一、账号安全控制
1.1、账号安全基本步伐
1.1.1、系统账号整理
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不利用的账号
- 删除无用的账号
1.1.1.1、实验1
用于匹配以/sbin/nologin末端的字符串,$ 表现行的末尾。
(一般是程序用户改为nologin)
grep "/sbin/nologin$" /etc/passwd
usermod -s /sbin/nologin 用户名
改回去
1.1.1.2、实验2
账号锁住
usermod -L wangwu #锁定账号
或passwd -l wangwu锁定用户账户
passwd -S wangwu# 查看账号状态
解锁(需要有密码不然要加p)
usermod -U wangwu
passwd -u wangwu
1.1.1.3、实验3
删除无用账号
1.1.1.4、锁定文件
attr 属性名
如果服务器中的用户账号已经固定,不再进行更改,还可以接纳锁定账号设置文件的方法。利用 chattr 下令,分别团结“+i”“-i”选项来锁定、解锁文件,利用 lsattr 下令可以查看文件锁定情况
锁 chattr +i /etc/passwd /etc/shadow
测试添加一个用户
查 lsattr /etc/passwd /etc/shadow
解 chattr -i /etc/passwd /etc/shadow
1.1.2、密码安全控制
1.1.2.1、实验1
vim /etc/login.defs
对新建的用户有效
此中PASS_MIN_LEN:指定密码的最小长度,默认不小于 5 位,但是如今用户登录时验证已经被 PAM 模块代替,所以这个选项并不见效。
企业会把密码有效期改为30 60 90 天如许
1.1.2.1、实验2
密码失效时间M m是需要修改密码的最小间隔,也就是几天可以修改一次密码(0表现随时可以修改)
当利用 -d 0 的时候,下一次登录需要强制修改密码(d本身代表密码最近一次被更改的日期)
1.1.3、下令汗青限定
汗青下令会翻到诸如密码或其他操纵,我们要减少汗青记载的数量
- 减少记载的下令条数
- 注销时自动清空下令汗青
- 终端自动注销
- 闲置600秒后自动注销
history -c 临时的扫除
1.1.3.1、实验1
用于将来的新登录的用户
在vim /etc/profile
改成10
需要重启后见效
1.1.3.2、实验2
在.bash_history删除
大概
echo " " > .bash_history #清空记载
这个记载不影响然当前 shell 会话中 history 下令的输出,因为 history 下令显示的是当前 shell 会话中存储的汗青记载,而不是从 .bash_history 文件中读取的内容。
而且当 shell 会话结束时,这些记载会被追加到 .bash_history 文件中,但是还是要清。
其他办法
如果需要每个用户登出时都扫除输入的下令汗青记载,可以在/etc/skel/.bash_logout文件中添加下面这行rm -f $HOME/.bash_history 。如许,当用户每次注销时,.bash_history文件都会被删除
1.1.3.3、实验3
大概写在其他.bash_profile大概.bashrc 下
关于环境变量的读取顺序:
/etc/profile --> .bash_profile --> .bashrc --> /bin/bash
修改/etc/profile文件需要管理员权限
1.1.4、终端自动注销
需要留意的是,当正在实验程序代码编译、修改系统设置等耗时较长的操纵时,应避免设置 TMOUT 变量。须要时可以实验“unset TMOUT”下令取消 TMOUT 变量设置
1.1.4.1、实验1
将背面新登录用户都有这个设置
vim /etc/profile
G到末了一行补充
二、登录控制
2.1、权限的限定
限定su下令用户
默认情况下,任何用户都允许利用 su 下令,从而有机会反复尝试其他用户(如 root) 的登录密码,如许带来了安全风险。为了加强 su 下令的利用控制,可以借助于 pam_wheel 认证模块,只允许极个别用户利用 su 下令进行切换。
2.2、PAM安全认证
PAM(Pluggable Uuthentication Modules)可插拔式认证模块
可插拔是形象说法 不是外部装备也不是U盘,可插拔可以理解为可设置、可定制的一个模块,你想让某个服务具有什么样的认证功能,你就可以通过设置它的设置文件实现。
是一种高效而且灵活便利的用户级别的认证方式
也是当前linux服务器广泛利用的认证方式
2.2.1、PAM认证原理
一般遵照的顺序
Service(服务)--> PAM(设置文件)--> pam_*.so
- 首先要确定哪一项服务,然后加载相应的PAM的设置文件(位于/etc/pam.d下),末了调用认证文件(位于/lib/security下)进行安全认证
- 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
- 不同的应用程序所对应的PAM模块是不同的。
- PAM的设置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用
扩展
以.so末端的这些都是什么
函数库 动态函数库模块
2.2.2、PAM认证流程
控制标记的补充阐明:
required:表现该行以及所涉及模块的成功是用户通过鉴别的[须要条件]。就是必须将所有的此类型模块都实验一次,此中任何一个模块验证出错,验证都会继续进行,并在实验完成之后才返回错误信息。如许做的目的就是不让用户知道本身被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop-样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与 required相仿,只有带此标记的模块返回成功后,用户才气通过鉴别。不同之处在于其一旦失败 就不再实验堆中背面的其他模块,而且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一些。
sufficient:表现该行以及所涉及模块验证成功是用户通过鉴别的[充实条件]。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便背面的层叠模块利用了requisite
大概required控制标志也是一 样。当标记为sufficient的模块失败时,sufficient模块会当做optional对待。因此拥有su
fficient 标志位的设置项在实验验证出错的时候并不会导致整个验证失败,但实验验证成功之时则大门敞开。所以该控制位的利用务必慎重。
optional:他表现即便该行所涉及的模块验证失败用户仍能通过认证。不消于验证,只显示信息
(通常用于session类型)
2.2.3、PAM模块类型
PAM 认证类型包罗四种:
- 认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
- 帐户管理(account management):查抄帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限定等;
- 密码管理(password management):紧张是用来修改用户的密码;
- 会话管理(session management):紧张是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
第一列代表PAM认证模块类型
- auth: 对用户身份进行辨认,如提示输入密码,判断是否为root。
- account: 对账号各项属性进行查抄,如是否允许登录系统,帐号是否已经逾期,是否达到最大用户数等。
- password: 利用用户信息来更新数据,如修改用户密码。
- session:定义登录前以及退出后所要进行的会话操纵管理,如登录毗连信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
- required:表现需要返回一个成功值,如果返回失败,不会立即将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都实验完成后,再返回失败。
- requisite:与required类似,但如果此模块返回失败,则立即返回失败并表现此类型失败。
- sufficient:如果此模块返回成功,则直接向程序返回成功,表现此类成功,如果失败,也不影响这类型的返回值。
- optional: 不进行成功与否的返回,一般不消于验证,只是显示信息(通常用于session类型),
- include:表现在验证过程中调用其他的PAM设置文件。好比很多应用通过完备调用/etc/pam.d/system-auth(紧张负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写设置项。
第三列代表PAM模块,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
- 同一个模块,可以出如今不同的模块类型中,它在不同的类型中所实验的操纵都不相同,这是由于每个模块针对不同的模块类型体例了不同的实验函数。
- 第四列代表PAM模块的参数,这个需要根据所利用的模块来添加。
- 传递给模块的参数。参数可以有多个,之间用空格分隔开
2.2.3.1、实验1
在/etc/pam.d/su文件里设置克制用户利用su下令
- 2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ uid
- 第一行pam rootok. so模块的紧张作用是使模块允许root用户无密码切换到其他用户,而其他用户需要输入密码。
- 第二行pam_wheel.so是表现只限定只有wheel组的用户才气利用su。
- a、默认状态(即开启第一行,表明第二行),这种状态下是允许所有用户间利用su下令进行切换的。则root利用su切换平常用户就不需要输入密码
- b、如果开启第二行,表明第一行,表现只有wheel组内的用户才气利用su下令,root用户也被禁用su下令。
- c、两行都表明也是运行所有用户都能利用su下令,用root下利用su切换到其他平常用户也 都需要输入密码。
实现过程如下:将授权利用 su 下令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证设置以启用 pam_wheel 认证。
将张三加入wheel组
编辑/etc/pam.d/su
开启 pam_wheel.so
张三用户可以
平常用户切换登录测试验证
利用 su 下令切换用户的操纵将会记载到安全日记/var/log/secure 文件中,可以根据需要进行查看。
2.3、sudo机制提拔权限
sudo机制介绍:
通过su下令可以非常方便地切换为另一个用户,但条件条件是必须知道目标用户的登录密码。
需要一种既可以让平常用户拥有一部分管理权限,又不需要将 root 用户的密码告诉他,利用 sudo下令就可以提拔实验权限。不过,需要由管理员预先进行授权,指定允许哪些用户以超等用户(或其他平常用户)的身份来实验哪些下令。
etc/sudoers文件的默认权限为440,需利用专门的 visudo 工具进行编辑。
固然也可以用 vi 进行编辑,但生存时必须实验“:w!”下令来强制操纵,否则 系统将提示为只读文件而拒绝生存。 设置文件/etc/sudoers 中,授权记载的基本设置格式如下所示。
user MACHINE=COMMANDS
用户 主机名列表 = 下令程序列表
sudo [参数选项] 下令
- -l 列出用户在主机上可用的和被克制的下令;一般设置好/etc/sudoers后,要用这个下令来查看和测试是不是设置正确的;
- -v 验证用户的时间戳;如果用户运行sudo 后,输入用户的密码后,在短时间内可以不消输入口令来直接进行sudo 操纵;用-v 可以跟踪最新的时间戳;
- -u 指定以以某个用户实验特定操纵;
- -k 删除时间戳,下一个sudo 下令要求用求提供密码;
授权设置紧张包罗用户、主机、下令三个部分,即授权哪些人在哪些主机上实验哪些命 令。各部分的具体含义如下。
注:Runas_Alias:在哪些主机以谁的身份运行 的别名这个不怎么利用
用户组设置sudo提权
用户(user):直接授权指定的用户名,或采用“%组名”的情势(授权一个组的所有用户)。
主机(MACHINE):利用此设置文件的主机名称。此部分紧张是方便在多个主机间共用同一份 sudoers 文件,一般设为 localhost 大概实际的主机名即可。
下令(COMMANDS):允许授权的用户通过 sudo方式实验的特权下令,需填写下令程序的完备路径,多个下令之间以逗号“,”进行分隔。
2.3.1、实验1
要求:wangwu 用户可以利用 root用户下的权限 useradd usermod
如wangwu ALL=(root) NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod #前面不需要输入密码 ,背面需要输入密码
验证
2.3.2、实验2
用户可以临时创建网卡
#初次利用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期间不再重复验证密码。
当主机变成yc888则不行
2.3.3、实验3
查看当前用户获得哪些sudo授权
2.3.4、sudo别名
当利用相同授权的用户较多,大概授权的下令较多时,可以采用会集定义的别名。
用户、 主机、下令部分都可以定义为别名(必须为大写),
分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。
用户别名的语法格式:
- Host_Alias:定义主机别名,成员可以是主机名、IP地点或网络掩码等
- User_Alias:定义用户别名,成员可以是用户或用户组(组前面要加%号)。
- Runas_Alias:定义runas别名,这个别名指定的是“目的用户”,即sudo允许切换至的用户。例如,如果你想让某个用户组可以sudo到某个特定的用户,可以利用这个别名。
- Cmnd_Alias:定义下令别名,成员必须是系统存在的文件或目录的绝对路径。可以利用通配符
2.3.4.1、实验1
在visudo起别名,而且利用
留意passwd的
/usr/bin/passwd [A-Za-z]*
不是/usr/bin/passwd
2.4、终端登录安全控制
克制平常用户登录 当服务器正在进行备份或调试等维护工作时,大概不希望再有新的用户登录系统。
2.4.1、实验
建立/etc/nologin文件
touch /etc/nologin #除root以外的用户不能登录了。
删除nologin文件或重启后即恢复正常
安全终端设置:/etc/securetty,限定root只在安全终端登录
2.5、开关机安全控制
在互联网环境中,大部分服务器是通过长途登录的方式来进行管理的,而本地引导和终端登录过程每每轻易被忽视,从而留下安全隐患。特别是当服务器地点的机房环境缺乏严格、 安全的管控制度时,怎样防止其他用户的非授权参与就成为必须重视的题目
对于服务器主机,其物理环境的安全防护是非常紧张的,不但要保持机箱齐备、机柜锁 闭,还要严格控制机房的职员进出、硬件装备的现场接触等过程。在开关机安全控制方面, 除了要做好物理安全防护以外,还要做好系统本身的一些安全步伐。
2.6、限定更改GRUB引导参数
在之前的课程中介绍过通过修改 GRUB引导参数,对一些系统题目进行修复。从系统安全的角度来看,如果任何人都能够修改 GRUB 引导参数,对服务器本身显然是一个极大 的威胁。为了加强对引导过程的安全控制,可以为 GRUB 菜单设置一个密码,只有提供正 确的密码才被允许修改引导参数。
为 GRUB 菜单设置的密码发起采用“grub2-mkpasswd-pbkdf2”下令天生,表现为经过 PBKDF2 算法加密的字符串,安全性更好。天生密码后在/etc/grub.d/00_header 设置文件 中,添加对应的用户、密码等设置。
大概grub2-setpassword直接修改
2.6.1、实验1
天生加密密码
grub2-mkpasswd-pbkdf2
用于天生 GRUB 2 引导加载器加密密码的工具。该下令采用 PBKDF2(Password-Based Key Derivation Function 2)哈希算法来天生密码的哈希值,这个哈希值随后被用于 GRUB 2 的设置文件中,以保护 GRUB 菜单或特定功能。
利用天生的哈希值
<< EOF 表现开始输入文本,直到遇到单独一行的 EOF 时结束输入。
cat <<EOF >/etc/grub.d/00_header
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.<长哈希字符串>
EOF
留意空格题目,大概vim /etc/grub.d/00_header 不消第一层cat <<EOF EOF
- cat <<EOF >/etc/grub.d/00_header
- cat << EOF
- set superusers="root"
- password_pbkdf2 root grub.pbkdf2.sha512.10000.26D395014E154BF0A82810BC6D6FEBF241F6B13CFEC9E66F9DF541D553950CB624BC6BF62AC68FEF70AC8C0AE1EA306B49017880EDBCBB1B659CA7D51E59638A.2A6E61E0BAC66CB9D8B86B5752EF631C5D65AF91EDF153E329B5C075E7D3DA8186A893C1D7495A3F6D2A28CFDF9D9509268581BCD6245687149063A94ED73397
- EOF
- EOF
重新天生 GRUB 设置文件
grub2-mkconfig -o /boot/grub2/grub.cfg //天生新的 grub.cfg 文件
重启你的系统并进入 GRUB 菜单。尝试按 e(编辑),再按 c(大概直接按c)进入 GRUB 菜单。
如果设置了密码,GRUB 会要求你输入密码。
三、弱口令检测
JohntheRipper是一款开源的密码破解工具,可利用密码字典(包含各种密码组合的列表文件)来进行暴力破解。
切换到 /opt目录下
1.解压工具包
2.安装软件编译工具
3.切换到src子目录,进行编译安装
4.准备待破解的密码文件
5.实验暴力破解
6.查看已破解出的账户列表
- #使用程序前的一些准备
- tar -zxvf john-1.8.0.tar.gz
- yum install -y gcc gcc-c++ make
- cd /opt/john-1.8.0/src
- make clean linux-x86-64
- #准备文件
- cp /etc/shadow /opt/shadow.txt
- #运行破解
- cd /opt/john-1.8.0/run
- ./john /opt/shadow.txt
- #查看
- ./john --show /opt/shadow.txt
- #指定的字典
- /john --wordlist=./password.lst /opt/shadow.txt
:>john.pot
四、端口扫描
nmap的扫描
nmap【扫描类型】 [选项] <扫描目标...>
常用的扫描类型
-sS, -sT, -sF, -sU, -sP, -PO
查看有无
rpm -qa |grep nmap
若无则下载
yum install -y nmap
此中,扫描目标可以是主机名、IP 地点或网络地点等,多个目标以空格分隔;
常用的 选项有
-p:分别用来指定扫描的端口、
-n:禁用反向 DNS 剖析(以加快扫描速度);
一些选项
扫描类型描述备注-sSTCP SYN 扫描(半开扫描)只发送 SYN 数据包,收到 SYN/ACK 相应则认为端口开放-sTTCP 毗连扫描完备的 TCP 扫描,建立 TCP 毗连-sFTCP FIN 扫描发送 FIN 数据包,关闭的端口会回应 RST 数据包-sUUDP 扫描探测目标主机提供的 UDP 服务-sPICMP 扫描类似于 ping 检测,快速判断主机是否存活-P0跳过 ping 检测假设所有目标主机都是存活的,避免因 ICMP 无相应而放弃扫描
4.1、实验1
分别查看本机开放的tcp端口,udp端口
4.2、实验2
检测192.168.82.0/24网段有哪些主机提供ftp服务
nmap -p 21 192.168.82.0/24
表现只扫描FTP服务的默认端口(21端口)
4.3、实验3
检测192.168.88.0/24网段有哪些存活主机
-sn
4.4、实验4
暂时克制ping
- echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #禁ping临时
- echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all #启用ping
永久禁 ping
刷新设置
4.5、扩展
通过pam模块来防止暴力破解ssh
vim /etc/pam.d/sshd
在第一行下面添加一行:
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
阐明:尝试登陆失败超过3次,平常用户600秒解锁,root用户1200秒解锁
pam_tally2 是一个用于管理PAM的失败尝试计数器的工具。当用户多次尝试登录失败时,这个计数器会增加,而且大概达到一个阈值,导致用户账户被锁定。
注解:
- deny 指定最大频频认证错误,如果超出此错误,将实验背面的策略。如锁定N秒,如果背面没有其他策略指定时,默认永远锁定,除非手动解锁。
- lock_time 锁定多长时间,按秒为单元;
- unlock_time 指定认证被锁后,多长时间自动解锁用户;
- even_deny_root root用户在认证出错时,一样被锁定
- root_unlock_time root用户在登录失败时,锁定多长时间。该选项一般是配合even_deny_root 一起利用的。
手动解除锁定:
查看某一用户错误登陆次数:
pam_tally2 --user 用户
清空某一用户错误登陆次数:
pam_tally2 --user 用户 --reset
大概
pam 认证的服务设置文件目录 /etc/pam.d/sshd
pam_tally2 --user=root 查看当前用户登陆失败的次数
pam_tally2 --user=sshuser --reset 解锁用户
/etc/pam.d/login中设置只在本地文本终端上做限定;
/etc/pam.d/kde在设置时在kde图形界面调用时限定;
/etc/pam.d/sshd中设置时在通过ssh毗连时做限定;
/etc/pam.d/system-auth中设置凡是调用 system-auth 文件的服务,都访问效。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
