云计算【第一阶段（23）】Linux系统安全及应用

一、账号安全控制

1.1、账号安全基本措施

1.1.1、系统账号清理

将非登录用户的shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号

1.1.1.1、实验1

用于匹配以/sbin/nologin结尾的字符串，$ 表示行的末尾。

（一般是程序用户改为nologin）

grep "/sbin/nologin$" /etc/passwd

usermod -s /sbin/nologin 用户名

改回去

1.1.1.2、实验2

账号锁住
usermod -L wangwu #锁定账号

或passwd -l wangwu锁定用户账户
passwd -S wangwu# 查看账号状态

解锁（需要有密码不然要加p）

usermod -U wangwu
passwd -u wangwu

1.1.1.3、实验3

删除无用账号

1.1.1.4、锁定文件

attr 属性名

如果服务器中的用户账号已经固定，不再进行更改，还可以采取锁定账号配置文件的方法。使用 chattr 命令，分别结合“＋i”“-i”选项来锁定、解锁文件，使用 lsattr 命令可以查看文件锁定情况

锁 chattr +i /etc/passwd /etc/shadow

测试添加一个用户

查 lsattr /etc/passwd /etc/shadow

解 chattr -i /etc/passwd /etc/shadow

1.1.2、密码安全控制

设置密码有效期
要求用户下次登录时修改密码

1.1.2.1、实验1

vim /etc/login.defs

对新建的用户有效

其中PASS_MIN_LEN：指定密码的最小长度，默认不小于 5 位，但是现在用户登录时验证已经被 PAM 模块取代，所以这个选项并不生效。

企业会把密码有效期改为30 60 90 天这样

1.1.2.1、实验2

密码失效时间M m是需要修改密码的最小间隔，也就是几天可以修改一次密码（0表示随时可以修改）

当使用 -d 0 的时候，下一次登录需要强制修改密码（d本身代表密码最近一次被更改的日期）

1.1.3、命令历史限制

历史命令会翻到诸如密码或其他操作，我们要减少历史记录的数量

减少记录的命令条数
注销时自动清空命令历史
终端自动注销
闲置600秒后自动注销

history -c 临时的清除

1.1.3.1、实验1

用于将来的新登录的用户

在vim /etc/profile

改成10

需要重启后生效

1.1.3.2、实验2

在.bash_history删除

或者

echo " " > .bash_history #清空记录

这个记录不影响然当前 shell 会话中 history 命令的输出，因为 history 命令显示的是当前 shell 会话中存储的历史记录，而不是从 .bash_history 文件中读取的内容。

并且当 shell 会话结束时，这些记录会被追加到 .bash_history 文件中，但是还是要清。

其他办法

如果需要每个用户登出时都清除输入的命令历史记录,可以在/etc/skel/.bash_logout文件中添加下面这行rm -f $HOME/.bash_history 。这样，当用户每次注销时，.bash_history文件都会被删除

1.1.3.3、实验3

或者写在其他.bash_profile或者.bashrc 下

关于环境变量的读取顺序:
/etc/profile --> .bash_profile --> .bashrc --> /bin/bash

修改/etc/profile文件需要管理员权限

1.1.4、终端自动注销

需要注意的是，当正在执行程序代码编译、修改系统配置等耗时较长的操作时，应避免设置 TMOUT 变量。必要时可以执行“unset TMOUT”命令取消 TMOUT 变量设置

1.1.4.1、实验1

将后面新登录用户都有这个设置

vim /etc/profile

G到最后一行补充

二、登录控制

2.1、权限的限制

限制su命令用户

默认情况下，任何用户都允许使用 su 命令，从而有机会反复尝试其他用户（如 root）的登录密码，这样带来了安全风险。为了加强 su 命令的使用控制，可以借助于 pam_wheel 认证模块，只允许极个别用户使用 su 命令进行切换。

2.2、PAM安全认证

PAM(Pluggable Uuthentication Modules)可插拔式认证模块

可插拔是形象说法不是外部设备也不是U盘，可插拔可以理解为可配置、可定制的一个模块，你想让某个服务具有什么样的认证功能，你就可以通过配置它的配置文件实现。

是一种高效而且灵活便利的用户级别的认证方式
也是当前linux服务器普遍使用的认证方式

2.2.1、PAM认证原理

一般遵循的顺序
Service(服务）--> PAM(配置文件）--> pam_*.so

首先要确定哪一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件（位于/lib/security下）进行安全认证
用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块是不同的。
PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

扩展

以.so结尾的这些都是什么

函数库动态函数库模块

2.2.2、PAM认证流程

控制标记的补充说明:
required:表示该行以及所涉及模块的成功是用户通过鉴别的[必要条件]。就是必须将所有的此类型模块都执行一次，其中任何一个模块验证出错，验证都会继续进行，并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝，通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop-样，以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与 required相仿，只有带此标记的模块返回成功后，用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块，并且鉴别过程到此结束，同时也会立即返回错误信息。与上面的required相比，似乎要显得更光明正大一些。

sufficient:表示该行以及所涉及模块验证成功是用户通过鉴别的[充分条件]。也就是说只要标记为sufficient的模块一旦验证成功，那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite
或者required控制标志也是一样。当标记为sufficient的模块失败时，sufficient模块会当做optional对待。因此拥有su
fficient 标志位的配置项在执行验证出错的时候并不会导致整个验证失败，但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重。

optional:他表示即便该行所涉及的模块验证失败用户仍能通过认证。不用于验证，只显示信息
(通常用于session类型）

2.2.3、PAM模块类型

PAM 认证类型包括四种：

认证管理（authentication management）：接受用户名和密码，进而对该用户的密码进行认证；
帐户管理（account management）：检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等；
密码管理（password management）：主要是用来修改用户的密码；
会话管理（session management）：主要是提供对会话的管理和记账。控制类型也可以称做 Control Flags，用于 PAM 验证类型的返回结果。

第一列代表PAM认证模块类型

auth: 对用户身份进行识别，如提示输入密码，判断是否为root。
account: 对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password: 使用用户信息来更新数据，如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。

第二列代表PAM控制标记

required:表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional: 不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。

同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个，之间用空格分隔开

2.2.3.1、实验1

在/etc/pam.d/su文件里设置禁止用户使用su命令

2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ uid
第一行pam rootok. so模块的主要作用是使模块允许root用户无密码切换到其他用户，而其他用户需要输入密码。
第二行pam_wheel.so是表示只限制只有wheel组的用户才能使用su。

a、默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。则root使用su切换普通用户就不需要输入密码
b、如果开启第二行，注释第一行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。
c、两行都注释也是运行所有用户都能使用su命令，用root下使用su切换到其他普通用户也都需要输入密码。

实现过程如下：将授权使用 su 命令的用户添加到 wheel 组，修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

将张三加入wheel组

编辑/etc/pam.d/su

开启 pam_wheel.so

张三用户可以

普通用户切换登录测试验证
使用 su 命令切换用户的操作将会记录到安全日志/var/log/secure 文件中，可以根据需要进行查看。

2.3、sudo机制提升权限

sudo机制介绍：
通过su命令可以非常方便地切换为另一个用户，但前提条件是必须知道目标用户的登录密码。

需要一种既可以让普通用户拥有一部分管理权限，又不需要将 root 用户的密码告诉他，使用 sudo命令就可以提升执行权限。不过，需要由管理员预先进行授权，指定允许哪些用户以超级用户（或其他普通用户）的身份来执行哪些命令。

etc/sudoers文件的默认权限为440，需使用专门的 visudo 工具进行编辑。

虽然也可以用 vi 进行编辑，但保存时必须执行“:w!”命令来强制操作，否则系统将提示为只读文件而拒绝保存。配置文件/etc/sudoers 中，授权记录的基本配置格式如下所示。
user MACHINE=COMMANDS

用户主机名列表 = 命令程序列表

sudo [参数选项] 命令

-l 列出用户在主机上可用的和被禁止的命令；一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的；
-v 验证用户的时间戳；如果用户运行sudo 后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo 操作；用-v 可以跟踪最新的时间戳；
-u 指定以以某个用户执行特定操作；
-k 删除时间戳，下一个sudo 命令要求用求提供密码；

授权配置主要包括用户、主机、命令三个部分，即授权哪些人在哪些主机上执行哪些命令。各部分的具体含义如下。
注：Runas_Alias：在哪些主机以谁的身份运行的别名这个不怎么使用

用户组设置sudo提权
用户（user）：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
主机（MACHINE）：使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同一份 sudoers 文件，一般设为 localhost 或者实际的主机名即可。
命令（COMMANDS）：允许授权的用户通过 sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,”进行分隔。

2.3.1、实验1

要求：wangwu 用户可以使用 root用户下的权限 useradd usermod

如wangwu ALL=(root) NOPASSWD：/usr/sbin/useradd,PASSWD：/usr/sbin/usermod #前面不需要输入密码，后面需要输入密码
验证

2.3.2、实验2

用户可以临时创建网卡

#初次使用sudo时需验证当前用户的密码，默认超时时长为5分钟，在此期间不再重复验证密码。

当主机变成yc888则不行

2.3.3、实验3

查看当前用户获得哪些sudo授权

2.3.4、sudo别名

当使用相同授权的用户较多，或者授权的命令较多时，可以采用集中定义的别名。

用户、主机、命令部分都可以定义为别名（必须为大写），
分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。

用户别名的语法格式：

Host_Alias：定义主机别名，成员可以是主机名、IP地址或网络掩码等
User_Alias：定义用户别名，成员可以是用户或用户组（组前面要加%号）。
Runas_Alias：定义runas别名，这个别名指定的是“目的用户”，即sudo允许切换至的用户。例如，如果你想让某个用户组可以sudo到某个特定的用户，可以使用这个别名。
Cmnd_Alias：定义命令别名，成员必须是系统存在的文件或目录的绝对路径。可以使用通配符

2.3.4.1、实验1

在visudo起别名，并且使用

注意passwd的

/usr/bin/passwd [A-Za-z]*

不是/usr/bin/passwd

2.4、终端登录安全控制

禁止普通用户登录当服务器正在进行备份或调试等维护工作时，可能不希望再有新的用户登录系统。

2.4.1、实验

建立/etc/nologin文件

touch /etc/nologin #除root以外的用户不能登录了。

删除nologin文件或重启后即恢复正常

安全终端配置：/etc/securetty，限制root只在安全终端登录

2.5、开关机安全控制

在互联网环境中，大部分服务器是通过远程登录的方式来进行管理的，而本地引导和终端登录过程往往容易被忽视，从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时，如何防止其他用户的非授权介入就成为必须重视的问题

对于服务器主机，其物理环境的安全防护是非常重要的，不仅要保持机箱完好、机柜锁闭，还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面，除了要做好物理安全防护以外，还要做好系统本身的一些安全措施。

2.6、限制更改GRUB引导参数

在之前的课程中介绍过通过修改 GRUB引导参数，对一些系统问题进行修复。从系统安全的角度来看，如果任何人都能够修改 GRUB 引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制，可以为 GRUB 菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。
为 GRUB 菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2”命令生成，表现为经过 PBKDF2 算法加密的字符串，安全性更好。生成密码后在/etc/grub.d/00_header 配置文件中，添加对应的用户、密码等配置。

或者grub2-setpassword直接修改

2.6.1、实验1

生成加密密码

grub2-mkpasswd-pbkdf2

用于生成 GRUB 2 引导加载器加密密码的工具。该命令采用 PBKDF2（Password-Based Key Derivation Function 2）哈希算法来生成密码的哈希值，这个哈希值随后被用于 GRUB 2 的配置文件中，以保护 GRUB 菜单或特定功能。

使用生成的哈希值

<< EOF 表示开始输入文本，直到遇到单独一行的 EOF 时结束输入。

cat <<EOF >/etc/grub.d/00_header
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.<长哈希字符串>
EOF

注意空格问题，或者vim /etc/grub.d/00_header 不用第一层cat <<EOF EOF

cat <<EOF   >/etc/grub.d/00_header
cat << EOF
set superusers="root"
password_pbkdf2  root  grub.pbkdf2.sha512.10000.26D395014E154BF0A82810BC6D6FEBF241F6B13CFEC9E66F9DF541D553950CB624BC6BF62AC68FEF70AC8C0AE1EA306B49017880EDBCBB1B659CA7D51E59638A.2A6E61E0BAC66CB9D8B86B5752EF631C5D65AF91EDF153E329B5C075E7D3DA8186A893C1D7495A3F6D2A28CFDF9D9509268581BCD6245687149063A94ED73397
EOF
EOF

重新生成 GRUB 配置文件

grub2-mkconfig -o /boot/grub2/grub.cfg //生成新的 grub.cfg 文件

重启你的系统并进入 GRUB 菜单。尝试按 e（编辑），再按 c（或者直接按c）进入 GRUB 菜单。

如果设置了密码，GRUB 会要求你输入密码。

三、弱口令检测

JohntheRipper是一款开源的密码破解工具，可使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。

切换到 /opt目录下

1.解压工具包

2.安装软件编译工具

3.切换到src子目录，进行编译安装

4.准备待破解的密码文件

5.执行暴力破解

6.查看已破解出的账户列表

#使用程序前的一些准备
tar -zxvf john-1.8.0.tar.gz
yum install -y gcc gcc-c++ make
cd /opt/john-1.8.0/src
make clean linux-x86-64

#准备文件
cp /etc/shadow /opt/shadow.txt

#运行破解
cd /opt/john-1.8.0/run
./john   /opt/shadow.txt

#查看
./john --show /opt/shadow.txt


#指定的字典
/john --wordlist=./password.lst /opt/shadow.txt

清除

:>john.pot

四、端口扫描

nmap的扫描

nmap【扫描类型】 [选项] <扫描目标...>

常用的扫描类型
-sS, -sT, -sF, -sU, -sP, -PO

查看有无

rpm -qa |grep nmap

若无则下载

yum install -y nmap

其中，扫描目标可以是主机名、IP 地址或网络地址等，多个目标以空格分隔；
常用的选项有

-p：分别用来指定扫描的端口、

-n:禁用反向 DNS 解析（以加快扫描速度）；

一些选项

扫描类型	描述	备注
-sS	TCP SYN 扫描（半开扫描）	只发送 SYN 数据包，收到 SYN/ACK 响应则认为端口开放
-sT	TCP 连接扫描	完整的 TCP 扫描，建立 TCP 连接
-sF	TCP FIN 扫描	发送 FIN 数据包，关闭的端口会回应 RST 数据包
-sU	UDP 扫描	探测目标主机提供的 UDP 服务
-sP	ICMP 扫描	类似于 ping 检测，快速判断主机是否存活
-P0	跳过 ping 检测	假设所有目标主机都是存活的，避免因 ICMP 无响应而放弃扫描

4.1、实验1

分别查看本机开放的tcp端口，udp端口

4.2、实验2

检测192.168.82.0/24网段有哪些主机提供ftp服务

nmap -p 21 192.168.82.0/24

表示只扫描FTP服务的默认端口（21端口）

4.3、实验3

检测192.168.88.0/24网段有哪些存活主机

-sn

4.4、实验4

暂时禁止ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #禁ping临时
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all #启用ping

永久禁 ping

刷新配置

4.5、扩展

通过pam模块来防止暴力破解ssh
vim /etc/pam.d/sshd
在第一行下面添加一行：
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
说明：尝试登陆失败超过3次，普通用户600秒解锁，root用户1200秒解锁

pam_tally2 是一个用于管理PAM的失败尝试计数器的工具。当用户多次尝试登录失败时，这个计数器会增加，并且可能达到一个阈值，导致用户账户被锁定。

注解：

deny 指定最大几次认证错误，如果超出此错误，将执行后面的策略。如锁定N秒，如果后面没有其他策略指定时，默认永远锁定，除非手动解锁。
lock_time 锁定多长时间，按秒为单位；
unlock_time 指定认证被锁后，多长时间自动解锁用户；
even_deny_root root用户在认证出错时，一样被锁定
root_unlock_time root用户在登录失败时，锁定多长时间。该选项一般是配合even_deny_root 一起使用的。

手动解除锁定：
查看某一用户错误登陆次数：
pam_tally2 --user 用户

清空某一用户错误登陆次数：
pam_tally2 --user 用户 --reset

或者

pam 认证的服务配置文件目录 /etc/pam.d/sshd
pam_tally2 --user=root 查看当前用户登陆失败的次数
pam_tally2 --user=sshuser --reset 解锁用户

/etc/pam.d/login中配置只在本地文本终端上做限制；
/etc/pam.d/kde在配置时在kde图形界面调用时限制；
/etc/pam.d/sshd中配置时在通过ssh连接时做限制；
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务，都会生效。