文章目录

前言
- 一、账号安全控制
- - 1.1、基本安全措施
  - - 1.1.1、系统账号清理
    - 1.1.2、密码安全控制
    - 1.1.3、命令历史、自动注销
  - 1.2、用户切换与提权
  - - 1.2.1、su 命令——切换用户
    - 1.2.2、sudo 命令——提升执行权限
  - 1.3、PAM 安全认证
  - - 1.3.1、PAM 及其作用
    - 1.3.2、PAM 认证原理
    - 1.3.3、PAM 认证的构成
    - 1.3.4、PAM 认证类型
    - 1.3.5、PAM 控制类型
- 二、系统引导和登录控制
- - 2.1、开关机安全控制
  - - 2.1.1、调整BISO 引导设置
    - 2.1.2、限制更改GRUB 引导参数
  - 2.2、终端及登录控制
  - - 2.2.1、禁止root 用户登录
    - 2.2.2、禁止普通用户登录
- 三、弱口令检测、端口扫描
- - 3.1、弱口令检测——John the Ripper
  - - 3.1.1、下载并安装John the Ripper
    - 3.1.2、暴力破解密码实验
  - 3.2、网络扫描——NMAP
  - - 3.2.1、安装NMAP 软件包
    - 3.2.2、扫描操作示例

前言

作为一种开放源代码的操作系统，Linux服务器以其安全、高效和稳定显著优势而得以广泛应用

一、账号安全控制

用户账号，是计算机使用者的身份凭证或标识，每一个要访问系统资源的人，必须凭借其用户账号才能进入计算机。在Linux系统中，提供了多种机制来确保用户账号的正当、安全使用。

1.1、基本安全措施

1.1.1、系统账号清理

（1）将非登录用户的Shell设为/sbin/nologiin
在Linux系统中，除了用户手动创建的各种账号之外，还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外，其他大量账号只是用来维护系统运作、启动或保持服务进程，一般是不允许登陆的，因此也成为非登陆用户。
常见的非登录用户包括bin，daemon，adm，lp，mail，nobody，apache，mysql，dbus，ftp，gdm，haldaemon等。为了确保系统安全，这些用户的登录shell通常是/sbin/nologin，表示禁止终端登录，应确保不被人为改动。
（2）删除无用的账号
各种非登录用户中，还有相当一部分是很少用到的，如news，uucp，games，gopher等，这些用户可视为冗余账号，直接删除即可。除此之外，还有一些随着应用程序安装的用户账号，若程序卸载以后未能自动删除，需要管理员手动进行清理。
（3）锁定长期不使用的账号
对于Linux服务器中长期不用的用户账号，若无法确定是否应该删除，可以暂时将其锁定。

（4）锁定账号文件passwd、shadow
如果服务器中的用户账号已经固定，不再进行更改，还可以采取锁定账号配置文件的方法。
使用chattr命令，分别结合“+i”，“-i”选项来锁定、解锁文件，使用lsattr命令可以查看文件锁定情况。

在账号文件被锁定的情况下，其内容将不允许变更，因此无法添加、删除账号，也不能更换用户的密码、登录shell、宿主目录等属性信息。

1.1.2、密码安全控制

（1）设置密码有效期
在不安全的网络环境中，为了降低密码被猜出或者被暴力破解的风险，用户应养成定期更改密码的习惯，避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数，对于密码已经过期的用户，登录时将被要求重新设置密码，否则拒绝登录。
执行以下操作可将密码的有效期限设为30天（chage命令用于设置密码时限）

（2）要求用户下次登录时修改密码
在某些特殊情况下，如要求批量创建的用户初次登录时必须自设密码，根据安全规划统一要求所有用户更新密码等，可以有管理员执行强制策略，以便用户在下次登录时必须更改密码。

1.1.3、命令历史、自动注销

（1）命令历史限制
shell环境的命令历史机制为用户提供了极大的便利，但另一方面也给用户带来潜在的风险。只要获得用户的命令历史文件，该用户的命令操作过程将会一览无余，如果曾经在命令行输入明文的密码，则无意之中服务器的安全壁垒又多了一个缺口。
Bash终端环境中，历史命令的记录条数由变量HISTSIZE控制，默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值，可以影响系统中的所有用户。

每当编辑完/etc/profile文件后，都需要使用命令source /etc/profile或者换重启使之生效

注销时自动清空命令历史：修改用户宿主目录中的~/.bash_logout文件，添加清空历史命令的操作语句。即：当用户注销（退出已登录的bash环境）时，所记录的历史命令将自动清空

（2）终端自动注销
bash终端环境中，可以设置一个闲置超时时间，当超过指定时间没有任何输入时即自动注销终端，这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置时间有变量TMOUT来控制，默认单位为秒

需要注意的事，当正在执行程序代码编译、修改系统设置等耗时较长的操作时，应避免设置TMOUT变量。必要时需执行“unset TMOUT”命令取消TMOUT变量设置。

1.2、用户切换与提权

大多数Linux服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏，另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因，需要为普通用户提供一种身份切换或特权提升机制，以便在必要的时候执行管理任务。
Linux系统为我们提供了su、sudo两种命令，其中su命令主要用来切换用户，而sudo命令用来提升执行权限。

1.2.1、su 命令——切换用户

（1）su用途及用法，密码验证
使用su命令，可以切换为指定的另一个用户，从而具有该用户的所有权限。切换时需要对目标用户的密码进行验证（从root用户切换为其他用户时除外）

上述命令操作中，“-”等同于“–login”或“-l”，表示切换后进入目标用户的登录shell环境。若缺少此选项则仅切换身份，不切换用户环境。
（2）限制使用su命令的用户
默认情况下，任何用户都运行使用su命令，从而有机会反复尝试其他用户的登录密码，带来安全风险。为了加强su命令的使用控制，可以借助于pam_wheel认证模块，只允许个别用户使用su命令进行切换。
将允许使用su命令的用户加入wheel组

启用pam_wheel认证以后，未加入到wheel组内的其他用户将无法使用su命令，尝试进行切换时将会按照“拒绝权限”来处理，从而将切换用户的权限控制在最小范围内。

1.2.2、sudo 命令——提升执行权限

（1）su命令的缺点
通过su命令可以非常方便地切换为另一个用户，但前提条件是必须知道目标用户的登录密码。对于生产环境中的Linux服务器，每多一个人知道特权密码，其安全风险也就增加一分。
（2）sudo命令的用途及用法
用途：以其他用户身份（如root）执行授权的命令
用法：sudo 授权命令
（3）配置sudo授权

（4）sudo实验
如果我在lu账户下是不可以创建网卡信息的

为了能执行这个操作，登录root账户，在/etc/sudoers 给lu设置权限

编辑sudoers，在末行插入

这个时候网卡可以用了

reboot这个时候用不了

（5）查看sudo操作记录
先在/etc/sudoers 文件中增加“Defaults logfile”设置

使用sudo -l查看授权用户

使用tail /var/log/sudo 可以看到用户的sudo操作记录

1.3、PAM 安全认证

PAM，是Linux系统可插拔认证模块。
Linux系统使用su命令存在安全隐患，默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户的登录密码，带来风险。
为了加强su命令的使用控制，可以借助于PAM认证模块，只允许极个别用户使用su命令进行切换。

1.3.1、PAM 及其作用

（1）PAM是一种高效而且灵活便利的用户级别认证方式，它也是当前Linux服务器普遍使用的认证方式。

（2）PAM提供了对所有服务进行认证的中央机制，适用于login，远程登录，su等应用程序。

（3）系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。

1.3.2、PAM 认证原理

（1）PAM认证一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so（.so 后缀代表模块文件）

（2）PAM认证首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/etc/security下）进行安全认证

（3）用户访问服务器的时候，服务器的某一个服务程序把用户的不同请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的

1.3.3、PAM 认证的构成

例如查看su的PAM配置文件

（1）每一行都是一个独立的认证过程
（2）每一行可以区分为三个字段
1）认证类型
2）控制类型
3）PAM模块及其参数

1.3.4、PAM 认证类型

（1）认证管理
接收用户名和密码，进而对该用户的密码进行认证
（2）账户管理
检查账户是否被允许登录系统，账户是否已经过期，账户的登录是否有时间段的限制等
（3）密码管理
主要用来修改用户的密码
（4）会话管理
主要是提供对会话的管理和记账

1.3.5、PAM 控制类型

控制类型也可以称作Control Flags，用于PAM验证类型的返回结果
（1）required验证失败时仍然继续，但返回Fail

（2）requisite验证失败则立即结束整个验证过程，返回Fail

（3）sufficient验证成功则立即返回，不在继续，否则忽略结果并继续

（4）optional不用于验证，只显示信息（通常用于session（会话）类型）
验证流程如图

二、系统引导和登录控制

在互联网环境中，大部分服务器是通过远程登录的方式来进行管理的，而本地引导和终端登录过程往往容易被忽视，从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时，如何防止其他与用户的非授权介入，就成为必须重视的问题。

2.1、开关机安全控制

对于服务器主机，其物理环境的安全防护是非常重要的，不仅要保持机箱完好、机柜锁闭，还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面，除了要做好安全防护以为，还要做好系统本身的一些安全措施。

2.1.1、调整BISO 引导设置

将第一引导设备设为当前系统所在硬盘

禁止从其他设备（光盘，U盘，网络）引导系统,对应的项设为“Disabled”

将安全级别设为setup，并设置好管理密码，以防止未授权的修改

2.1.2、限制更改GRUB 引导参数

从系统安全的角度来看，如果任何人都能够修改GRUB引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制，可以为GRUB菜单设置一个秘密，只有提供正确的密码才被允许修改引导参数。

通过上述操作，重新开机进入GRUB菜单时，直接按E键无法修改引导参数。若要获得编辑权限，必须先按P键并根据提示输入正确的GRUB密码，然后才能按E键编辑指定的引导参数

2.2、终端及登录控制

2.2.1、禁止root 用户登录

安全终端配置：/etc/securetty

2.2.2、禁止普通用户登录

当服务器正在进行备份或调试等我维护工作时，可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin文件即可。login程序会检查/etc/nologin文件是否存在，如果存在则拒绝普通用户登录系统（root用户不受限制）。
建立/etc/nologin文件

删除nologin文件或重启后即恢复正常

三、弱口令检测、端口扫描

3.1、弱口令检测——John the Ripper

3.1.1、下载并安装John the Ripper

现在官网上下载安装包，然后用xftp软件把安装包放到/opt 进行解压

切换到src子目录进行编译安装即可

3.1.2、暴力破解密码实验

准备待破解的密码文件

切换到run子目录，执行暴力破解

破解结果，一些简单的弱口令账号都被破解出来

破解出的密码信息自动保存到john.pot文件中，可以结合“–show”选项进行查看

3.2、网络扫描——NMAP

NMAP是一个强大的端口扫描类安全测评工具，官方站点是http://nmap.org/。NMAP被设计为检测主机数量众多的巨大网络，支持ping扫描、多端口扫描、OS识别等多种技术。使用NMAP定期内部网络，可以找出网络中不可控的应用服务，即时关闭不安全的服务，减小安全风险。

3.2.1、安装NMAP 软件包

先挂载光盘

然后安装软件包即可

3.2.2、扫描操作示例

对本机进行扫描，检查开放了哪些常用的TCP端口、UDP端口

检查192.168.1.0/24网段中有哪些主机提供FTP服务

快速检测192.168.1.0/24网段中有哪些存活主机（能ping通）

检测IP地址位于192.168.1.50~100的主机是否开启文件共享服务

Linux--系统安全及应用相关推荐

【Linux系统】基础总结
我不太清楚运维部门具体是做什么的,就接触过一点点运维部门! 也就是是知道他们负责管理服务器,管理网络,管理项目部署偶尔自己需要部署,不得不接触一些linux命令.简单总结一些基础 linux系统发展 ...
Linux系统中创建大文件，并作为文件系统使用
在LInux系统的使用过程中,有时候会遇到诸如某个磁盘分区的大小不够用了,导致其下的文件系统不能正常写入数据.亦或者是系统swap分区太小,不够用或者不满足条件而导致的其他一系列问题.如果我们系统上挂 ...
Linux系统开发之路-中
4.Linux的安装(Windows环境下): 1)Windows环境需要借助虚拟机来安装Linux系统,这个推荐使用的软件是VMWare,官网能下载到的最新版本是Workstation Pro15. ...
Linux学习之三-Linux系统的一些重要配置文件
Linux学习之三-Linux系统的一些重要配置文件 1.网卡配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0 说明: DEVICE=eth0 ...
关于内网linux系统如果安装nodejs,npm,express,mongodb,forever等
内网的linux系统要安装nodejs以及express等系列的框架,因为系统是局域网和互联网是物理隔离的,所以,没法像官网的安装教程那样直接install了,只能手动安装,这里已经我们自己的linu ...
linux源码安装浏览器,Linux系统手动安装Firefox浏览器
大多数Linux发行版都以Firefox作为默认的浏览器,并可以轻松地从软件库中安装.例如: Debian/Ubuntu: sudo apt-get install firefox Fedora: s ...
计划任务执行php文件,linux系统下添加计划任务执行php文件方法
在web开发过程中,经常需要设定一些定期执行的任务,比如商品定时上下架.我们以php文件为例,讲解linux下的计划任务. 方法/步骤 1.打开linux系统命令行界面. 在命令行界面中输入如下命令: ...
.tar.gz mysql 安装_mysql tar.gz 版本 linux系统的安装-Go语言中文社区
mysql下载地址: https://dev.mysql.com/downloads/mysql/ 1. 上传下载的tar.gz文件发送到linux 上传的路径: /usr/local/mysql/ ...
qt工程在linux系统里颜色显示错误_【飞凌嵌入式RK3399开发板试用体验】+QT开发环境搭建测试（二）...
作者:飞扬的青春在拿到开发板之后,已经体验了Android操作系统,接下来就是体验Linux下的开发,本次以QT的一个小案例来测试下. 首先是自己先搭建了一个Ubuntu18．04的虚拟机,使用真机 ...
外网访问arm嵌入式linux_嵌入式Linux系统编程——文件读写访问、属性、描述符、API
Linux 的文件模型是从 Unix 的继承而来,所以 Linux 继承了 UNIX 本身的大部分特性,然后加以扩展,本章从 UNIX 系统接口来描述 Linux 系统结构的特性. 操作系统是通过一系 ...

Linux--系统安全及应用