Linux系統安全入門

Linux系統安全入門

1. 起源與屬性

• 1991年由芬蘭大學生開創
• 是源代碼開放的UNIX的分支
• Linux的發行遵循GNU的通用公共許可證

2. 內核說明

• 組成方式: 主版本號.次版本號.修訂次數
• 如: 2.4.17

3. 重要目錄(宗旨:一切皆文件)

• bin : 底下的指令可以被任何用戶使用
• boot : 開機配置文件,核心文件等
• etc : 主要配置文件,用戶管理員的賬號密碼,各種服務的啓動腳本
• home:默認的用戶家目錄
• lib: 函數庫
• media : 放置的是可以出的裝備,軟盤,光盤,DVD等暫時掛載於此的
• opt : 給第三方協力軟件放置的目錄
• root : 系統管理員目錄
• sbin : 包括了開機,修復,還原系統的指令
• srv : 可視爲service的縮寫,是一些網路服務啓動之後,服務所需取用的數據目錄
• tmp : 讓使用者,或者正在執行的程序暫時放置的地方

4. 重要子目錄

• /usr/lib : 軟件的函數庫,目標文件,不常用腳本
• /usr/local : 本機自行下載安裝的軟件
• /var/lib : 程序本身執行的過程中,需要使用到的數據文件放置的目錄
• /var/log : 登陸文件放置的目錄,裏面比較重要的文件如:
  a) /var/log/messages (記錄登陸者的信息)
  b) /var/log/wtmp

5. 重要文件解讀

• /etc/passwd:
• test: x :501:501:test user:/home/test:bin/bash
• 1 . test :用戶名稱,和用戶UID對應，這是用戶登錄時使用的賬號名稱，在系統中是唯一的，不能重複。
• 2 .x :密碼的代表字符,由於安全原因，把這個密碼字段內容移動到/etc/shadown中，這裏可以看到一個字母表示該用戶密碼在/etc/shadown中保護
• 3 .501:UID 用戶ID,在系統中是唯一的。,範圍是0~65535
• 4 .501:GID 用戶組ID(Group ID),範圍是0~65535
• 5 .test user :用戶全名
• 6 ./home/test :用戶登錄後首先進入的目錄，一般爲（/home/用戶名）這樣的目錄
• 7 ./bin/bash :用戶shell,即當前用戶登錄後所使用的shell，在centos/rhel等linux中，默認的shell爲bash，就是在這裏設置的。如果不希望用戶登錄系統，可以用個usermod或者手工修改passwd配置，將該字段改爲/sbin/nologin即可。如果仔細看passwd文件，會發現大部分內置系統虛擬賬號的這個字段都是/sbin/nologin，表示禁止登錄系統，這是出於安全考慮的。

• /etc/shadow
• test:$1$uw5trwWW8$ZME0pmArsfjkdlERadW1:14780:0:99999:7:::
• 1 .test :用戶名
• 2 .1 : 加密算法類型(1:md5,5:SHA256,6:SHA512)
• 3 .uw5trwWW8 :salt(加鹽,隨機數)
• 4 .ZME0pmArsfjkdlERadW1 :密文
• 5 .14780 : 最後一次的密碼修改時間(距日期1970.1.1的天數)
• 6 .0 : 密碼使用天數
• 7 .99999 : 密碼多少天過期
• 8 .7 :密碼過期前幾天提醒
• 9 . 過期後鎖定
• 10 .密碼鎖定時間 (距日期1970.1.1的天數)
• 11 .

6. linux用戶類型

• 第一類：root（超級管理員），UID爲0，這個用戶有極大的權限，可以直接無視很多的限制，包括讀寫執行的權限。

• 第二類：系統用戶，UID爲1～499。一般是不會被登入的。

• 第三類就是普通用戶，UID範圍一般是500～65534。這類用戶的權限會受到基本權限的限制，也會受到來自管理員的限制。不過要注意nobody這個特殊的帳號，UID爲65534，這個用戶的權限會進一步的受到限制，一般用於實現來賓帳號。

7. 基本操作

• cd : 變換目錄
• pwd : 顯示當前目錄位置
• mkdir : 穿件一個新的目錄
• rmdir : 刪除一個空目錄
• ls : 文件與目錄的檢視 查看隱藏文件: ls -al
• ls -l : 從命令行查看權限

• 創建用戶 useradd
  1 . 創建特定組的用戶並設置密碼
  2 . # useradd esuser -g esgroup -p espassword
• 創建組 groupadd # groupadd esgroup
• 更改文件所有權 chown
  1 . # chown -R esuser:esgroup /opt/software/elasticsearch/elasticsearch-7.2.0
• 更改組所有權 chgrp
  1.把文件 asd 的權限由esuser改爲root
  2 . sudo chgrp root file1
• 設置權限(讀寫執行權限) chmod
• 權限賦予 sudo
• 添加用戶 useradd
• 刪除用戶 userdel -r
• 鎖定用戶 passwd -l
• 用戶屬性 usermod
• 查詢已經登錄系統的用戶–w
  1 . USER :當前登錄的用戶名稱
  2 . TTY :分配給用戶的會話終端.ttyX表示控制檯登錄, pts/X和ttypX表示網絡連接
  3 . FROM :遠程登錄主機的ip地址
  4 .LOGIN@ :登錄用戶的本地起始時間
  5 .IDLE :最近一個進程運行開始算起的時間長度
  6 .JCPU :該網絡連接或控制檯全部進程所有的時間
  7 .PCPU :WHAT欄中進程所使用的處理器時間
  8 .WHAT :用戶正在運行的進程

• 查看端口開放情況
  1.netstat -pan 查看當前開放的端口
  ii. lsof -I 顯示進程和端口對應關係(根據PID對應端口)
  iii. ps -aux 查看進程

• 服務信息
  1 . chkconfig –list 查看服務啓動的信息
  2 . 各種服務的啓動腳本存放在 /etc/init.d 和 /etc/xinetd.d目錄下
  3 . 六種運行模式 : 0 1 2 3 4 5 6
  4 . 若都爲off 說明所有的模式都不會自動運行,需要手動啓動

8. 安全配置(常規加固)

• a) 管理重要目錄和文件權限的方法
• 檢查權限 : ls -l

• 對重要文件,目錄 進行僅root可讀可寫權限,如下:
  1 .chmod -R 750 /etc/rc.d/init.d/*
• 權限說明
  

• 處理umak值
  1 .說明:umask值用於設置用戶在創建文件時的默認權限，當我們在系統中創建目錄或文件時，目錄或文件所具有的默認權限就是由umask值決定的。對於root用戶，系統默認的umask值是0022；對於普通用戶，系統默認的umask值是0002。執行umask命令可以查看當前用戶的umask值。
  2 .設置默認的umask值,增強安全性
  3 .加固方法:使用命令 “vi /etc/profile” 修改配置文件,添加 “umask 027”,即新建的文件屬性讀寫執行權限,同組用戶讀和執行權限,其他用戶無權限,使用命令”umask027” 應用設置

• Bash歷史命令
  a) 防止他人通過保留的歷史命令瞭解系統信息
  b) 檢查方法:
  i. 使用命令cat /etc/profile|grp HISTSIZE 或者 cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
  c) 加固方法:
  i. vi /etc/profile 修改成 HISTSIZE=5 HISTFILESIZE=5 只保留五條

• 登陸超時,設置超時時間
  a) 檢查方法
  i. cat /etc/profile|grep TMOUT
  b) 加固方法
  i. vi /etc/profile 添加 UT=180 爲3分鐘超時

9. 賬戶安全

• 禁用無用賬號
  a) 檢查方法
• 使用 cat /etc/passwd 查看口令文件 不需要登陸的,應該是/sbin/nologin
  b) 加固方法
• passwd -l 用戶名 //鎖定不必要的賬號

• 賬號策略
  a) 檢查方法
• 使用 cat /etc/pam.d/ system-auth 查看噢誒之文件
  b) 加固方法
• 如 : 設置連續10次密碼錯誤,鎖定賬號五分鐘
• 修改vi /etc/pam.d/ system-auth

• 添加命令 auth required pam_tally.so onerr=fail deny=10 unlock_time=300

• 檢查特殊賬號(awk 行處理器)
  a) 檢查方法
• 使用 awk -F:’($2=="")’ /etc/shadow 查看空口令賬號
• 使用 awk -F:’($3==0)’ /etc/shadow 查看UID爲0的賬號
  b) 加固方法
• passwd 用戶名 爲空口令設置密碼
  只有root用戶可以UID爲0 其他的需要更改爲非0 :usermod -u UID 用戶名

10. 服務進程

待續…(最近懶)