Linux系统安全

安全

1.分类

1）物理安全（防止人为破坏或自然灾害）

2）系统安全（用户、权限、访问控制等）

3）网络安全（VLAN、Qos、端口、×××）

4）数据安全（RAID、加密、令牌等）

二、系统安全

1.用户管理

1）删除长时间不使用的用户

userdel [-r] 用户名

选项

-r：删除指定用户家目录

2）设置程序用户Shell为不允许登陆系统

usermod -s /sbin/nologin 用户

3）临时使用用户（设置用户的最长使用期限）

chage -E 日期 用户

chage -l 用户

4）锁定文件，该文件不能被删除（粘指位）

chattr +i /etc/passwd && chattr +i /etc/shadow //指定文件将不能删除

chattr -i /etc/passwd && chattr -i /etc/shadow //移除指定文件的粘滞位

lsattr 文件 //查看指定用户是否设置粘滞位

chmod o+t 目录/文件 //给指定目录/文件设置粘滞位

chmod o-t 目录/文件 //给指定目录/文件取消粘滞位

ls -ld 目录 //查看目录的粘滞位设置情况（t权限位）

注：所有者及root用户不受限制

Linux特权权限

SUID（对二进制文件生效，使普通用户以所有者的权限执行文件）、SGID（对目录生效，保持原目录的所有组）、Stickybit（防止用户删除文件/目录）

SUID：chmod u+s | u-s 文件

SGID：chmod g+s | g-s 目录

Stickybit：chmod o+t | o-t 文件/目录

八进制：SUID=4、SGID=2、Stickybit=1

chmod 4755 //设置文件或目录拥有SUID及所有者拥有完全权限，所有组拥有读取、执行权限，其它用户拥有读取、执行权限

5）设置密码有效期

已存在用户

passwd -S 用户

passwd -x 天数 用户

新建用户

vim /etc/login.defs

25 PASS_MAX_DAYS 天数

三、su、sudo

1.su：切换指定用户

su [-] 用户

vim /etc/pam.d/su

6 auth required pam_wheel.so use_uid //PAM模块认证，只有属于wheel组用户可切换到root

tail -f /var/log/secure //查看安全认证日志文件

注：需配合远程控制，设置root用户禁止远程登陆

2.sudo：临时提权，普通用户临时以root身份执行命令

vim /etc/sudoers或visudo //编辑sudo配置文件，默认不能直接使用

用户名 主机 命令

例：

u01 ALL=(ALL) ALL //允许u01用户使用sudo以root身份执行所有命令

u01 ALL=(ALL) ALL,!/sbin/reboot //允许u01用户使用sudo以root身份执行所有命令，除了reboot

Cmnd_Alias 别名(大写)=命令 //定义命令别名

User_Alias 别名(大写)=用户名 //定义用户别名

Host_Alias 别名(大写)=网段，IP地址 //定义主机别名

注：命令可取反，如!/bin/(除/bin/目录外)

mnd_Alias CMD=ALL,!/sbin/reboot

User_Alias USER=u01,u02

Host_Alias HOST=192.168.10.44

USER HOST=CMD //允许USER别名（u01、u02用户）在HOST别名（192.168.10.44）执行CMD别名（ALL,!/sbin/reboot）

2)日志记录

1.vim /etc/sudoers

Defaults logfile=/var/log/sudo //定义日志记录并指定存储位置

2.tail -f /var/log/sudo

3.sudo -l //查看当前用户所有sudo能执行的命令

注：默认用户使用sudo后，保留5分钟时间，5分钟内用户不需再次输入当前用户密码

2.系统管理

1）自动清空历史命令

vim ~/.bashrc //用户登陆时自动清空历史命令

echo "" >~/.bash_history

history -c //清楚当前用户登陆终端历史命令（再次登陆依然存在）

vim /etc/profile

HISTSIZE=0 //更改历史命令记录数量

2）终端超过闲置时间后自动注销

vim /etc/profile //全局变量定义文件（所有用户生效）

TMOUT=秒数 //指定终端超时时间

vim ~/.bash_profile //只对当前用户生效

TMOUT=秒数 //指定终端超时时间

3.开关机安全控制

1）禁用热键

vim /etc/init/control-alt-delete.conf

注释掉最后一行(加#)

2）GRUB菜单限制

明文

vim /boot/grub/grub.conf

password 密码 //title之前

密文

grub-md5-crypt //将输入的字符串使用md5方式转换

vim /boot/grub/grub.conf

password --md5 加密字符串 //title之前

3）减少tty终端数量

vim /etc/sysconfig/init

ACTION_CONSOLES=/dev/tty[1-6] //改动tty[1-6]数值可实现控制

例：

ACTION_CONSOLES=/dev/tty[1-3] //开启tty1、tty2、tty3

ACTION_CONSOLES=/dev/tty[1,3,6] //开启tty1、tty3、tty6

ACTION_CONSOLES=/dev/tty[1-1,3-3,6-6] //开启tty1、tty3、tty6

4）禁止普通用户登录

touch /etc/nologin

rm -rf /etc/nologin //解锁，普通可登录

5）扫描

nmap -A -O -PO -vv 网段/IP/域名 //扫描指定主机的OS、端口、MAC等信息

推荐扫描类型：

-PO：主机禁止ping时，可强制扫描

-sU：扫描UDP

-sT：扫描TCP

-p：扫描指定端口