Linux系统安全入门
1. 起源与属性
- 1991年由芬兰大学生开创
- 是源代码开放的UNIX的分支
- Linux的发行遵循GNU的通用公共许可证
2. 内核说明
- 组成方式: 主版本号.次版本号.修订次数
- 如: 2.4.17
3. 重要目录(宗旨:一切皆文件)
- bin : 底下的指令可以被任何用户使用
- boot : 开机配置文件,核心文件等
- etc : 主要配置文件,用户管理员的账号密码,各种服务的启动脚本
- home:默认的用户家目录
- lib: 函数库
- media : 放置的是可以出的装备,软盘,光盘,DVD等暂时挂载于此的
- opt : 给第三方协力软件放置的目录
- root : 系统管理员目录
- sbin : 包括了开机,修复,还原系统的指令
- srv : 可视为service的缩写,是一些网路服务启动之后,服务所需取用的数据目录
- tmp : 让使用者,或者正在执行的程序暂时放置的地方
4. 重要子目录
- /usr/lib : 软件的函数库,目标文件,不常用脚本
- /usr/local : 本机自行下载安装的软件
- /var/lib : 程序本身执行的过程中,需要使用到的数据文件放置的目录
- /var/log : 登陆文件放置的目录,里面比较重要的文件如:
a) /var/log/messages (记录登陆者的信息)
b) /var/log/wtmp
5. 重要文件解读
- /etc/passwd:
- test: x :501:501:test user:/home/test:bin/bash
- 1 . test :用户名称,和用户UID对应,这是用户登录时使用的账号名称,在系统中是唯一的,不能重复。
- 2 .x :密码的代表字符,由于安全原因,把这个密码字段内容移动到/etc/shadown中,这里可以看到一个字母表示该用户密码在/etc/shadown中保护
- 3 .501:UID 用户ID,在系统中是唯一的。,范围是0~65535
- 4 .501:GID 用户组ID(Group ID),范围是0~65535
- 5 .test user :用户全名
- 6 ./home/test :用户登录后首先进入的目录,一般为(/home/用户名)这样的目录
- 7 ./bin/bash :用户shell,即当前用户登录后所使用的shell,在centos/rhel等linux中,默认的shell为bash,就是在这里设置的。如果不希望用户登录系统,可以用个usermod或者手工修改passwd配置,将该字段改为/sbin/nologin即可。如果仔细看passwd文件,会发现大部分内置系统虚拟账号的这个字段都是/sbin/nologin,表示禁止登录系统,这是出于安全考虑的。
- /etc/shadow
- test:uw5trwWW8$ZME0pmArsfjkdlERadW1:14780:0:99999:7:::
- 1 .test :用户名
- 2 .1 : 加密算法类型(1:md5,5:SHA256,6:SHA512)
- 3 .uw5trwWW8 :salt(加盐,随机数)
- 4 .ZME0pmArsfjkdlERadW1 :密文
- 5 .14780 : 最后一次的密码修改时间(距日期1970.1.1的天数)
- 6 .0 : 密码使用天数
- 7 .99999 : 密码多少天过期
- 8 .7 :密码过期前几天提醒
- 9 . 过期后锁定
- 10 .密码锁定时间 (距日期1970.1.1的天数)
- 11 .
6. linux用户类型
- 第一类:root(超级管理员),UID为0,这个用户有极大的权限,可以直接无视很多的限制,包括读写执行的权限。
- 第二类:系统用户,UID为1~499。一般是不会被登入的。
- 第三类就是普通用户,UID范围一般是500~65534。这类用户的权限会受到基本权限的限制,也会受到来自管理员的限制。不过要注意nobody这个特殊的帐号,UID为65534,这个用户的权限会进一步的受到限制,一般用于实现来宾帐号。
7. 基本操作
- cd : 变换目录
- pwd : 显示当前目录位置
- mkdir : 穿件一个新的目录
- rmdir : 删除一个空目录
- ls : 文件与目录的检视 查看隐藏文件: ls -al
- ls -l : 从命令行查看权限
- 创建用户 useradd
1 . 创建特定组的用户并设置密码
2 . # useradd esuser -g esgroup -p espassword- 创建组 groupadd # groupadd esgroup
- 更改文件所有权 chown
1 . # chown -R esuser:esgroup /opt/software/elasticsearch/elasticsearch-7.2.0- 更改组所有权 chgrp
1.把文件 asd 的权限由esuser改为root
2 . sudo chgrp root file1- 设置权限(读写执行权限) chmod
- 权限赋予 sudo
- 添加用户 useradd
- 删除用户 userdel -r
- 锁定用户 passwd -l
- 用户属性 usermod
- 查询已经登录系统的用户–w
1 . USER :当前登录的用户名称
2 . TTY :分配给用户的会话终端.ttyX表示控制台登录, pts/X和ttypX表示网络连接
3 . FROM :远程登录主机的ip地址
4 .LOGIN@ :登录用户的本地起始时间
5 .IDLE :最近一个进程运行开始算起的时间长度
6 .JCPU :该网络连接或控制台全部进程所有的时间
7 .PCPU :WHAT栏中进程所使用的处理器时间
8 .WHAT :用户正在运行的进程
- 查看端口开放情况
1.netstat -pan 查看当前开放的端口
ii. lsof -I 显示进程和端口对应关系(根据PID对应端口)
iii. ps -aux 查看进程
- 服务信息
1 . chkconfig –list 查看服务启动的信息
2 . 各种服务的启动脚本存放在 /etc/init.d 和 /etc/xinetd.d目录下
3 . 六种运行模式 : 0 1 2 3 4 5 6
4 . 若都为off 说明所有的模式都不会自动运行,需要手动启动
8. 安全配置(常规加固)
- a) 管理重要目录和文件权限的方法
- 检查权限 : ls -l
- 对重要文件,目录 进行仅root可读可写权限,如下:
1 .chmod -R 750 /etc/rc.d/init.d/*- 权限说明
- 处理umak值
1 .说明:umask值用于设置用户在创建文件时的默认权限,当我们在系统中创建目录或文件时,目录或文件所具有的默认权限就是由umask值决定的。对于root用户,系统默认的umask值是0022;对于普通用户,系统默认的umask值是0002。执行umask命令可以查看当前用户的umask值。
2 .设置默认的umask值,增强安全性
3 .加固方法:使用命令 “vi /etc/profile” 修改配置文件,添加 “umask 027”,即新建的文件属性读写执行权限,同组用户读和执行权限,其他用户无权限,使用命令”umask027” 应用设置
- Bash历史命令
a) 防止他人通过保留的历史命令了解系统信息
b) 检查方法:
i. 使用命令cat /etc/profile|grp HISTSIZE 或者 cat /etc/profile|grep HISTFILESIZE= 查看保留历史命令的条数
c) 加固方法:
i. vi /etc/profile 修改成 HISTSIZE=5 HISTFILESIZE=5 只保留五条
- 登陆超时,设置超时时间
a) 检查方法
i. cat /etc/profile|grep TMOUT
b) 加固方法
i. vi /etc/profile 添加 UT=180 为3分钟超时
9. 账户安全
- 禁用无用账号
a) 检查方法- 使用 cat /etc/passwd 查看口令文件 不需要登陆的,应该是/sbin/nologin
b) 加固方法- passwd -l 用户名 //锁定不必要的账号
- 账号策略
a) 检查方法- 使用 cat /etc/pam.d/ system-auth 查看噢诶之文件
b) 加固方法- 如 : 设置连续10次密码错误,锁定账号五分钟
- 修改vi /etc/pam.d/ system-auth
- 添加命令 auth required pam_tally.so onerr=fail deny=10 unlock_time=300
- 检查特殊账号(awk 行处理器)
a) 检查方法- 使用 awk -F:’($2=="")’ /etc/shadow 查看空口令账号
- 使用 awk -F:’($3==0)’ /etc/shadow 查看UID为0的账号
b) 加固方法- passwd 用户名 为空口令设置密码
只有root用户可以UID为0 其他的需要更改为非0 :usermod -u UID 用户名
10. 服务进程
待续…(最近懒)
来源:CSDN
作者:实习生AK
链接:https://blog.csdn.net/li963820454/article/details/103663083