标签：系统安全 用户 su 认证 etc 模块 应用 PAM

系统安全及应用

• 一、账号安全控制
• • 1. 系统账号清理
  • 2. 密码安全控制
  • 3. 命令历史限制
  • 4. 终端自动注销
  • 5. 使用su命令切换用户
  • 6. 限制使用su命令的用户
  • 7. 使用sudo机制提升权限
• 二、Linux中的PAM安全认证
• • 1. PAM认证原理
  • 2. PAM认证的构成
  • 3. PAM安全认证流程
• 三、开关机安全控制
• • 1. GRUB限制
  • 2. 限制root只在安全终端登录
  • 3. 禁止普通用户登录
• 四、系统弱口令检测
• 五、网络扫描—NMAP

一、账号安全控制

1. 系统账号清理

• 将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

• 锁定长期不使用的账号

usermod -L 用户名
passwd -l 用户名
passwd -S 用户名

• 删除无用的账号

userdel [-r] 用户名

• 锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow     锁定文件
lsattr /etc/passwd /etc/shadow        查看状态
chattr -i /etc/passwd /etc/shadow     解锁文件   

2. 密码安全控制

• 设置密码有效期

修改已有用户：

chage -M 30 znc      设置用户“znc”的密码有效期为30天

对新建用户有效：

vim /etc/login.defs                修改密码配置文件

密码有效期修改为30，保存并退出：

新建一个用户“zhangsan”，并查看密码信息：

• 要求用户下次登录时修改密码

chage -d 0 用户名               

3. 命令历史限制

• 减少记录的命令条数

vim /etc/profile
source /etc/profile

若改为50，则用history命令只能查看最后50条命令

• 登录时自动清空历史命令

vim .bashrc
echo "" > ~/.bash_history

4. 终端自动注销

vim /etc/profile

source /etc/profile

5. 使用su命令切换用户

su -目标用户

密码验证：

• root→任意用户，不验证密码
• 普通用户→其他用户，验证目标用户的密码

whoami命令：查看当前处于的用户

6. 限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组

gpasswd -a 用户 wheel

• 启用pam_wheel认证模块

vim /etc/pam.d/su

1. 以上两行都是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户使用su命令进行切换的
2. 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换普通用户就不需要输入密码（pam_rootok.so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码）
3. 如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
4. 如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令

将上图第二条红框中最前面的“#”号键删掉并保存退出
对其他用户使用su命令：

只有znc用户可以使用su命令：


查看su操作记录：
安全日志文件：/var/log/secure

vim /var/log/secure

7. 使用sudo机制提升权限

用法：

sudo 授权命令

配置sudo授权：

visudo

或

vim /etc/sudoers       此文件默认权限为440，退出保存要使用:wq!来执行

语法格式：
用户 主机名=（用户）命令程序列表

用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
主机名：使用此规则的主机名。没配置过主机名时可以localhost
，有配过主机名则用实际的主机名，ALL则代表所有主机。
（用户）：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来执行命令。
命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“，”进行分隔，ALL则代表系统中的所有命令。

例：

znc ALL=/sbin/ifconfig
123 localhost=/sbin/*,!/sbin/reboot,!/sbin/power
off            通配符“*”表示所有，“！”表示排除（除了）
%wheel ALL=NOPASSWD:ALL   
表示wheel组成员无需验证密码即可使用sudo执行任何命令

启用sudo操作日志：
启用之后，sudo操作过程才会被记录

visudo
Defaults logfile = “/var/log/sudo”
sudo -l                               查看当前用户获得哪些sudo授权                                    

二、Linux中的PAM安全认证

Linux-PAM，是linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d下的配置文件，来管理对程序的认证方式。应用程序调用相应的PAM配置文件，从而调用本地的认证模块，模块放置在/lib64/security下，以加载动态库的形式进行认证。比如使用su命令时，系统会提示输入root用户的密码，这就是su命令通过调用PAM模块实现的。

1. PAM认证原理

• 一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so
• 首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/lib64/security下）进行安全认证
• 用户访问服务器时，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
• 不同的应用程序所对应的PAM模块是不同的
  

2. PAM认证的构成

• 查看某个程序是否支持PAM认证，可以用ls命令
  例：查看su是否支持PAM模块认证

ls /etc/pam.d | grep su

• 查看su的PAM配置文件：

cat /etc/pam.d/su

PAM配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。

1. 第一列代表PAM认证模块类型
   auth：对用户身份进行识别，如提示输入密码，判断是否为root
   account：对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否达到最大用户数等。
   passwd：使用用户信息来更新数据，如修改用户密码
   session：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。
2. 第二列代表PAM控制标记
   required：表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败
   requisite：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
   sufficient：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
   optional：不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于session信息）
   include：表示在认证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth（主要负责用户登录系统的认证工作）来实现认证而不需要重新逐一去写配置项
3. 第三列代表PAM模块，默认是在/lib64/security目录下，如果不在此默认路径下，要填写绝对路径
   同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数
4. 第四列代表PAM模块的参数，这个需要根据所使用的模块来添加
   传递给模块的参数，参数可以有多个，之间用空格分隔开。

3. PAM安全认证流程

1. required验证失败时仍然继续，但返回Fail
2. requisite验证失败则立即结束整个验证过程，返回Fail
3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4. optional不用于验证，只显示信息（通常用于session类型）

三、开关机安全控制

1. GRUB限制

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。





按e键，发现需要输入密码才能进入：

2. 限制root只在安全终端登录

在Linux系统中，login程序会读取/etc/securetty文件，以决定允许root用户从哪些终端（安全终端）登录系统。

vim /etc/securetty

限制tty5和tty6终端登录

3. 禁止普通用户登录

建立nologin文件

touch /etc/nologin

删除nologin文件或重启后可以登录

rm -rf /etc/nologin

四、系统弱口令检测

1. 解压工具包

cd /opt
tar zxvf john-1.8.0.tar.gz

2. 安装软件编译工具

yum -y install gcc gcc-c++ make

3. 切换到src目录，进行编译安装

cd /opt/john-1.8.0/src
make clean linux-x86-64

4. 准备待破解的密码文件

cp /etc/shadow ./

5. 执行暴力破解

cd /opt/john-1.8.0/run
./john shadow

6. 查看已破解出的账户列表

./john --show shadow

编辑密码字典：

字典库：

五、网络扫描—NMAP

①-p：指定扫描的端口。

②-n：禁用反向 DNS 解析（以加快扫描速度）。

③-sS：TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放。

④-sT：TCP连接扫描，这是完整的TCP扫描方式（默认扫描类型），用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。

⑤-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性。

⑥-sU：UDP 扫描，探测目标主机提供哪些 UDP 服务，UDP 扫描的速度会比较慢。

⑦-sP：ICMP 扫描，类似于 ping 检测，快速判断目标主机是否存活，不做其他扫描。

⑧-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping 通而放弃扫描。

• 查看正在运行的使用TCP协议的网络状态信息
  

• 查看正在运行的使用UDP协议的网络状态信息
  

• 分别查看本机开放的TCP、UDP端口

nmap -sT 127.0.0.1

namp -sU 127.0.0.1

标签：系统安全,用户,su,认证,etc,模块,应用,PAM
来源： https://blog.csdn.net/Ryu_hayabusa/article/details/113807592

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。