Linux系統安全入門
1. 起源與屬性
- 1991年由芬蘭大學生開創
- 是源代碼開放的UNIX的分支
- Linux的發行遵循GNU的通用公共許可證
2. 內核說明
- 組成方式: 主版本號.次版本號.修訂次數
- 如: 2.4.17
3. 重要目錄(宗旨:一切皆文件)
- bin : 底下的指令可以被任何用戶使用
- boot : 開機配置文件,核心文件等
- etc : 主要配置文件,用戶管理員的賬號密碼,各種服務的啓動腳本
- home:默認的用戶家目錄
- lib: 函數庫
- media : 放置的是可以出的裝備,軟盤,光盤,DVD等暫時掛載於此的
- opt : 給第三方協力軟件放置的目錄
- root : 系統管理員目錄
- sbin : 包括了開機,修復,還原系統的指令
- srv : 可視爲service的縮寫,是一些網路服務啓動之後,服務所需取用的數據目錄
- tmp : 讓使用者,或者正在執行的程序暫時放置的地方
4. 重要子目錄
- /usr/lib : 軟件的函數庫,目標文件,不常用腳本
- /usr/local : 本機自行下載安裝的軟件
- /var/lib : 程序本身執行的過程中,需要使用到的數據文件放置的目錄
- /var/log : 登陸文件放置的目錄,裏面比較重要的文件如:
a) /var/log/messages (記錄登陸者的信息)
b) /var/log/wtmp
5. 重要文件解讀
- /etc/passwd:
- test: x :501:501:test user:/home/test:bin/bash
- 1 . test :用戶名稱,和用戶UID對應,這是用戶登錄時使用的賬號名稱,在系統中是唯一的,不能重複。
- 2 .x :密碼的代表字符,由於安全原因,把這個密碼字段內容移動到/etc/shadown中,這裏可以看到一個字母表示該用戶密碼在/etc/shadown中保護
- 3 .501:UID 用戶ID,在系統中是唯一的。,範圍是0~65535
- 4 .501:GID 用戶組ID(Group ID),範圍是0~65535
- 5 .test user :用戶全名
- 6 ./home/test :用戶登錄後首先進入的目錄,一般爲(/home/用戶名)這樣的目錄
- 7 ./bin/bash :用戶shell,即當前用戶登錄後所使用的shell,在centos/rhel等linux中,默認的shell爲bash,就是在這裏設置的。如果不希望用戶登錄系統,可以用個usermod或者手工修改passwd配置,將該字段改爲/sbin/nologin即可。如果仔細看passwd文件,會發現大部分內置系統虛擬賬號的這個字段都是/sbin/nologin,表示禁止登錄系統,這是出於安全考慮的。
- /etc/shadow
- test:uw5trwWW8$ZME0pmArsfjkdlERadW1:14780:0:99999:7:::
- 1 .test :用戶名
- 2 .1 : 加密算法類型(1:md5,5:SHA256,6:SHA512)
- 3 .uw5trwWW8 :salt(加鹽,隨機數)
- 4 .ZME0pmArsfjkdlERadW1 :密文
- 5 .14780 : 最後一次的密碼修改時間(距日期1970.1.1的天數)
- 6 .0 : 密碼使用天數
- 7 .99999 : 密碼多少天過期
- 8 .7 :密碼過期前幾天提醒
- 9 . 過期後鎖定
- 10 .密碼鎖定時間 (距日期1970.1.1的天數)
- 11 .
6. linux用戶類型
- 第一類:root(超級管理員),UID爲0,這個用戶有極大的權限,可以直接無視很多的限制,包括讀寫執行的權限。
- 第二類:系統用戶,UID爲1~499。一般是不會被登入的。
- 第三類就是普通用戶,UID範圍一般是500~65534。這類用戶的權限會受到基本權限的限制,也會受到來自管理員的限制。不過要注意nobody這個特殊的帳號,UID爲65534,這個用戶的權限會進一步的受到限制,一般用於實現來賓帳號。
7. 基本操作
- cd : 變換目錄
- pwd : 顯示當前目錄位置
- mkdir : 穿件一個新的目錄
- rmdir : 刪除一個空目錄
- ls : 文件與目錄的檢視 查看隱藏文件: ls -al
- ls -l : 從命令行查看權限
- 創建用戶 useradd
1 . 創建特定組的用戶並設置密碼
2 . # useradd esuser -g esgroup -p espassword- 創建組 groupadd # groupadd esgroup
- 更改文件所有權 chown
1 . # chown -R esuser:esgroup /opt/software/elasticsearch/elasticsearch-7.2.0- 更改組所有權 chgrp
1.把文件 asd 的權限由esuser改爲root
2 . sudo chgrp root file1- 設置權限(讀寫執行權限) chmod
- 權限賦予 sudo
- 添加用戶 useradd
- 刪除用戶 userdel -r
- 鎖定用戶 passwd -l
- 用戶屬性 usermod
- 查詢已經登錄系統的用戶–w
1 . USER :當前登錄的用戶名稱
2 . TTY :分配給用戶的會話終端.ttyX表示控制檯登錄, pts/X和ttypX表示網絡連接
3 . FROM :遠程登錄主機的ip地址
4 .LOGIN@ :登錄用戶的本地起始時間
5 .IDLE :最近一個進程運行開始算起的時間長度
6 .JCPU :該網絡連接或控制檯全部進程所有的時間
7 .PCPU :WHAT欄中進程所使用的處理器時間
8 .WHAT :用戶正在運行的進程
- 查看端口開放情況
1.netstat -pan 查看當前開放的端口
ii. lsof -I 顯示進程和端口對應關係(根據PID對應端口)
iii. ps -aux 查看進程
- 服務信息
1 . chkconfig –list 查看服務啓動的信息
2 . 各種服務的啓動腳本存放在 /etc/init.d 和 /etc/xinetd.d目錄下
3 . 六種運行模式 : 0 1 2 3 4 5 6
4 . 若都爲off 說明所有的模式都不會自動運行,需要手動啓動
8. 安全配置(常規加固)
- a) 管理重要目錄和文件權限的方法
- 檢查權限 : ls -l
- 對重要文件,目錄 進行僅root可讀可寫權限,如下:
1 .chmod -R 750 /etc/rc.d/init.d/*- 權限說明
- 處理umak值
1 .說明:umask值用於設置用戶在創建文件時的默認權限,當我們在系統中創建目錄或文件時,目錄或文件所具有的默認權限就是由umask值決定的。對於root用戶,系統默認的umask值是0022;對於普通用戶,系統默認的umask值是0002。執行umask命令可以查看當前用戶的umask值。
2 .設置默認的umask值,增強安全性
3 .加固方法:使用命令 “vi /etc/profile” 修改配置文件,添加 “umask 027”,即新建的文件屬性讀寫執行權限,同組用戶讀和執行權限,其他用戶無權限,使用命令”umask027” 應用設置
- Bash歷史命令
a) 防止他人通過保留的歷史命令瞭解系統信息
b) 檢查方法:
i. 使用命令cat /etc/profile|grp HISTSIZE 或者 cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
c) 加固方法:
i. vi /etc/profile 修改成 HISTSIZE=5 HISTFILESIZE=5 只保留五條
- 登陸超時,設置超時時間
a) 檢查方法
i. cat /etc/profile|grep TMOUT
b) 加固方法
i. vi /etc/profile 添加 UT=180 爲3分鐘超時
9. 賬戶安全
- 禁用無用賬號
a) 檢查方法- 使用 cat /etc/passwd 查看口令文件 不需要登陸的,應該是/sbin/nologin
b) 加固方法- passwd -l 用戶名 //鎖定不必要的賬號
- 賬號策略
a) 檢查方法- 使用 cat /etc/pam.d/ system-auth 查看噢誒之文件
b) 加固方法- 如 : 設置連續10次密碼錯誤,鎖定賬號五分鐘
- 修改vi /etc/pam.d/ system-auth
- 添加命令 auth required pam_tally.so onerr=fail deny=10 unlock_time=300
- 檢查特殊賬號(awk 行處理器)
a) 檢查方法- 使用 awk -F:’($2=="")’ /etc/shadow 查看空口令賬號
- 使用 awk -F:’($3==0)’ /etc/shadow 查看UID爲0的賬號
b) 加固方法- passwd 用戶名 爲空口令設置密碼
只有root用戶可以UID爲0 其他的需要更改爲非0 :usermod -u UID 用戶名
10. 服務進程
待續…(最近懶)