Linux体系安全及应用
账号安全控制用户账号是盘算机利用者的身份凭证或标识,每个要访问体系资源的人,必须凭借其用 户账号才气进入盘算机。在Linux 体系中,提供了多种机制来确保用户账号的合法、安全利用。
基本安全措施
1. 体系账号清理
各种非登录用户账号中,尚有相当一部分是很少用到的,如 games。这些用户账号可以视为冗余账号,直接删除即可。
对于Linux服务器中恒久不消的用户账号,若无法确定是否应该删除,可以暂时将其锁定。
#usermod -L zhangsan I/锁定账号
#passwd -S zhangsan //查看账号状态
#usermod -U zhangsan I/解锁账号
#passwd -S zhangsan如果服务器中的用户账号已经固定,不再举行更改,还可以采取锁定账号配置文件的方法。利用 chattr 下令,分别结合“+i”“-” 选项来锁定、解锁文件,利用 Isattr 下令可以查看文件锁定环境。
#chattr +i letc/passwd /etc/shadow //锁定文件
#Isattr letc/passwd letclshadow I/查看为锁定的状态
#chattr -i/etc/passwd /etc/shadow //解锁文件
#Isattr letc/passwd letc/shadow I/查看为解锁的状态在账号文件被锁定的环境下,其内容将不允许变动,因此无法添加、删除账号,也不能更改用户的密码、登录 Shell 、 宿主目次等属性信息。
#chattr +i /etc/passwd /etc/shadow
#useradd billgate useradd: 无法打开/etc/passwd2. 密 码 安 全 控 制
在不安全的网络环境中,为了低落密码被猜出或被暴力破解的风险,用户应养成定期更 改密码的风俗,避免恒久利用同一个密码。管理员可以在服务器端限定用户密码的最大有效天数,对于密码已逾期的用户,登录时将被要求重新设置密码,否则将拒绝登录。
实行以下操作可将密码的有效期设为30天(chage下令用于设置密码时限)。
#vi /etc/login.defs PASS_MAX_DAYS 30
#chage -M 30 lisi在某些特别环境下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统 一要求所有效户更新密码等,可以由管理员实行强制战略,以便用户在下次登录时必须更改密码。
# chage -d 0 zhangsan3.下令历史、自动注销
Shell 环境的下令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在 的风险。只要得到用户的下令历史文件,该用户的下令操作过程将会一览无余,如果曾经在下令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。
Bash 终端环境中,历史下令的记载条数由变量 HISTSIZE 控制,默认为1000条。通过修改/etc/profile 文件中的HISTSIZE变量值,可以影响体系中的所有效户。比方,可以设置最多只记载 200 条历史下令。
#vi /etc/profile ……/省略部分内容 HISTSIZE=200除此之外,还可以修改用户宿主目次中的~1.bash_logout 文件,添加清空历史下令的操作语句。这样,当用户退出已登录 Bash 环境以后,所记载的历史下令将自动清空。
#vi~1.bash_logout history -c clearBash 终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时 即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置超时由变量 TMOUT 来控制,默认单位为秒 (s)。
#vi /etc/profile //适用于新登录用户
……//省略部分内容
export TMOUT=600
#export TMOUT=600 //适用于当前用户用户切换与提权
大多数Linux服务器并不建议用户直接以root用户举行登录。一方面可以大大淘汰因误操作而导致的破坏,另一方面也低落了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,必要为平凡用户提供一种身份切换或权限提拔机制,以便在必要的时候实行管理任务。
Linux体系为我们提供了su、sudo两种下令,其中su下令紧张用来切换用户,而sudo下令用来提拔实行权限,下面分别举行先容。
1.su下令-切换用户
(1)su 下令用法
利用su 下令,可以切换为指定的另一个用户,从而具有该用户的所有权限。固然,切换时必要对目标用户的密码举行验证(从root 用户切换为其他用户时除外)。
上述下令操作中,选项“-”等同于“-login” 或“-”,表示切换用户后进入目标用户的登录 Shell 环境,若缺少此选项则仅切换身份、不切换用户环境。对于切换为root 用户的环境“root”可以省略。
默认环境下,任何用户都允许利用su 下令,从而有机会反复尝试其他用户(如root)的登录密码,这样带来了安全风险。为了增强su 下令的利用控制,可以借助于pam_whee l 认证模块,只允许极个别用户利用su下令举行切换。实现过程如下:将授权利用su下令的用户添加到wheel组,修改/etc/pam.d/su认证配置以启用pam_wheel认证。
# gpasswd -a tsengyia wheel //添加授权用户 tsengyia
正在将用户“tsengyia”加入到“wheel”组中
# grep wheel letc/group //确认wheel 组成员
#vi /etc/pam.d/su auth sufficient pam_rootok.so auth required pam_wheel.so use_uid //去掉此行开头的 # 号启用 pam_wheel 认证以后,未加入到 wheel 组内的其他用户将无法利用 su 下令,尝试举行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。
(2) PAM 安全认证
PAM(Pluggable Authentication Modules), 是 Linux 体系可插拔认证模块,是一种高效而且灵活便利的用户级别的认证方式,它也是当前 Linux 服务器普遍利用的认证方式。
PAM提供了对所有服务举行认证的中心机制,实用于login,远程登录(telnet,rlogin,fsh,ftp ), su 等应用程序中。体系管理员通过PAM 配置文件来订定不同应用程序的不同认证战略。
PAM认证原理如下所示:
> PAM 认证一样平常遵照的顺序: Service ( 服 务 ) →PAM ( 配 置 文 件 ) →pam_*.so;
> PAM 认证起首要确定哪一项服务,然后加载相应的PAM 的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security 下)举行安全认证;
> 用户访问服务器的时候,服务器的某一个服务程序把用户的哀求发送到 PAM 模块举行认证。不同的应用程序所对应的PAM模块也是不同的。
2.sudo 下令-提拔实行权限
通过su下令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。比方,若要从jerry用户切换为root用户,必须知道root 用户的密码。对于生产环境中的 Linux 服务器,每多一个人知道特权密码,其安全风险也就增加一分。
通过sudo实行特权下令
对于已得到授权的用户,通过sudo 方式实行特权下令时,只必要将正常的下令行作为sudo 下令的参数即可。由于特权下令程序通常位于/sbin 、/usr/sbin 等目次下,平凡用户实行时应利用绝对路径。
体系引导和登录控制
限定更改GRUB引导参数
如果任何人都能够修改 GRUB 引导参数,对服务器本身显然是一个极大的威胁。为了增强对引导过程的安全控制,可以为GRUB 菜单设置一个密码,只有提供准确的密码才被允许修改引导参数。
为GRUB 菜单设置的密码建议接纳“grub2-mkpasswd-pbkdf2 ”下令生成,表现为经过 PBKDF2 算法加密的字符串,安全性更好。生成密码后在/etc/grub.d/00_header 配置文件中,添加对应的用户、密码等配置
利用 grub2-mkconfig 下令生成新的 grub.cfg 配置文件。
# grub2-mkconfig -o /boot/grub2/grub.cfg终端及登录控制
在 Linux 服务器中,默认开启了六个tty 终端,允许任何用户举行当地登录。关于当地登录的安全控制,可以从以下几个方面着手。
1.禁止root用户登录
在Linux体系中,login程序会读取/etc/securetty文件,以决定允许root用户从哪些终端(安全终端)登录体系。若要禁止root 用户从指定的终端登录,只需从该文件中删除大概解释掉对应的行即可。
2. 禁止平凡用户登录
当服务器正在举行备份或调试等维护工作时,可能不希望再有新的用户登录体系。这时候,只必要简朴地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在,如果存在,则拒绝平凡用户登录体系 (root 用户不受限定)。
此方法实际上是利用了shutdown耽误关机的限定机制,只建议在服务器维护期间临时利用。当手动删除/etc/nologin文件大概重新启动主机以后,即可恢复正常
弱口令检测、端口扫描
弱口令检测 John the Ripper
在 Internet 环境中,过于简朴的口令是服务器面对的最大风险。只管大家都知道设置一个更长、更复杂的口令会更加安全,但总是会有一些用户因贪图方便而接纳简朴、易记的口令字串。对于任何一个负担着安全责任的管理员,及时找出这些弱口令账号黑白常必要的,这样便于采取进一步的安全措施(如提醒用户重设更安全的口令)。
John the Ripper 是一款开源的密码破解工具,能够在已知密文的环境下快速分析出明文的密码字串,支持DES 、MD5 等多种加密算法,而且允许利用密码字典(包含各种密码 组合的列表文件)来举行暴力破解。通过利用 John the Ripper, 可以检测 Linux/UNIX 体系用户账号的密码强度。
1. 下载并安装 John the Ripper
John the Ripper 的官方网站是 John the Ripper password cracker通过该网站可以获取稳定版源码包
切换到 src 子目次并实行“make clean linux-x86-64”下令,即可实行编译过程。
2. 检测弱口令账号
在安装有John the Ripper 的服务器中,可以直接对/etc/shadow 文件举行检测。对于其他Linux服务器,可以对shadow 文件举行复制,并传递给john程序举行检测。只需实行run目次下的john 程序,将待检测的shadow文件作为下令行参数,就可以开始弱口令分析了。
# cp letc/shadow /root/shadow.txt //准备待破解的密码文件
#cd ./run 按 Ctrl+C 组合键中止后续过程在实行过程中,分析出来的弱口令账号将即时输出,第一列为密码字串,第二列的括号内为相应的用户名(如用户kadmin 的密码为“123456”)。默认环境下,john 将针对常见的弱口令设置特点,尝试破解已识别的所有密文字串,如果检测的时间太长,可以按Ctrl+C组合键强行终止。破解出的密码信息自动生存到john.pot 文件中,可以结合“--show” 选项举行查看。
3. 利用密码字典文件
对于密码的暴力破解,字典文件的选择很关键。只要字典文件足够完整,密码破解只是时间上的问题。因此,“什么样的密码才足够强壮”取决于用户的承受能力,有人认为超过72 小时仍无法破解的密码才算安全,也可能有人认为至少暴力分析一个月仍无法破解的密码才足够安全。
John the Ripper默认提供的字典文件为password.Iist, 其列出了3000多个常见的弱口令。如果有必要,用户可以在字典文件中添加更多的密码组合,也可以直接利用更加完整的其他字典文件。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]