十一章.系统安全及应用
文章目录
- 十一章.系统安全及应用
- 一:账号安全控制
-
- 1.2密码安全控制
- 二、使用su命令切换用户2-1
- 2.2限制使用su命令的用户
-
- 将允许使用su命令的用户加入wheel组
-
-
- 启用pam_wheel认证模块
- su命令具有安全隐患
- su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
- 所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
- [命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。](#命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。)
- 以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
- 两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
- so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
- 如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令
-
- 示例:
-
- 将suangcaiyu用户加入wheel组中
- [进入vi /etc/pam.d/su](#进入vi /etc/pam.d/su)
- 将这条命令前面的#号删除启动
- 账号安全基本措施3-1
- 四、PAM认证原理及构成
- 4.1PAM认证的原理
- 4.2PAM认证的构成
- 限制su命令
-
-
- [把可以使用su的用户加入 wheel 组](#把可以使用su的用户加入 wheel 组)
- 去掉注释则表示启用
- 使用sudo机制提升权限3-1
- su命令的缺点
- sudo命令的用途及用法
- 使用sudo机制提升权限3-2
- 配置sudo授权
-
- 配置sudo授权1.2
- 配置sudo授权1.3
- 使用sudo机制提升权限3-3
-
- 查看sudo操作记录
-
- [需启用 Defaults logfile](#需启用 Defaults logfile)
- 配置默认日志文件:/var/log/sudo
- 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
- 开关机安全控制
-
-
- 调整BIOS引导设置
-
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setup,并设置管理员密码
- GRUB限制
- [方法1:使用grub2-mkpasswd 生成密钥](#方法1:使用grub2-mkpasswd 生成密钥)
- [方法2:使用grub2-mkpasswd-pbkdf2 生成密钥](#方法2:使用grub2-mkpasswd-pbkdf2 生成密钥)
- 命令grub2-setpasssword
-
- 终端登录安全控制
- 系统弱口令检测2-1
-
-
- [Joth the Ripper,简称为 JR](#Joth the Ripper,简称为 JR)
- 系统弱口令检测2-2
-
- 安装JR工具
- [安装方法make clean 系统类型](#安装方法make clean 系统类型)
- [主程序文件为 john](#主程序文件为 john)
- 检测弱口令账号
- 获得Linux/Unix服务器的shadow文件
- 执行john程序,将shadow文件作为参数
- 密码文件的暴力破解
-
- JR
- JR
目录:
账号安全控制
系统引导和登录控制
弱口令检测
端口扫描
一:账号安全控制
1.1系统账号清理
将非登录的用户的shell设为/sbin/nologin
undefined
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd,shadow
1.2密码安全控制
设置密码有效期
要求用户下次登录时修改密码
chage -M 日期 用户 【设置用户密码有效期】
chage -E xxxx-xx-xx 用户 【设置用户过期时间】
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
vi /etc/login.defs 【修改密码配置文件】
二、使用su命令切换用户2-1
2.1用途以及方法
用途:Substitute User,切换用户
格式:
su -目标用户
密码验证
root 用户到任意用户,不同验证密码
普通用户到任意 用户,验证目标用户,验证目标用户的密码
2.2限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
su命令具有安全隐患
su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
在/etc/ pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/ su
#auth sufficient pam_ rootok.so
#auth required pam_ wheel.so use__uid
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令
示例:
将suangcaiyu用户加入wheel组中
进入vi /etc/pam.d/su
将这条命令前面的#号删除启动
账号安全基本措施3-1
系统账号清理
将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd、shadow
账号安全基本措施3-2
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
账号安全基本措施3-3
命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
###### 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
四、PAM认证原理及构成
4.1PAM认证的原理
一般遵循的顺序:
Service (服务) -->PAM (配置文件) --> pam_ *.so;
首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d 下),最后调用认证模块(位于/lib64/ security/下)进行安全认证。
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
4.2PAM认证的构成
查看某个程序是否支持PAM认证,可以用ls命令
ls /etc/pam.d | grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段
认证类型
控制类型
PAM模块及其参数
限制su命令
把可以使用su的用户加入 wheel 组
去掉注释则表示启用
使用sudo机制提升权限3-1
su命令的缺点
sudo命令的用途及用法
###### 用途:以其他用户身份(如root)执行授权的命令
###### 用法:
sudo 授权命令
使用sudo机制提升权限3-2
配置sudo授权
visudo或者vi /etc/sudoers
记录格式
配置sudo授权
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
配置sudo授权1.2
普通用户默认是无法执行shutdown的
对普通用户授权
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
配置sudo授权1.3
查看自己被授予的权限
配置sudo授权
执行命令
使用sudo机制提升权限3-3
查看sudo操作记录
需启用 Defaults logfile
配置默认日志文件:/var/log/sudo
开关机安全控制
调整BIOS引导设置
###### 将第一引导设备设为当前系统所在硬盘
###### 禁止从其他设备(光盘、U盘、网络)引导系统
###### 将安全级别设为setup,并设置管理员密码
GRUB限制
###### 方法1:使用grub2-mkpasswd 生成密钥
###### 方法2:使用grub2-mkpasswd-pbkdf2 生成密钥
命令grub2-setpasssword
终端登录安全控制
限制root只在安全终端登录
###### 安全终端配置:/etc/securetty
禁止普通用户登录
##### 建立/etc/nologin文件
##### 删除nologin文件或重启后即恢复正常
系统弱口令检测2-1
Joth the Ripper,简称为 JR
一款密码分析工具,支持字典式的暴力破解
-
通过对shadow文件的口令分析,可以检测密码强度
官方网站:http://www.openwall.com/john/
系统弱口令检测2-2
安装JR工具
##### 安装方法make clean 系统类型
##### 主程序文件为 john
检测弱口令账号
##### 获得Linux/Unix服务器的shadow文件
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
###### 准备好密码字典文件,默认为password.lst
###### 执行john程序,结合--wordlist=字典文件
JR
下载安装JR
JR-破解密码
为 john
检测弱口令账号
##### 获得Linux/Unix服务器的shadow文件
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
###### 准备好密码字典文件,默认为password.lst
###### 执行john程序,结合--wordlist=字典文件