linux系统安全

1.  账号安全控制

1.1 用户账号

计算机使用者的身份凭证或标识，每个要访问系统资源的人，必须凭借其用户账号才能进入计算机。    

1.2 系统账号和用户账号

除了超级用户 root 之外，其他大量账号只是用来维护系统运作、启动或保持服务进程，一般是不允许登录的，因此也称为非登录用户账号。
为了确保系统安全，这些用户账号的登录 Shell 通常是/sbin/nologin，表示禁止终端登录，应确保不被人为改动        

1.3 锁定账号和配置文件

使用 chattr 命令，分别结合“＋i”“-i”选项来锁定、解锁文件，使用 lsattr 命令可以查看文件锁定情况。    在账号文件被锁定的情况下，其内容将不允许变更，因此无法添加、删除账号，也不能更改用户的密码、登录Shell、宿主目录等属性信息。

chattr用法：

Ø chattr [选项] [符号] [属性] 文件名

Ø -R：递归处理目录及其所有子文件。

Ø -V：显示详细信息，解释执行了哪些操作。

Ø -f：抑制错误信息，只显示成功的更改。

Ø +：添加属性。

Ø -：移除属性。

Ø =：设置属性为指定的值。

Ø a：追加模式（append only），只能向文件末尾追加数据，不能修改或删除已有内容。

Ø i：不可修改（immutable），文件不能被修改、删除、重命名或链接。

Ø d：禁止备份（no dump），在执行dump备份程序时会被忽略。

Ø s：安全删除（secure deletion），文件删除后数据会被覆盖，无法恢复。

Ø u：不可恢复删除（undeletable），删除文件时保存其内容以便恢复。

Ø c：压缩（compress），文件会在磁盘上被压缩保存。

Ø A：不更新atime（no atime updates），访问文件时不更新其访问时间。

1.4 密码有效期设置(chage)

1.4.1 默认情况下，Linux用户的密码永不过期。 当需要对新用户进行密码限制时,可以通过编辑 /etc/login.defs 文件，设置当前密码的有效期限，具 体变量如下所示：

ØPASS_MAX_DAYS：密码可以使用的最多天数

ØPASS_MIN_DAYS：密码更改之间允许的最小天数

ØPASS_MIN_LEN：可接受的最小密码长度

ØPASS_WARN_AGE：密码过期前发出警告的天数

1.4.2 chage命令

1.5 命令历史

Linux 使用 history 命令记录命令历史记录并将其存储在文件 (~/.bash_history ) 中。可以使用不同的方法配置和操作历史记录。

清空历史命令：

• history -c
• 修改编辑 .bash_history 文件
• 为了永久禁用历史记录功能，可以在 .bashrc或 .bash_profile 文件中添加以下行：export HISTSIZE=0 # 不保存任何历史记录，export HISTFILESIZE=0 # 不保存任何历史记录
• unset HISTFILE (使用 unset 命令来删除 HISTFILE 环境变量。这将阻止 Bash 写入 .bash_history文件)

通过修改/etc/profile 文件中的 HISTSIZE 变量值，可 以影响系统中的所有用户。

1.6 注销

闲置超时由变量 TMOUT 来控制，默认单位为秒（s）

当正在执行程序代码编译、修改系统配置等耗时较长的 操作时，应避免设置 TMOUT 变量。 必要时可以执行“unset TMOUT”命令取消 TMOUT变量设置

1.7 用户切换和提权（su sudo）

用户切换：使用 su 命令，可以切换为指定的另一个用户，从而具 有该用户的所有权限。

限制切换：

• 修改sudoers文件，使用visudo命令来编辑sudoers文件，在打开的sudoers文件中，可以添加或修改规则来限制特定的用户可以使用su命令。例如mt ALL=(ALL) NOPASSWD: ALL

• 使用pam模块，PAM 认证一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so；PAM 认证首先要确定哪一项服务，然后加载相应的PAM 的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib/security 下)进行安全认证；用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证。不同的应用程序所对应的 PAM 模块也是不同的。

提权sudo命令

        sudo 机制的配置文件为/etc/sudoers，文件的默认权 限为 440，需使用专门的 visudo工具进行编辑。

        配置文件/etc/sudoers 中，授权记录的基本配置格式 ，user MACHINE=COMMANDS 授权配置主要包括用户、主机、命令三个部分，即授权哪些人在哪些主机上执行哪些命令

        用户、主机、命令部分都可以定义为别名（必须为大 写），分别通过关键字 User_Alias、Host_Alias、 Cmnd_Alias 来进行设置。

• 创建sudo.log文件: touch /var/log/sudo.log
• 修改文件权限: chmod root:root /var/log/sudo.log
• 修改rsyslog配置文件:vim /etc/rsyslog.conf,添加以下内容：local2.debug /var/log/sudo.log //※空白处用“Tab”键补齐，不可以用空格
• 重启rsyslog服务:systemctl restart rsyslog
• 修改sudo配置文件:visudo.添加以下内容：Defaults logfile=/var/log/sudo.log，Defaults loglinelen=0，Defaults !syslog

2. 系统引导和登录控制

2.1 调整BIOS引导设置

• 将第一优先引导设备（First Boot Device）设为当前系统所在磁盘。
• 禁止从其他设备（如光盘、U 盘、网络等）引导系统，对应的项设为“Disabled”
• 将 BIOS 的安全级别改为“setup”，并设置好管理密码，以防止未授权的修改。

2.2 限制更改BIOS引导

• 在Ubuntu及其衍生版本中，使用以下命令来安装：apt install grub2-common
• 使用grub-mkpasswd-pbkdf2命令创建GRUB 菜单密码
• 修改grub的文件vim /etc/grub.d/00_header（添加生成的密码）
• 使用 grub-mkconfig 命令生成新的 grub.cfg 配置文件。
• 通过上述配置，重新开机进入 GRUB 菜单时，必须根据提示输入正确的 GRUB 密码

2.3 禁止root用户登录

• 编辑 PAM 配置文件。这个文件用于控制对系统的访问权限。 sudo vi /etc/security/access.conf
• 如果想禁止 root 用户从 tty5 和 tty6 登录，可以添加如下规则：-:root:LOCAL，-:root:tty5，-:root:tty6，-:root:sshd（禁止sshd访问）u 这里的 -: 表示拒绝访问，root 是用户名，LOCAL 表示本地登录，tty5 和 tty6 是特定的终端。
• 禁止普通用户登录，建立/etc/nologin 文件即可。login程序会检查/etc/nologin 文件是否存在，如果存在，则拒绝普通用户登录系统（root 用户不受限制）

3. 弱口令，端口扫描

3.1 密码破解工具john

        John the Ripper 是一款开源的密码破解工具，能够在已知密文的情况下快速分析出明文的密码字串，支持DES、MD5 等多种加密算法，而且允许使用密码字典（包含各种密码组合的列表文件）来进行暴力破解。通过使用 John the Ripper，可以检测 Linux/UNIX 系统用户账号的密码强度

步骤：

• 安装john

• cp /etc/shadow /root/shadow.txt //准备待破解的密码文件