Linux系统安全入门

Linux系统安全入门

1. 起源与属性

• 1991年由芬兰大学生开创
• 是源代码开放的UNIX的分支
• Linux的发行遵循GNU的通用公共许可证

2. 内核说明

• 组成方式: 主版本号.次版本号.修订次数
• 如: 2.4.17

3. 重要目录(宗旨:一切皆文件)

• bin : 底下的指令可以被任何用户使用
• boot : 开机配置文件,核心文件等
• etc : 主要配置文件,用户管理员的账号密码,各种服务的启动脚本
• home:默认的用户家目录
• lib: 函数库
• media : 放置的是可以出的装备,软盘,光盘,DVD等暂时挂载于此的
• opt : 给第三方协力软件放置的目录
• root : 系统管理员目录
• sbin : 包括了开机,修复,还原系统的指令
• srv : 可视为service的缩写,是一些网路服务启动之后,服务所需取用的数据目录
• tmp : 让使用者,或者正在执行的程序暂时放置的地方

4. 重要子目录

• /usr/lib : 软件的函数库,目标文件,不常用脚本
• /usr/local : 本机自行下载安装的软件
• /var/lib : 程序本身执行的过程中,需要使用到的数据文件放置的目录
• /var/log : 登陆文件放置的目录,里面比较重要的文件如:
  a) /var/log/messages (记录登陆者的信息)
  b) /var/log/wtmp

5. 重要文件解读

• /etc/passwd:
• test: x :501:501:test user:/home/test:bin/bash
• 1 . test :用户名称,和用户UID对应，这是用户登录时使用的账号名称，在系统中是唯一的，不能重复。
• 2 .x :密码的代表字符,由于安全原因，把这个密码字段内容移动到/etc/shadown中，这里可以看到一个字母表示该用户密码在/etc/shadown中保护
• 3 .501:UID 用户ID,在系统中是唯一的。,范围是0~65535
• 4 .501:GID 用户组ID(Group ID),范围是0~65535
• 5 .test user :用户全名
• 6 ./home/test :用户登录后首先进入的目录，一般为（/home/用户名）这样的目录
• 7 ./bin/bash :用户shell,即当前用户登录后所使用的shell，在centos/rhel等linux中，默认的shell为bash，就是在这里设置的。如果不希望用户登录系统，可以用个usermod或者手工修改passwd配置，将该字段改为/sbin/nologin即可。如果仔细看passwd文件，会发现大部分内置系统虚拟账号的这个字段都是/sbin/nologin，表示禁止登录系统，这是出于安全考虑的。

• /etc/shadow
• test:$1$uw5trwWW8$ZME0pmArsfjkdlERadW1:14780:0:99999:7:::
• 1 .test :用户名
• 2 .1 : 加密算法类型(1:md5,5:SHA256,6:SHA512)
• 3 .uw5trwWW8 :salt(加盐,随机数)
• 4 .ZME0pmArsfjkdlERadW1 :密文
• 5 .14780 : 最后一次的密码修改时间(距日期1970.1.1的天数)
• 6 .0 : 密码使用天数
• 7 .99999 : 密码多少天过期
• 8 .7 :密码过期前几天提醒
• 9 . 过期后锁定
• 10 .密码锁定时间 (距日期1970.1.1的天数)
• 11 .

6. linux用户类型

• 第一类：root（超级管理员），UID为0，这个用户有极大的权限，可以直接无视很多的限制，包括读写执行的权限。

• 第二类：系统用户，UID为1～499。一般是不会被登入的。

• 第三类就是普通用户，UID范围一般是500～65534。这类用户的权限会受到基本权限的限制，也会受到来自管理员的限制。不过要注意nobody这个特殊的帐号，UID为65534，这个用户的权限会进一步的受到限制，一般用于实现来宾帐号。

7. 基本操作

• cd : 变换目录
• pwd : 显示当前目录位置
• mkdir : 穿件一个新的目录
• rmdir : 删除一个空目录
• ls : 文件与目录的检视 查看隐藏文件: ls -al
• ls -l : 从命令行查看权限

• 创建用户 useradd
  1 . 创建特定组的用户并设置密码
  2 . # useradd esuser -g esgroup -p espassword
• 创建组 groupadd # groupadd esgroup
• 更改文件所有权 chown
  1 . # chown -R esuser:esgroup /opt/software/elasticsearch/elasticsearch-7.2.0
• 更改组所有权 chgrp
  1.把文件 asd 的权限由esuser改为root
  2 . sudo chgrp root file1
• 设置权限(读写执行权限) chmod
• 权限赋予 sudo
• 添加用户 useradd
• 删除用户 userdel -r
• 锁定用户 passwd -l
• 用户属性 usermod
• 查询已经登录系统的用户–w
  1 . USER :当前登录的用户名称
  2 . TTY :分配给用户的会话终端.ttyX表示控制台登录, pts/X和ttypX表示网络连接
  3 . FROM :远程登录主机的ip地址
  4 .LOGIN@ :登录用户的本地起始时间
  5 .IDLE :最近一个进程运行开始算起的时间长度
  6 .JCPU :该网络连接或控制台全部进程所有的时间
  7 .PCPU :WHAT栏中进程所使用的处理器时间
  8 .WHAT :用户正在运行的进程

• 查看端口开放情况
  1.netstat -pan 查看当前开放的端口
  ii. lsof -I 显示进程和端口对应关系(根据PID对应端口)
  iii. ps -aux 查看进程

• 服务信息
  1 . chkconfig –list 查看服务启动的信息
  2 . 各种服务的启动脚本存放在 /etc/init.d 和 /etc/xinetd.d目录下
  3 . 六种运行模式 : 0 1 2 3 4 5 6
  4 . 若都为off 说明所有的模式都不会自动运行,需要手动启动

8. 安全配置(常规加固)

• a) 管理重要目录和文件权限的方法
• 检查权限 : ls -l

• 对重要文件,目录 进行仅root可读可写权限,如下:
  1 .chmod -R 750 /etc/rc.d/init.d/*
• 权限说明
  

• 处理umak值
  1 .说明:umask值用于设置用户在创建文件时的默认权限，当我们在系统中创建目录或文件时，目录或文件所具有的默认权限就是由umask值决定的。对于root用户，系统默认的umask值是0022；对于普通用户，系统默认的umask值是0002。执行umask命令可以查看当前用户的umask值。
  2 .设置默认的umask值,增强安全性
  3 .加固方法:使用命令 “vi /etc/profile” 修改配置文件,添加 “umask 027”,即新建的文件属性读写执行权限,同组用户读和执行权限,其他用户无权限,使用命令”umask027” 应用设置

• Bash历史命令
  a) 防止他人通过保留的历史命令了解系统信息
  b) 检查方法:
  i. 使用命令cat /etc/profile|grp HISTSIZE 或者 cat /etc/profile|grep HISTFILESIZE= 查看保留历史命令的条数
  c) 加固方法:
  i. vi /etc/profile 修改成 HISTSIZE=5 HISTFILESIZE=5 只保留五条

• 登陆超时,设置超时时间
  a) 检查方法
  i. cat /etc/profile|grep TMOUT
  b) 加固方法
  i. vi /etc/profile 添加 UT=180 为3分钟超时

9. 账户安全

• 禁用无用账号
  a) 检查方法
• 使用 cat /etc/passwd 查看口令文件 不需要登陆的,应该是/sbin/nologin
  b) 加固方法
• passwd -l 用户名 //锁定不必要的账号

• 账号策略
  a) 检查方法
• 使用 cat /etc/pam.d/ system-auth 查看噢诶之文件
  b) 加固方法
• 如 : 设置连续10次密码错误,锁定账号五分钟
• 修改vi /etc/pam.d/ system-auth

• 添加命令 auth required pam_tally.so onerr=fail deny=10 unlock_time=300

• 检查特殊账号(awk 行处理器)
  a) 检查方法
• 使用 awk -F:’($2=="")’ /etc/shadow 查看空口令账号
• 使用 awk -F:’($3==0)’ /etc/shadow 查看UID为0的账号
  b) 加固方法
• passwd 用户名 为空口令设置密码
  只有root用户可以UID为0 其他的需要更改为非0 :usermod -u UID 用户名

10. 服务进程

待续…(最近懒)