账号安全控制
用户账号是计算机使用者的身份或标识,每一个访问系统资源的人,必须凭借其用户账号才能进入计算机。
基本安全措施
系统账号清理
除了手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其他大量账号。常见的非账号用户包括bin,daemon,adm,lp,,mail
,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等。但是为了确保系统的安全,这些用户登录shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。
grep "/sbin/nologin$" /etc/passwd
各种非登录用户中,还有相当一部分是很少用到的,如news,uucp,games,gopher。这些用户视为冗余账号,直接删除即可。
linux还有长期不实用的用户账号,若无法确定是否应该删除,可以暂时将其锁定。passwd,usermod命令都可以用来锁定,解锁账号。
usermod -L tanhong 锁定账号
passwd -S tanhong 查看账号状态
usermod -U tanhong 解锁账号
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。使用chattr命令,分别结合“+i”,"-i"选项来锁定,解锁文件,使用lsattr命令可以查看文件锁定情况。
chattr +i /etc/passwd /etc/shadow 锁定文件
lsattr /etc/passwd /etc/shadow 查看为锁定的状态
chattr +i /etc/passwd /etc/shadow 解锁文件
lsattr /etc/passwd /etc/shadow 查看为解锁的状态
在账号被锁定的情况下,其内容将不允许变更,因此无法添加,删除账号,也不能更改用户的密码,登录sheel,宿主目录等属性信息
密码安全控制。
在不安全的网络环境中,为了降低密码被猜出来或暴力破解风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。某些特殊情况下,如要求批量的用户初次登陆时必须自设密码,根据安全规划统一要求所有用户更新密码,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码。
命令历史,自动注销。
shell环境的命令历史机制为用户提供啦极大的便利,但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余。
bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条,通过修改/etc/profile文件中的HISTSIZE变量可以影响系统中的所有用户。
vim /etc/profile
HISTSIZE=200
除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。
bash终端环境中,可以设置一个闲置超时时间,当超过指定的时间没有任何输入时自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险,闲置超时由变量TMOUT来控制,默认单位为秒
用户切换与提权
linux服务器并不建议用户直接以root用户进行登陆,一方面可以大大减少因误操作而导致的破坏。su命令主要用来切换用户,而sudo命令用来提升执行权限
su命令--切换用户
可以切换为指定的另一个用户,从而具有该用户的所有权限。
su - root
选项"-"等同于“--login”或“-l”,表示切换用户后进入目标用户的登陆shell环境,若缺少此选项则仅切换身份,不切换身份,不切换用户环境。
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登陆密码,带来安全风险,为了加强su命令的使用控制,可以借助pam_wheel认证模块,只允许极个别用户使用su命令进行切换。将授权使用su命令的用户添加到wheel组,修改/etc/pam,d/su认证配置以启用pam_wheel认证
启动pam_wheel认证以后,未加入组内的其他用户将无法使用su命令,尝试进行切换时将会按照“密码不正确”来处理,从而将切换用户udall权限控制在最小范围内
使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。
dudo命令--提升执行权限
通过su命令可以非常方便地切换为另一个用户,前提是必须知道目标用户的登陆密码
在配置文件/etc/sudoers中添加授权
sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,需要用专门的visuso工具进行编辑,但是保存时必须执行“:w!”命令来强制操作,否则系统将提示为只读文件而拒绝保存。
配置文件/etc/sudores中,授权记录的基本配置格式
user MACHINE=COMMANDS
授权配置主要包括用户,主机,命令三个部分,即授权那些主机上执行哪些命令。
用户(USER):授权的用户,或采用“%”的形式
主机(MACHINE):使用此配置文件的主机名称,此部分是方便在多个主机间共用同一份sudoers文件
命令(COMMANDS):允许授权的用户通过sudo方式执行的特殊命令
典型sudo配置记录中,每一行对应一个用户或组的sudo授权配置。
当使用相同的授权用户较多时,或者授权的命令较多时,可以采用集中定义的别名。每户,主机,命令部分都可以定义为别名,分别通过关键字user_alias,Host_Alias,cmmd_Ailas来进行设置。
sudo配置记录的命令部分允许使用配置符“*”,取反符号“!”,当某个目录下的所有命令或取消其中个别命令时特别有用
若要授权用户syrianer可以执行/sbin目录下除ifconfig,route以外的其他所有命令程序,
通过sudo方式执行的操作并不记录,若要启用sudo日志以备管理员查看,应在/etc/sudoers文件中增加“Defaults logfile”设置
通过sudo执行特权命令
对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令作为sudo命令的参数即可。由于特权命令程序位于/sbin,/usr/sbin等目录下。普通用户执行时应使用绝对路径。
当前会话过程中,第一次通过sudo执行命令时,必须以用户自己的秘密进行验证。若要查看用户自己获得哪些sudo授权,可以执行“sudo -l”命令,未授权的用户将会得到“may not run sudo”的提示,已授权的用户则可以看到自己的sudo配置
系统引导和登陆控制
调整BLOS引导设置
将第一优先设备设为当前系统所在磁盘
禁止从其他设备引导系统,对应的项设为“Disabled”
将BLOS的安全级别改为“setup”,并设置好管理密码,防止未授权的修改
禁止ctrl+alt-del快捷键重启
快捷键重启功能为服务器的本地维护提供了方便,但对于多终端登陆的linux服务器,禁止此功能是比较安全的选择。在rhel6中ctrl-alt+del快捷键的位置更改为/etc/init/control-alt-delete.conf,注释掉里面的信息
限制更改GRUB引导参数
GRUB引导参数进入单用户模式,以便对一些系统问题进行修复。安全系统的角度看,如果任何人都能够修改GRUB引导参数,对服务器本身显然是一个威胁。可以为GRUN设置一个密码,只有提供正确的秘密才被允许修改引导参数
为GRUB菜单设置的秘密建议采用“grub-md5-crypt”命令生成,表现经过MD5算法加密的字符串,安全性更好。在grub.cof配置文件中,使用“password--md5”配置项来指定MD5
修改完之后,重新开机进入GRUB菜单时,直接按E无法修改引导参数,若要获得编辑权限,必须先按p键并输入GRUB密码。
为GRUB设置密码时,“--md5--”部分可替换为明文的密码字符串。
终端及登录控制
默认开启啦六个终端,允许运行任何用户进行本地登录。
减少开发的tty终端个数
对于远程维护的linux服务器,六个tty终端实际上有点多余。
修改/etc/init/start-ttys.conf和/etc/sysconfig/init。可以减少开放的tty终端数量。
禁止root用户登录
login程序会读取/etc/securetty文件,以决定允许root用户从那些终端登录系统。r若要禁用root用户从tty5,tty6登陆,可以修改/etc/securetty文件。
禁止普通用户登录
服务器在备份或者调试过程中,可能不希望有新用户登录系统,这时候,只需简单的建立/etc/nologin文件即可。login程序会检查/etc/nologin文件是否存在。
弱口令检测-john the ripper
过于简单的口令是服务器面临的最大风险,john the ripper是一款开源的秘密破解工具,能够在已知密文的情况下快速分析出明文的秘密字串,支持DES,MD5等多种加密算法,而且运行使用密码字典进行暴力破解。
网络扫描——NMAP
NMAP是一个强大的扫描泪安全评测工具,NMAP被设计为检测主机数量众多的巨大网络,支持ping扫描,多端口检测,os识别等多种技术,可以定期扫描内部网络,可以找出网络中不可控的应用服务,及时关闭不安全的服务,减少安全风险。