十一章.系统安全及应用

十一章.系统安全及应用

目录：

• 账号安全控制

• 系统引导和登录控制

• 弱口令检测

• 端口扫描

一：账号安全控制

1.1系统账号清理

将非登录的用户的shell设为/sbin/nologin

锁定长期不使用的账号

删除无用的账号

锁定账号文件passwd，shadow

1.2密码安全控制

设置密码有效期

要求用户下次登录时修改密码

chage -M 日期 用户   【设置用户密码有效期】
 
chage -E xxxx-xx-xx 用户   【设置用户过期时间】

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

vi /etc/login.defs   【修改密码配置文件】

二、使用su命令切换用户2-1

2.1用途以及方法

用途：Substitute User，切换用户

格式：

su -目标用户

密码验证

• root 用户到任意用户，不同验证密码

• 普通用户到任意 用户，验证目标用户，验证目标用户的密码

2.2限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块

su命令具有安全隐患

su命令使每个用户都具有反复尝试其他用户的登陆密码的能力，若是root用户，则风险更大。

所以需要加强su命令的使用控制，可以借助PAM认证模块，仅允许极个别指定用户可使用su命令进行切换

命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组，修改/etc/pam.d/su认证配置以启用pam wheel 认证。

在/etc/ pam.d/su文件里设置禁止用户使用su命令

vim /etc/pam.d/ su

#auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use__uid 

以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的

两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok)

so模块的主要作用是使uid为o的用户，即root用户能够直接通过认证而不用输入密码如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令

如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令

示例：

将suangcaiyu用户加入wheel组中

进入vi /etc/pam.d/su

将这条命令前面的#号删除启动

账号安全基本措施3-1

• 系统账号清理

• 将非登录用户的Shell设为/sbin/nologin

• 锁定长期不使用的账号

• 删除无用的账号

• 锁定账号文件passwd、shadow

账号安全基本措施3-2

• 密码安全控制

• 设置密码有效期

• 要求用户下次登录时修改密码

账号安全基本措施3-3

• 命令历史限制

• 减少记录的命令条数

• 注销时自动清空命令历史

• 终端自动注销

  • 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

四、PAM认证原理及构成

4.1PAM认证的原理

一般遵循的顺序:

Service (服务) -->PAM (配置文件) --> pam_ *.so;

首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d 下)，最后调用认证模块(位于/lib64/ security/下)进行安全认证。

3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

4.2PAM认证的构成

查看某个程序是否支持PAM认证，可以用ls命令

ls /etc/pam.d | grep su

查看su的PAM配置文件：cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以区分为三个字段

认证类型

控制类型

PAM模块及其参数

限制su命令

• 把可以使用su的用户加入 wheel 组

• 去掉注释则表示启用

• 

使用sudo机制提升权限3-1

• su命令的缺点

• sudo命令的用途及用法

  • 用途：以其他用户身份（如root）执行授权的命令

  • 用法：

    sudo 授权命令
    

使用sudo机制提升权限3-2

配置sudo授权

visudo或者vi /etc/sudoers

记录格式

配置sudo授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.2

• 普通用户默认是无法执行shutdown的

• 对普通用户授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.3

查看自己被授予的权限

配置sudo授权

执行命令

使用sudo机制提升权限3-3

查看sudo操作记录

• 需启用 Defaults logfile

• 配置默认日志文件：/var/log/sudo

开关机安全控制

• 调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘

  • 禁止从其他设备（光盘、U盘、网络）引导系统

  • 将安全级别设为setup，并设置管理员密码

• GRUB限制

  • 方法1：使用grub2-mkpasswd 生成密钥

  • 方法2：使用grub2-mkpasswd-pbkdf2 生成密钥

命令grub2-setpasssword

终端登录安全控制

• 限制root只在安全终端登录

  • 安全终端配置：/etc/securetty

• 禁止普通用户登录

  • 建立/etc/nologin文件

  • 删除nologin文件或重启后即恢复正常

系统弱口令检测2-1

Joth the Ripper，简称为 JR

• 一款密码分析工具，支持字典式的暴力破解

• 通过对shadow文件的口令分析，可以检测密码强度

• 官方网站：http://www.openwall.com/john/

系统弱口令检测2-2

• 安装JR工具

  • 安装方法make clean 系统类型

  • 主程序文件为 john

• 检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件

  • 执行john程序，将shadow文件作为参数

• 密码文件的暴力破解

  • 准备好密码字典文件，默认为password.lst

  • 执行john程序，结合–wordlist=字典文件

JR

下载安装JR

JR-破解密码

为 john

• 检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件

  • 执行john程序，将shadow文件作为参数

• 密码文件的暴力破解

  • 准备好密码字典文件，默认为password.lst

  • 执行john程序，结合–wordlist=字典文件

JR

下载安装JR

JR-破解密码