linux 安全基本防护 用户提权 ssh访问控制

linu安全应用

信息安全分类：
物理安全:主机/机房环境
系统安全:操作系统
应用安全:各种网络服务，应用程序
网络安全:网络访问控制，防火墙规则
数据安全:信息的备份与恢复，加密解密
管理安全:保障性的规范，流程，方法

——————————————————————————————————————————————————————
linux基本防护：
系统账号安全
与用户相关的常用命令
useradd userdel usermod shwan chage passwd
与用户相关的配置文件
/etc/passwd /etc/shadow /etc/login.defs
管理用户passwd 选项 用户名
选项
-l：锁定
-u：解锁
-S：状态

管理用户usermod 选项 用户名
-L：锁定
-U：解锁
-s：修改shell

管理用户chage 选项 用户名
-E 年-月-日：账号有效期
-d：用户修改密码的最后时间

阻止普通用户关机
配置目录/etc/security/console.apps
[root@158 ~]# mkdir -m 700 locked
[root@158 ~]# mv poweroff（其他程序类似于reboot halt等） locked

伪装登陆提示
本地登陆 /etc/issue
[root@158 ~]# vim /etc/issue
Anonymous
远程登陆 /etc/issue.net
[root@158 ~]# vim /etc/issue.net
Anonymous

文件系统安全：
历史命令控制
[root@158 ~]# vim /etc/profile
export HISTTIMEFORMAT=' %F %T ' 加上命令显示执行时间
HISTSIZE=1000 默认1000条记录
[root@158 ~]# source /etc/profile使命令生效

程序和服务的控制
禁用非必要的系统服务：chkconfig ntsysv
禁止平台用户执行init.d目录下的脚本：
[root@158 ~]# chmod o-x /etc/init.d/ 限制"other"权限

文件系统的规划和挂载
/boot /home /var等单独分区
mount挂载选项
[root@158 ~]# vim /etc/fstab
/dev/sdb1 /disk ext4 defaults 0 0 （开机自动挂载）
defaults默认挂载
参数：rw, suid, dev, exec, auto, nouser, async, and relatime.
-o nosuid：禁用suid sgid特殊权限
-o noexec：禁止运行二进制文件

锁定/解锁保护文件
/etc/hosts，/etc/sysconfig/network，/etc/resolv.conf
/etc/passwd，/etc/shadow，/etc/profile，/etc/bashrc
ext3/ext4的文件属性控制：lsattr(查看)，chattr(更改)
属性i：不可变
属性a：仅可追加
[root@158 opt]# lsattr sql.txt（查看）
-------------e- sql.txt
+ - =控制方式
[root@158 ~]# chattr +i /etc/hosts (更改)

——————————————————————————————————————————————————————————————

用户切换/提权

用户切换 su 切换到root用户
su 用户名 只切换用户，不切换到用户的系统环境
su - 用户名 切换用户的同时，切换到用户的系统环境
su -c "命令" 用户名 切换到用户身份执行命令，需要输入用户的密码 su -c "mkdir /root/a.txt" root

用户提权（root给普通用户提权）
/etc/sudoers 主配置文件
visudo 打开配置文件的命令 等效与vim /etc/sudoers
[root@158 ~]# grep -v '^$\|^#' /etc/sudoers（去掉空行和#号）
root ALL=(ALL) ALL
授权记录格式：
用户 主机列表=命令列表
%用户组名 主机列表=列表命令
示例：
[root@158 ~]# vim /etc/sudoers
hydra localhost,158=/etc/init.d/mysql status（本机登陆，本机主机名）
hydraxx localhost,158=/etc/init.d/httpd * , /usr/bin/vim /etc/httpd/conf/httpd.conf（*表示可以执行http服务的所有命令，命令要用绝对路径）
hydraxxx localhost,158=/sbin/* , !/sbin/rm -rf（!取反，sbin下的什么命令都可以用，但是不能用rm命令）
%web localhost,158=/sbin/service httpd * , /usr/bin/vim /etc/httpd/conf/httpd.conf, NOPASSWD:ALL（%web用户组 NOPASSWD:ALL表示不需要密码）
普通用户调用提权命令
sudo -l 查看自己可以使用的提权命令（首次查看需要输入自己的密码）
[hydra@158 ~]$ sudo /etc/init.d/mysql status（调用提权命令要加上sudo）

别名设置（别名名称必须大写）
给用户定义别名
vim /etc/sudoers
User Aliases 别名名称=用户列表
User_Alias ADMINS = jsmith, mikem

给命令定义别名
vim /etc/sudoers
Cmnd_Alias 别名名称=命令列表
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp

给客户端地址定义别名
vim /etc/sudoers
Host Aliases 别名名称=主机名列表
Host_Alias MAILSERVERS = smtp,smtp2

示例：调用用户别名和命令别名,以及客户端地址别名
[root@158 ~]# vim /etc/sudoers
ADMINS localhost,158=SOFTWARE,DELEGATING, NOPASSWD:ALL
ADMINS smtp=SOFTWARE,DELEGATING, NOPASSWD:ALL

启动sudo日志，记录普通用户登陆后执行过的提权命令
[root@158 ~]# vim /etc/sudoers
Defaults logfile="/var/log/sudo"（日志路径）

————————————————————————————————————————————————————————————————

ssh访问控制

ssh服务常用的配置选项（修改服务主配置文件）
/etc/ssh/sshd_config
Port 22 默认端口
ListenAddress 0.0.0.0 默认ip，允许所有
LoginGraceTime 2m 输入密码错误后等2分钟
MaxAuthTries 6 每连接最多错误次数
示例：
[root@158 ~]# vim /etc/ssh/sshd_config
Port 6798（默认22端口，修改为6798）
ListenAddress 192.168.4.158（登陆ip）
LoginGraceTime 2m
MaxAuthTries 6
[root@158 ~]# /etc/init.d/sshd restart
[root@room1pc01 ~]# ssh -X -p 6798 root@192.168.4.158（访问测试）

使用黑白名单控制
白名单：（在白名单列表的用户可以连接）
[root@158 ~]# vim /etc/ssh/sshd_config
AllowUsers root@192.168.4.158 hydra（root用户在192.168.4.158才可以登陆）
AllowGroups（允许web用户组可以连接）
黑名单：（不在黑名单列表的就可以连接）
[root@158 ~]# vim /etc/ssh/sshd_config
DenyUsers root（不允许root在其他客户端连接）
DenyGroups web（不允许web用户组内的用户连接）

设置ssh服务登陆认证方式（密钥）

客户端配置
[root@158 ~]# ssh-keygen 创建密钥对
/root/.ssh/ 密钥存放目录
[root@158 ~]# ssh-copy-id root@192.168.4.254 把生成的公钥上传到ssh服务器

服务器端启用密钥认证登陆
[root@room1pc01 桌面]# vim /etc/ssh/sshd_config
PasswordAuthentication no（关闭密码登陆）
PubkeyAuthentication yes（启用密钥认证）
AuthorizedKeysFile .ssh/authorized_keys（密钥目录）

————————————————————————————————————————————————————————————————————