一、账号安全控制

1.1、系统账号清理

①、将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名		#禁止用户登录

②、锁定长期不使用的账号

usermod -L 用户名
passwd -l 用户名
passwd -S 用户名

④、解锁账号

passwd -u [用户名]		#解锁用户

⑤、删除无用的账号

userdel [-r] 用户名

⑥、锁定账号文件 passwd、shadow

chattr +i /etc/passwd /etc/shadow		#锁定文件
lsattr /etc/passwd /etc/shadow			#查看状态
chattr -i /etc/passwd /etc/shadow

1.2、密码安全控制

①、设置密码有效期**

• 设置已经存在的用户密码有效期

   chage -M 时间 用户名
  

• 设置新建用户密码有效期

   vim /etc/login.defs 
  

②、要求用户下次登录时修改密码

chage -d 0 shixiao		#强制在登录时修改密码
cat /etc/shadow | grep shixiao		#shadow文件中的第三个字段被修改为0

③、命令历史限制

• 减少记录的命令条数

   vi /etc/profile
  

• 登录时自动清空历史命令
  • 临时清空
    history -c
  • 永久清空

④、终端自动注销

[root@localhost ~]# vi/etc/profile
......
export TMOUT=600		#设置注销时间为600秒
[root@localhost ~]# source /etc/profile			#重新加载配置文件

⑤、切换用户：su

用途及用法

• 用途
  Substitute User,切换用户

• 格式

   [root@localhost ~]# su 目标用户
  

密码验证

• root→任意用户，不验证密码
• 普通用户→其他用户，验证目标用户的密码
  
  

⑥、限制使用su命令切换用户

• 将允许使用su命令的用户加入wheel组中

   gpasswd -a shixiao wheel
  

• 启用pam_wheel认证模块

   vi /etc/pam.d/su
  

二、PAM认证模块

2.1、Linux中的PAM安全认证

su命令的安全隐患

• 默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
• 为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

PAM可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式
• 也是当前Linux服务器普遍使用的认证方式

2.2、PAM认证原理

一般遵循的规律

• Service（服务）→ PAM（配置文件）→ pam_*.so
• 首先要确定哪一项服务，然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下)，最后调用认证文件(位于 /lib64/security 下)进行安全认证
• 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证
• 不同的应用程序所对应的 PAM 模块是不同的

2.3、PAM认证的结构

查看某个程序是否支持PAM认证，可以用ls命令

• 示例：查看su是否支持PAM模块认证

   ls /etc/pam.d | grep su
  

查看su的PAM配置文件：cat /etc/pam.d/su

• 每一行都是一个独立的认证过程

• 每一行可以区分为三个字段

  • 认证类型
  • 控制类型
  • PAM模块及其参数

PAM每一列名称的解释

第–列代表PAM认证模块类型

auth: 对用户身份进行识别，如提示输入密码，判断是否为root。
account: 对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password: 使用用户信息来更新数据，如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。

第二列代表PAM控制标记

required:表示需要返回一-个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此l类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional:不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session 类型)。
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块，默认是在/1ib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。

传递给模块的参数。参数可以有多个，之间用空格分隔开

2.4、PAM安全认证流程

控制类型也称做Control Flage，用于PAM验证类型的返回结果

• required验证失败时仍然继续，但返回fail
• requisite验证失败则立即结束整个验证过程，返回Fail
• sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
• optional不用于验证，只显示信息（通常用于session类型）
  

三、使用sudo机制提升权限

su命令的缺点

• 默认情况下，任何用户都能使用 su 命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险

sudo命令的用途及用法

• 用途：以其他用户身份（如root）执行授权的命令

• 用法：

   sudo 授权命令
  

3.1、配置sudo授权

• visudo或者vi /etc/sudoers

• 记录格式

   用户 主机名=命令程序列表
   用户 主机名=（用户） 命令程序列表
  

用户	直接授权指定的用户名，或采用“组名"的形式(权一个组的所有用户)
主机名	使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
（用户）	用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
命令程序列表	允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令

Tom ALL=sbin/ifconfig
Jerry localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff		#通配符“*”表示所有、取反符号“！”表示排除

记录格式可使用通配符

*	表示所有
！	取反符号，表示排除

%wheel ALL=NOPASSWD:ALL				#表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall

3.2、查看sudo操作记录

启用sudo操作日志

• 默认日志文件：/var/log/sudo

   visudu
   Defaults logfile = “/var/log/sudo”
  

①

②

③

④

⑤

3.3、开关机安全控制

调整BIOS引导设置

• 将第一引导设备设为当前系统所在硬盘
• 禁止从其他设备(光盘、U盘、网络)引导系统
• 将安全级别设为setup,并设置管理员密码

GRUB限制

• 使用grub2-mkpasswd-pbkdf2生成密钥
• 修改/etc/grub.d/00_header文件中，添加密码记录
• 生成新的grub.cfg配置文件

限制更改GRUB引导参数

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是–个极大的威胁。
可以为GRUB菜单设置一-个密码，只有提供正确的密码才被允许修改引导参数。
①

cp /boot/grub2/grub.cfg /boot/ grub2/grub. cfg.bak			#备份grub.cfg文件
cp /etc/grub.d/00_header /etc/grub. d/00_header. bak		#备份头文件

②

	grub2-mkpasswd- pbkdf2		#根据提示设置GRUB菜单的密码
	PBKDF2 hash of your password is grub. pbkd..... .	#省略部分内容为经过加密生成的密码字符串

③

vim /etc/grub.d/00_header			#进入vim编辑器修改头文件
cat << EOF							#加入以下内容
set superusers="root" 				#设置用户名为root
password_pbkdf2 root grub.pbkd2..... 			#设置密码，省略部分内容为经过加密生成的密码字符串
EOF

④

grub2 -mkconfig -o /boot/grub2/grub.cfg			 #生成新的 grub.cfg 文件

⑤

重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数。

四、终端登录安全控制

限制root只在安全终端登录

• 安全终端配置：/etc/ securetty

禁止root 用户登录
在Linux 系统中，login程序会读取/etc/securetty 文件，以决定允许root用户从哪些终端(安全终端)登录系统。

vim /etc/securetty
#tty5		#禁止root用户从终端tty5登录
#tty6.		##禁止root用户从终端tty5登录

禁止普通用户登录

• 建立/etc/nologin文件
• 删除nologin文件或重启后即恢复正常

[root@localhost ~]# touch /etc/nologin		#禁止普通用户登录
[root@localhost ~]# rm -rf /etc/nologin		#取消上述登录限制

五、系统弱口令检测

Joth the Ripper，简称为 JR

• 款密码分析工具，支持字典式的暴力破解
• 通过对shadow文件的口令分析，可以检测密码强度
• 官方网站: http://www.openwall.com/john/

①解压工具包

cd /opt
tar zxf john-1.8.0. tar.gz

②安装软件编译工具

yum install -y gcc gcc-c++ make

③切换到src子目录

cd /opt/john-1.8.0/src

④进行编译安装

make clean linux-x86-64

⑤准备待破解的密码文件

cp /etc/ shadow /opt/ shadow. txt

⑥执行暴力破解

cd /opt/john-1.8.0/ run
. /john /opt/ shadow. txt

⑦查看已破解出的账户列表:

./john -- show /opt/ shadow. txt

⑧使用密码字典文件

>john. pot				#清空已破解出的账户列表,以便重新分析
./john --wordlist=./password.lst /opt/shadow.txt			#使用指定的字典文件进行破解

5.1、网络端口扫描

NMAP

• 一款强大的网络扫描、安全检测工具
• 官方网站: http://nmap.org/
• CentOS 7.3光盘中安装包nmap-6.40-7.el7.x86_ _64.rpm

安装NMAP 软件包

rpm -qa | grep nmap ;
yum install -y nmap

nmap命令常用的选项和扫描类型

-p: 指定扫描的端口。
-n: 禁用反向DNS解析(以加快扫描速度)。
-sS: TCP的SYN扫描(半开扫描)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接;否则认为目标端口并未开放。
-sT:TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立-一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。
-sF:TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU:UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。
-sP: ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描。
-P0: 跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping ;
通而放弃扫描。

netstat -natp		#查看正在运行的使用TCP协议的网络状态信息
netstat -naup		#查看正在运行的使用UDP协议的网络状态信息

示例：
①、查看本机开放的TCP端口、UDP端口

[root@host ~]# nmap -sT 192.168.153.121
[root@host ~]# nmap -sU 192.168.153.121

②、检测192.168.10.0/24网段有哪些主机提供http服务

[root@host ~]# nmap -p 80 192.168.10.0/24

③、检测192.168.10.0/24网段有哪些存活主机

[root@host ~]# nmap -n -sP 192.168.10/24

六、控制台命令：netstat

[root@host ~]# netstat -natp		#查看正在运行的使用TCP协议的网络状态信息
[root@host ~]# netstat -naup		#查看正在运行的使用UDP协议的网络状态信息

netstat常用选项

选项	解释
-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n	以数字的形式显示相关的主机地址、端口等信息
-t	查看TCP协议相关的信息
-u	显示UDP协议相关的信息
-p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r	显示路由表信息
-l	显示处于监听状态的网络连接及端口信息