你所忽略的Linux系統(tǒng)安全及應(yīng)用（最全面）

防偽碼：千磨萬擊還堅(jiān)勁，任爾東西南北風(fēng)

            第八章 系統(tǒng)安全及應(yīng)用

前言：雖然說linux系統(tǒng)安全，高效，穩(wěn)定，但如果平時(shí)不注意安全優(yōu)化，也不會(huì)安全。本章將介紹賬戶安全，系統(tǒng)引導(dǎo)和登錄的安全，以及弱口令檢測(cè)，網(wǎng)絡(luò)掃描工具的使用+綜合實(shí)戰(zhàn)！

一、賬號(hào)安全控制

1、系統(tǒng)賬號(hào)清理

1）以下常見的非登錄用戶要確保不被人為改動(dòng)：

2） 各種非登錄賬戶中，還有一部分是很少用到的，如news，uucp，games，gopher，這些用戶可視為冗余賬號(hào)，直接刪除即可

3） 若不確定能否被刪除，可以暫時(shí)鎖定

4） 如果服務(wù)器中的賬戶已經(jīng)固定，不再進(jìn)行更改，還可以采用鎖定賬號(hào)配置文件的方法。

使用chattr命令，分別結(jié)合+i，-i來鎖定、解鎖。使用lsattr查看文件鎖定情況。

2、 密碼安全控制

1） 設(shè)置密碼有效期為30天

修改配置文件，適合新建立的用戶，vi  /etc/login.defs

使用命令：Chage -M 30 zhangsan，適用于已有的張三用戶

 2） 設(shè)置用戶下次登錄時(shí)重設(shè)密碼

然后使用張三登錄終端

先輸入原密碼，然后再輸入兩次新密碼，注意復(fù)雜性。

3、 命令歷史，自動(dòng)注銷

1） 修改配置文件，設(shè)置最多紀(jì)錄200條歷史命令，如果紀(jì)錄太多，容易泄露信息。

Vi  /etc/profile,適用于新登錄的用戶

重啟系統(tǒng)或者執(zhí)行source  /etc/profile使之生效。

 執(zhí)行export  HISTSIZE=10適用于當(dāng)前的賬戶

2） 當(dāng)用戶退出已登錄的bash環(huán)境后，清空歷史紀(jì)錄

vi ~/.bash_history

刪除一些不想讓別人看到的命令，保存并退出

執(zhí)行history -c：清空本次留在緩存中的歷史命令 

history -w ：強(qiáng)制刷新緩存中的命令記錄到.bash_history 文件中 

然后重啟之后重新登錄系統(tǒng)，執(zhí)行history發(fā)現(xiàn)沒有歷史紀(jì)錄

3） 設(shè)置超時(shí)時(shí)間，指定時(shí)間沒有任何輸入就自動(dòng)注銷。

Vi  /etc/profile,適用于新登錄的用戶。

執(zhí)行export TMOUT=10用于當(dāng)前用戶（為了測(cè)試方便，時(shí)間調(diào)10秒），10秒之內(nèi)沒有任何輸入就退出系統(tǒng)。也可以使用unset TMOUT取消設(shè)置

二、 用戶切換與提權(quán)

1、 su命令：用來切換用戶，具有該用戶的所有權(quán)限。

1）su切換用戶

上圖的命令只切換用戶身份，不切換用戶環(huán)境，如果想切換身份的同時(shí)切換環(huán)境，需要在su后面加“-”，如下圖：

2） 允許個(gè)別用戶使用su命令進(jìn)行切換，需要將授權(quán)使用su命令的用戶zhangsan添加到wheel組，

修改/etc/pam.d/su認(rèn)證配置

Vi  /etc/pam.d/su，去掉下圖中圈中的auth前面的#號(hào)。

重啟系統(tǒng)之后使用zhangsan登錄，執(zhí)行su  -  root 可以正常切換，但是使用其他用戶提示密碼不正確，登錄失敗。

2、 sudo命令，提升執(zhí)行權(quán)限，可以讓普通用戶擁有一部分管理權(quán)限，又不需要將root用戶的密碼告訴對(duì)方。

1） 在配置文件/etc/sudoers中添加授權(quán)

例如：授權(quán)用戶lisi能夠執(zhí)行ifconfig命令修改ip地址，而wheel組的用戶不需要驗(yàn)證密碼即可執(zhí)行任何命令，可以執(zhí)行以下操作。

執(zhí)行命令：Visudo

2） 通過sudo命令測(cè)試特權(quán)命令

使用lisi登錄系統(tǒng)，執(zhí)行/sbin/ifconfig  eth0:0 192.168.1.1，提示失敗，權(quán)限不夠。

如果在命令前面加上sudo，執(zhí)行成功

三、 系統(tǒng)引導(dǎo)和登錄控制

1、 開關(guān)機(jī)安全控制

1） 調(diào)整biso引導(dǎo)控制

將第一引導(dǎo)設(shè)備設(shè)置為當(dāng)前系統(tǒng)所在磁盤

禁止從光盤，u盤，網(wǎng)絡(luò)等引導(dǎo)系統(tǒng)（Disabled）

將bios設(shè)置好管理密碼。

2） 禁止ctrl+alt+del重啟系統(tǒng)系統(tǒng)

Vi  /etc/init/control-alt-delete.conf

重啟系統(tǒng)之后，按ctrl+alt+del無法重啟系統(tǒng)（在終端中測(cè)試）

 3） 限制更改grub引導(dǎo)參數(shù)

首先使用grub-md5-mcypt生成加密的密碼

然后修改配置文件，把密文添加到第一個(gè)title之前，如下圖：

重啟系統(tǒng)進(jìn)入grub菜單，如果想修改引導(dǎo)參數(shù)，必須先按p輸入密碼，然后按e才能編輯引導(dǎo)參數(shù)

2、 終端及登錄控制

1） 減少開放的tty終端個(gè)數(shù)，禁用tty1，tty2，tty3

Vi  /etc/init/start-ttys.conf

Vi  /etc/sysconfig/init

注意兩個(gè)文件都需要更改

2）禁止root用戶從tty5和tty6終端登錄

Vi  /etc/securetty

3）禁止普通用戶登錄，只需要建立/etc/nologin文件即可，如果恢復(fù)普通用戶登錄，刪除這個(gè)文件即可

Touch  /etc/nologin

然后使用普通用戶登錄測(cè)試

四、 弱口令檢測(cè)和端口掃描

1、 弱口令探測(cè)（john  the ripper）

1）下載并安裝

查看是否安裝成功

2） 檢測(cè)弱口令

查看密碼破解出的賬戶列表：

3） 使用密碼字典文件破解，默認(rèn)的字典文件為password.lst

首先清空破解出的賬戶列表

然后為xiaoming用戶設(shè)置強(qiáng)密碼Pwd@123

把密碼寫在字典文件中：vi password.lst，也可以使用密碼字典生成工具生成密碼，然后再導(dǎo)入到password.lst文件中。

執(zhí)行破解(破解之前需要重新拷貝shadow文件

2、網(wǎng)絡(luò)掃描（NMAP）

1）安裝NAMP軟件包

2） 針對(duì)本機(jī)進(jìn)行掃描，檢查開放了哪些常用的tcp端口，udp端口

Filtered表示可能被防火墻過濾

3） 檢查哪些主機(jī)提供了ftp服務(wù)

4） 檢測(cè)192.168.0.0網(wǎng)段中有哪些存活主機(jī)（能ping通）

5） 檢測(cè)192.168.0.1-254主機(jī)是否開啟文件共享服務(wù)

綜合實(shí)戰(zhàn)演練：

實(shí)驗(yàn)環(huán)境：

某公司新增了一臺(tái)企業(yè)級(jí)服務(wù)器，已安裝運(yùn)行RHEL 6操作系統(tǒng)，由系統(tǒng)運(yùn)維部、軟件開發(fā)部、技術(shù)服務(wù)部共同使用。由于用戶數(shù)量眾多，且使用時(shí)間不固定，要求針對(duì)賬號(hào)和登錄過程采取基本的安全措施。

需求描述：

1、允許radmin使用su命令進(jìn)行切換，其他用戶一律禁止切換身份

2、授權(quán)zhangsan管理員工的賬號(hào)，但禁止其修改root用戶的信息

3、授權(quán)l(xiāng)isi能夠執(zhí)行/sbin/,/usr/sbin目錄下的所有特權(quán)命令，不需要密碼驗(yàn)證

4、所有的su、sudo操作，必須在系統(tǒng)日志文件中進(jìn)行記錄

5、禁止使用ctrl+alt+del快捷鍵，只開放tty3，tty5終端，為grub引導(dǎo)菜單設(shè)置密碼

A、設(shè)置使用su命令

（1）修改認(rèn)證文件/etc/pam.d/su，啟用pam_wheel.so認(rèn)證模塊。

（2）將radmin用戶加入到wheel組。

（3）驗(yàn)證除了root、radmin以外，其他用戶均不能使用su進(jìn)行切換。

B、設(shè)置sudo授權(quán)

（1）授權(quán)用戶zhangsan使用useradd、userdel、passwd、usermod命令，但禁止其執(zhí)行“passwd root”、“usermod * root”操作。（2）授權(quán)l(xiāng)isi用戶使用/sbin/*、/usr/sbin/*命令，添加NOPASSWD:以取消驗(yàn)證。（3）添加“Defaults logfile”配置行，以啟用sudo日志。

（4）分別以zhangsan、lisi用戶登錄，驗(yàn)證授權(quán)的sudo操作，并查看日志。

C、限制引導(dǎo)及登錄過程

（1）禁用Ctrl+Alt+Del熱鍵，禁用tty1、tty2、tty4、tty6這四個(gè)終端。

（2）在grub.conf文件中的第一個(gè)title行之前添加密碼配置。

（3）重啟后進(jìn)入到GRUB菜單界面，驗(yàn)證直接按e鍵已無法編輯引導(dǎo)參數(shù)。

謝謝觀看 由衷的希望能幫到大家！

本文出自 “一盞燭光” 博客，謝絕轉(zhuǎn)載！