件：cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以区分为三个字段

认证类型

控制类型

PAM模块及其参数

限制su命令

把可以使用su的用户加入 wheel 组

去掉注释则表示启用

• 

使用sudo机制提升权限3-1

su命令的缺点

sudo命令的用途及用法

###### 用途：以其他用户身份（如root）执行授权的命令

###### 用法：

    sudo 授权命令

使用sudo机制提升权限3-2

配置sudo授权

visudo或者vi /etc/sudoers

记录格式

配置sudo授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.2

普通用户默认是无法执行shutdown的

对普通用户授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.3

查看自己被授予的权限

配置sudo授权

执行命令

使用sudo机制提升权限3-3

查看sudo操作记录

需启用 Defaults logfile

配置默认日志文件：/var/log/sudo

开关机安全控制

调整BIOS引导设置

###### 将第一引导设备设为当前系统所在硬盘

###### 禁止从其他设备（光盘、U盘、网络）引导系统

###### 将安全级别设为setup，并设置管理员密码

GRUB限制

###### 方法1：使用grub2-mkpasswd 生成密钥

###### 方法2：使用grub2-mkpasswd-pbkdf2 生成密钥

命令grub2-setpasssword

终端登录安全控制

限制root只在安全终端登录

###### 安全终端配置：/etc/securetty

禁止普通用户登录

##### 建立/etc/nologin文件

##### 删除nologin文件或重启后即恢复正常

系统弱口令检测2-1

Joth the Ripper，简称为 JR

一款密码分析工具，支持字典式的暴力破解

• 通过对shadow文件的口令分析，可以检测密码强度

官方网站：http://www.openwall.com/john/

系统弱口令检测2-2

安装JR工具

##### 安装方法make clean 系统类型

##### 主程序文件为 john

检测弱口令账号

##### 获得Linux/Unix服务器的shadow文件

##### 执行john程序，将shadow文件作为参数

密码文件的暴力破解

###### 准备好密码字典文件，默认为password.lst

###### 执行john程序，结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码

为 john

检测弱口令账号

##### 获得Linux/Unix服务器的shadow文件

##### 执行john程序，将shadow文件作为参数

密码文件的暴力破解

###### 准备好密码字典文件，默认为password.lst

###### 执行john程序，结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码