linux系统安全与应用

linux系统安全与应用

一.账号安全基本措施

1.系统账号清理

将非登录用户的shell设为不可登陆
usermod -s /sbin/nologin 用户名 禁止用户登录
usermod -s /bin/false 用户名 禁止用户登录
锁定长期不使用的账号
usermod -L 用户名 锁定用户账户
passwd -l 用户名 锁定用户账户

查看账号状态：passwd -S 用户名
解锁usermod -U 和passwd -u
删除无用的账号
userdel [-r] 用户名
锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow 锁定账号文件
lsattr /etc/passwd /etc/shadow 查看账号文件
chattr -i /etc/passwd /etc/shadow 解锁账号文件

2.密码安全控制

设置密码有效期

vim /etc/login.defs
PASS _MAX_DAYS 30       修改密码配置文件，适用于新建用户

chage -M 30 lisi 修改李四用户密码，适用于已有用户
cat /etc/shadow |grep lisi 查看是否修改成功

强制要求用户下次登陆时修改密码

chage -d 0 lisi   强制要求lisi在下次登录账号时修改密码，shadow文件中的第三个字段被修改为0
cat /etc/shadow | grep lisi   查看是否设置成功

3.命令历史的限制

减少记录的命令条数

vim /etc/profile          
HISTSIZE=200             历史记录保留200条
source /etc/profile        让配置文件生效

登陆时自动清空历史命令

// An highlighted block
vi ~/.bashrc      进入开机启动配置文件
echo" " > ~/.bash_history     自动清空历史命令

4.终端自动注销

闲置600秒后自动注销

vi /etc/profile
export TMOUT=600    设置自动注销时间为600秒
source /etc/profile   让配置文件生效

二.使用su命令切换用户

切换用户：su [-]目标用户
带-选项表示将使用目标用户的登录shell环境

1.密码验证

root用户切换至任意用户，不验证密码
普通用户切换至其他用户，验证目标用户密码

2.限制使用su命令的用户

将允许使用su命令的用户添加到whell组中

gpasswd -a 用户 wheel    将允许使用su命令的用户添加到wheel组中;

修改/etc/pam.d/su认证配置启用pam_wheel认证

vim /etc/pam.d/su   
  
auth sufficient pam_rootok.so  

#auth required pam_wheel.so use_uid 


每种状态的解释：
两行都注释：所有用户都能使用su命令，切换时root和普通用户都需要密码验证
开启第一行，注释第二行：（默认状态）允许所有用户间使用su命令进行切换的，切换时，root不需要密码，其他用户需要密码。
注释第一行，开启第二行：只有wheel组内的用户才能使用su命令，root用户也无法切换。
两行都开启：只有root用户和wheel组内的用户才可以使用su命令。

查看su操作的记录
安全日志文件： /var/log/secure

三.Linux中的PAM安全认证

1、su命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登录密码，带来安全风险
为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

2、PAM可插拔式认证模块

是一种高效而且灵活便利的用户级别的认证方式
也是当前Linux服务器普遍使用的认证方式

3、PAM认证原理

一般遵循的规律
Service（服务）→ PAM（配置文件）→ pam_*.so
首先要确定哪一项服务，然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下)，最后调用认证文件(位于 /lib64/security 下)进行安全认证
用户访问服务器时，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证
不同的应用程序所对应的 PAM 模块是不同的
如果想要查看某个程序是否支持 PAM 认证，可以使用 ls 命令，进行查看 /etc/pam.d/

PAM的配置文件中的每一行都是一个独立的认证过程，他们按从上往下的的顺序依次由PAM模块调用。

第一列代表PAM认证模块类型
auth ：对用户身份进行识别，如提示输入密码，判断是否为root
account： 对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否到达最大用户数等
password ：使用用户信息来更新数据，如修改用户密码
session ：定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统
第二列代表PAM控制标记
required： 表示需要返回一个成功值，如果返回失败，不会立即将失败结果返回，而是继续进行同类型的下一步验证，所有此类型的模块都执行完成后，再返回失败
requisite ：与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败
sufficient ：如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值
optional ：不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型)
include ：表示在验证过程中调用其他的 PAM 配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项
第三列代表PAM模块
默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数
第四列代表PAM模块的参数
根据所使用的模块进行添加
传递给模块的参数，参数可以有多个，之间用空格分隔开

控制标记的补充说明
required
表示该行以及所涉及模块的成功是用户通过鉴别的【必要条件】。换句话说，只有当对应于应用程序的所有带required标记的模块全部成功后，该程序才能通过鉴别。同时，如果任何带required标记的模块出现了错误，PAM并不立刻将错误消息返回给应用程序，而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。
反正说白了，就是必须将所有的此类型模块都执行一次，其中任何一个模块验证出错，验证都会继续进行，并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝，通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop样，以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite
与required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块，并且鉴别过程到此结束，同时也公立即返回错误信息。与上面的required相比，似乎要显得更光明正大一些。
sufficient
表示该行以及所涉及模块验证成功是用户通过鉴别的【充分条件】。也就是说只要标记为sufficient的模块一旦验证成功，那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite或者required控制标志也是一样。当标记为sufficient的模块失败时，sufficient模块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不公导致整个验证失败，但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重。
optional
他表示即便该行所涉及的模块验证失败用户仍能通过认证。在PAM体系中，带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败，也允许用户享受应用程序提供的服务。使用该标志，PAM框架会忽略这个模块产生的验证错误，继续顺序执行下一个层叠模块。

四.使用sudo机制提升权限

1.sudo命令

作用：提升执行权限（使用其他用户的身份执行）
用法：sudo 授权命令

2.配置sudo授权

visudo或vi /etc/sudoers（此文件默认的权限为440，需要使用visudo工具进行编辑，如果使用vim命令编辑退出时需要“：wq！”，强制保存。）

语法格式：
用户 主机名=命令程序列表
用户 主机名=（用户） 命令程序列表

用户 ：直接授权指定的用户名，或采用“组名"的形式(权一个组的所有用户)
主机名 ：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
（用户） ：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
命令程序列表： 允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令

使用visudo编辑

Tom ALL=/sbin/ifconfig Tom用户在所有主机当中都可以执行ifconfig命令
Jerry localhost=/sbin/,!/sbin/reboot,!/sbin/poweroff #通配符“*”表示所有、取反符号“!”表示排除

%wheel ALL=NOPASSWD: ALL #表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall

使用关键字 User_Alias、Host_Alias、Cmnd_Alias 来进行设置别名（别名必须为大写）

User_Alias USERS=Tom,Jerry,Mike     将用户取个别名
Host_Alias HOSTS=localhost,bogon     将主机名取别名
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel   允许以上用户使用权限
USERS HOSTS=CMNDS    调用别名

查看sudo操作记录

visudo
Defaults logfile = “/var/log/sudo” （将命令添加至最后一行：wq保存并退出）