开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 系统运维 -> day64-linux系统安全 -> 正文阅读

[系统运维]day64-linux系统安全

系统安全

系统权限

一、安装系统

1. 选择稳定版操作系统

2. 最小化安装

3. 不要安装gcc,make

4. 安装完系统后更新系统

 [root@localhost ~]# yum -y update

二、文件(目录)权限

1. 基本权限 rwx

对于目录，默认权限=777-umask
对于文件，默认权限=666-umask(文件默认无执行权限)
修改umask

[root@localhost ~]# vim /etc/bashrc
71 umask 002 #普通用户
72 else
73 umask 022 #超级用户
74 fi
[root@localhost ~]# vim /etc/profile
60 umask 002 #普通用户
61 else
62 umask 022 #超级用户

2. 特殊权限 suid sgid sticky

suid 冒险位，执行二进制文件与文件所有人有关，与谁来执行无关

 [root@localhost ~]# chmod 4777 filename

sgid 强制位，对目录生效，在此目录中创建文件自动归入目录所在组

 [root@localhost ~]# chmod 2777 dirname

sticky 粘制位，目录中的文件只能被文件拥有者删除

 [root@localhost ~]# chmod 1777 dirname

3. 文件ACL getfacl setfacl

对文件的权限进行附加说明的权限设定方式
ACL提供传统的owner/group/other的read/write/execute之外的细部权限设定。（可以针对单一的使用者，目录等等）
查看

[root@localhost ~]# ls -l
总用量 1
-rw-r--r--  1 root root 4 2 月  17 20 :56 test.txt
#-rw-r--r--+ 如果权限后面带有‘+’号表示有ACL权限
[root@localhost ~]# getfacl test.txt
# file: test.txt 文件名
# owner: root 文件所属者
# group: root 文件所属组
user::rw- 属主权限
group::r-- 属组权限
other::r-- 其他人权限

设定ACL权限

[root@localhost ~]# useradd jack
[root@localhost ~]# setfacl -m u:jack:rw test.txt
#setfacl -m <u|g|m>:<username|groupname>:权限 filename
#setfacl -x <u|g>:<username|groupname> filename ##去除某个用户或者组的acl
#setfacl -b filename ##删除文件上的权限列表
[root@localhost ~]# getfacl test.txt
# file: test.txt
# owner: root
# group: root
user::rw-
user:jack:rw- 为jack设置rw权限
group::r--
mask::rw-
other::r--
[root@localhost ~]# ls -l test.txt
-rw-rw-r--+ 1 root root 4 2 月  17 20 :56 test.txt

4. 文件属性 chattr lsattr +a -a +i -i -d

[root@localhost ~]# chattr +a test.txt
#只能给文件添加内容，但是删除不了，属于追加
[root@localhost ~]# chattr -d test.txt
[root@localhost ~]# chattr +i test.txt
#文件不能删除，不能更改，不能移动
[root@localhost ~]# lsattr test.txt
----i----------- test.txt

案例 1 ：防删除，防修改

[root@localhost~]#find/bin/sbin/usr/sbin/usr/bin/etc/shadow/etc/passwd/etc/pam.d -type f -exec chattr +i {} \;

案例 2 ：日志文件防删除

[root@localhost ~]# chattr +a /var/log/messages /var/log/secure
#日志切割要先去掉a属性，之后增加a属性

[root@localhost ~]# vim /etc/logrotate.d/syslog
prerotate
chattr -a /var/log/messages
endscript
...
postrotate
chattr +a /var/log/messages
endscript
}

5. mask umask权限

[root@localhost ~]# umask
0022
[root@localhost ~]# umask -S
u=rwx,g=rx,o=rx

6. mount 权限 -o

rw ro

sync async

此选项的默认模式为异步模式。在同步模式下，内存的任何修改都会实时的同步到硬盘当中，这种模式的安全性基本属于最高，但是因为内存的数据基本一直都在变化，所以这种模式会使得程序运行变得缓慢，影响效率。而在异步模式下，虽然同步没有实时，但是现在考虑到日志文件系统的存在，所以安全性基本不用考虑，而异步模式的效率会更高，随意目前普遍使用异步模式为默认

auto noauto

合理规划权限，尽量避免 777 权限出现

用户授权

su

由超级用户切换为普通用户，仅切换用户，环境变量不切换，如若为普通用户，会导致命令不可用

[root@localhost ~]# su jack
[jack@localhost root]$

由超级用户切换为普通用户，切换用户至家目录，环境变量会发生改变

[root@localhost ~]# su - jack
上一次登录：日 2 月 17 21 :48:05 CST 2019pts/1 上
[jack@localhost ~]$

由普通用户切换为root用户

[jack@localhost ~]$ su - root
密码： #需要输入密码，可获取root全部权限，此处密码认证由PAM提供
上一次登录：日 2 月 17 20 :45:56 CST 2019 从 192 .168.2.1pts/1 上
[root@localhost ~]#

sudo

给普通用户提升(赋予)权限的方法

suid,sgid
usermod
switching users with su
running commands as root with sudo

使用sudo提升(赋予)权限普通用户的权限

可根据/etc/sudoers文件设置普通用户使用sudo命令时可以以root身份或其他用户身份运行命令

使用vim直接编辑/etc/sudoers文件

[root@localhost ~]# vim /etc/sudoers
#不推荐

使用visudo编辑/etc/sudoers

[root@localhost ~]# visudo
#推荐，会检查语法

sudo语法

#user MACHINE=(RUN_AS_USER) COMMANDS
jack ALL=ALL ALL
#允许jack用户 在任何主机上=（以任何人的身份） 执行任何命令

案例

案例 1 ：对用户

[root@localhost ~]# grep jack /etc/passwd
jack:x:1001:1001::/home/jack:/bin/bash
[root@localhost ~]# grep owen /etc/passwd
owen:x:1002:1002::/home/owen:/bin/bash

[root@localhost ~]# visudo
jack  ALL=/sbin/ip, /sbin/fdisk, /bin/less
#赋予jack用户使用以上 3 个命令的权限
[root@localhost ~]# visudo
owen  ALL=NOPASSWD: /bin/less
##赋予owen用户使用以上 1 个命令的权限,切换时不需要输入密码

案例 2 ：对组

[root@localhost ~]# groupadd smartgo
[root@localhost ~]# useradd it01 -G smartgo
[root@localhost ~]# useradd it02 -G smartgo
[root@localhost ~]# id it
uid= 1003 (it01) gid= 1004 (it01) 组= 1004 (it01),1003(smartgo)
[root@localhost ~]# id it
uid= 1004 (it02) gid= 1005 (it02) 组= 1005 (it02),1003(smartgo)

[root@localhost ~]# visudo
%smartgo  ALL=NOPASSWD: /sbin/ip
%smartgo  ALL=NOPASSWD: /sbin/useradd, /sbin/userdel, /bin/passwd
%smartgo  ALL=NOPASSWD: !/bin/passwd root, !/bin/passwd root --stdin,
!/bin/passwd --stdin root
[root@localhost ~]# su - it
[it01@localhost ~]$ sudo passwd root
对不起，用户 it01 无权以 root 的身份在 localhost.localdomain 上执行 /bin/passwd root。

案例 3 ：别名使用

[root@localhost ~]# visudo
## Host Aliases
# Host_Alias FILESERVERS = fs1, fs
Host_Alias MAILSERVERS = smtp, smtp

## User Aliases
User_Alias ADMINS = jsmith, mikem

## Command Aliases
## These are groups of related commands...
## Networking
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,
/usr/bin/net,
/sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe,
/bin/mount, /bin/umount

jack ALL=NOPASSWD: NETWORKING
%smartgo ALL=NOPASSWD: STORAGE
ADMINS ALL=NOPASSWD: NETWORKING, STORAGE

sudo日志

[root@localhost ~]# grep '^authpriv' /etc/rsyslog.conf
authpriv.* /var/log/secure
[root@localhost ~]# tail -f /var/log/secure
Feb 17 22 :31:52 localhost passwd: pam_unix(passwd:chauthtok): password changed for
root
Feb 17 22 :31:52 localhost passwd: gkr-pam: couldn't update the login keyring password:
no old password was entered
Feb 17 22 :32:15 localhost sudo: it01 : command not allowed ; TTY=pts/1 ;
PWD=/home/it01 ; USER=root ; COMMAND=/bin/passwd root --stdin
Feb 17 22 :32:28 localhost su: pam_unix(su-l:session): session closed for user it
Feb 17 22 :33:10 localhost su: pam_unix(su-l:session): session opened for user it01 by
root(uid= 0 )
Feb 17 22 :33:17 localhost sudo: it01 : command not allowed ; TTY=pts/1 ;
PWD=/home/it01 ; USER=root ; COMMAND=/bin/passwd root
Feb 17 22 :33:30 localhost sudo: it01 : TTY=pts/1 ; PWD=/home/it01 ; USER=root ;
COMMAND=/bin/passwd owen
Feb 17 22 :33:36 localhost passwd: pam_unix(passwd:chauthtok): password changed for
owen
Feb 17 22 :33:36 localhost passwd: gkr-pam: couldn't update the login keyring password:
no old password was entered
Feb 17 22 :33:39 localhost su: pam_unix(su-l:session): session closed for user it01

用户认证

用户认证方式

PAM(gdm,kdm,su,ssh,ftp,samba)
自带数据库验证方式(MySQL,Zabbix)
web验证方式(htpasswd)
集中式身份认证

PAM介绍

PAM(Pluggable Authentication Modules) 即可插拔式认证模块，它是一种高效而且灵活的用户级别的认证方式，它也是当前Linux服务器普遍使用的认证方式。

PAM可以根据用户的网段、时间、用户名、密码等实现认证。

PAM身份认证

使用PAM做身份认证的服务有：本地（login、gdm、kdm）， sshd， vsftpd，samba等

不使用PAM做身份认证的服务有：MySQL-Server，Zabbix等

PAM使用帮助

1 [root@localhost ~]# firefox /usr/share/doc/pam-1.1.8/html/Linux-PAM_SAG.html

-PAM认证原理

Service(进程文件) → PAM(配置文件) → pam_*.so → 模块的配置文件
/usr/sbin/sshd /etc/pam.d/sshd /lib64/security/pam_access.so
/etc/security/access.conf
/lib64/security/pam_limits.so
/etc/security/limits.conf
/lib64/security/pam_time.so
/etc/security/time.conf
/bin/su /etc/pam.d/su /lib64/security/pam_rootok.so

PAM认证原理案例

[root@localhost ~]# ldd /usr/sbin/sshd | grep -i pam
libpam.so.0 => /lib64/libpam.so.0 (0x00007f65d9d8e000)

[root@localhost ~]# grep -i pam /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause
several
UsePAM yes

[root@localhost ~]# vim /etc/pam.d/sshd
#%PAM-1.
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
#与polkit一起使用以重新授权远程会话中的用户
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
#selinux关闭执行如下
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user
context
#selinux开启执行如下
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare

PAM常见的四种认证类型

auth 认证管理 验证使用者身份，账号和密码
account 用户管理 基于用户时间或密码有效期来决定是否允许访问
password 密码（口令） 认证管理 禁止用户反复尝试登录，在变更密码时进行密码复杂性控制
session 会话管理 进行日志记录，或者限制用户登录的次数，资源限制

PAM认证流程控制(流程标记)

Required (必要条件) 验证失败时仍然继续，但返回fail 用户不会知道哪里失败
Requisite (必要条件) 验证失败时则立即结束整个验证过程，返回fail 面试若不成功，马上失败，效率高
Sufficient (充分条件) 验证成功则立即返回，不再继续，否则忽略结果并继续 相当于面试中的拔高题
Optional (可选条件) 无论验证结果如何，均不会影响 常用于session类型
Include 包含另外一个配置文件中类型相同的行
substack 	垂直叠加

PAM常用模块

模块：pam_rootok.so
功能：用户UID是 0 ，返回成功

示例：限制root切换用户也需要密码
[root@localhost ~]# head -1 /etc/pam.d/su
#auth sufficient pam_rootok.so

示例：sshd不需要密码登录
[root@localhost ~]# head -1 /etc/pam.d/sshd
auth sufficient pam_rootok.so
#放在文件的第一行

模块：pam_access.so
功能：访问控制，默认配置文件/etc/security/access.conf
通常作用于登录程序，如su,login,gdm,sshd，
例如：限制用户从哪些网段登录sshd

示例：不允许root从192.168.1.0/24登录sshd
[root@localhost ~]# grep access.so /etc/pam.d/sshd
auth required pam_access.so
[root@localhost ~]# vim /etc/security/access.conf
- :root:192.168.122.0/
- :root:ALL EXCEPT 192 .168.1.0/
- :root:192.168.122.0/24 EXCEPT 192 .168.122.

 示例：使用不同的模块配置文件
[root@localhost ~]# grep access /etc/pam.d/login
auth required pam_access.so accessfile=/accessfile
[root@localhost ~]# grep jack /accessfile
- :jack:tty5 tty
============================================================================
[root@localhost ~]# grep access.so /etc/pam.d/sshd
auth requisite pam_access.so accessfile=/accessfile
[root@localhost ~]# grep 110 /accessfile
- :root:ALL EXCEPT 192 .168.2.110

模块：pam_listfile.so
功能：基于自定义文件允许或拒绝（黑名单或白名单）

示例：vsftpd黑名单或白名单
[root@localhost ~]# grep listfile /etc/pam.d/vsftpd
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers
onerr=succeed

示例：sshd黑名单或白名单
[root@localhost ~]# grep listfile /etc/pam.d/sshd
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users
onerr=fail
[root@localhost ~]# echo root > /etc/ssh_users

当/etc/ssh_users不存在时，fail

模块：pam_time.so
功能：基于时间的访问控制，默认文件/etc/security/time.conf

示例：基于时间限制sshd的访问
[root@localhost ~]# grep time /etc/pam.d/sshd
account required pam_time.so
[root@localhost ~]# grep 0800 /etc/security/time.conf
sshd;*;*;MoTuWeThFr0800-

模块：pam_tally2.so
功能：登录统计

示例：实现防止对sshd暴力破解
[root@localhost ~]# grep tally2 /etc/pam.d/sshd
auth required pam_tally2.so deny= 2 even_deny_root root_unlock_time= 60
unlock_time= 60

#deny=2 连续错误登录最大次数，超过最大次数，将被锁定
#even_deny_root root用户也被要求锁定
#root_unlock_time root用户被锁定后等待的时间，单为秒
#unlock_time 普通用户被锁定后等待的时间，单为秒

[root@localhost ~]# pam_tally2 -u root
#查看用户错误登录次数

[root@localhost ~]# pam_tally2 --reset -u root
#清除用户错误登录次数

PAM资源限制

PAM资源限制主要是对用户进行系统资源使用的限制

PAM资源限制默认已使用，我们只需要调整相应限制值即可。

模块：pam_limits.so
功能：限制用户会话过程中对各种资源的使用情况。缺省情况下该模块的配置文件是
/etc/security/limits.conf
/etc/security/limits.d/*.conf

PAM资源限制案例

案例 1 ：设置用户最大打开文件数

[root@localhost ~]# ulimit -a

[root@localhost ~]# ulimit -n
1024

[jack@localhost ~]$ ulimit -n
1024

[root@localhost ~]# vim /etc/security/limits.conf
* soft nofile 10240
* hard nofile 20480

案例 2 ：设置用户最大创建的进程数

[jack@localhost ~]$ ulimit -u
1024

[root@localhost ~]# vim /etc/security/limits.d/90-nproc.conf
* soft nproc 10240
* hard nproc 10240

案例 3 ：设置用户jack最大使用CPU的时间

[root@localhost ~]# vim /etc/security/limits.conf
jack hard cpu 1

PAM资源限制针对用户，不针对进程，如果需要实现进程资源限制，可以考虑使用Cgroup。

扩展：Control Group(CGroup)资源限制组

控制组（CGroups）是Linux内核的一个特性，主要用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，才能避免多个容器同时运行时对宿主机系统的资源竞争。控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制和计费管理。控制组的设计目标是为不同的应用情况提供统一的接口，从控制单一进程（比如nice工具）到系统级虚拟化（包括OpenVZ、Linux-VServer、LXC等）。

具体来看，控制组提供：

资源限制（Resource limiting）：可以将组设置为不超过设定的内存限制。比如：内存子系统可以为进程组设定一个内存使用上限，一旦进程组使用的内存达到限额再申请内存，就会出发Out of Memory警告。优先级(Prioritization）：通过优先级让一些组优先得到更多的CPU等资源。资源审计（Accounting）：用来统计系统实际上把多少资源用到适合的目的上，可以使用cpuacct子系统记录某个进程组使用的CPU时间。隔离（isolation）：为组隔离命名空间，这样一个组不会看到另一个组的进程、网络连接和文件系统。控制（Control）：挂起、恢复和重启动等操作。

cgroups: Control Groups 基于进程的限制，而非用户，因此对于超户运行的进程也是一样

cgroup将各种子系统定义为资源，命名为controller: 可配额/可度量 - Control Groups (cgroups)

cgroups实现了对资源的配额和度量九大子系统的资源

blkio 限制每个块设备的输入输出控制。例如:磁盘,光盘以及usb
cpu 限制使用cpu比例
cpuacct 产生cgroup任务的cpu资源报告。
cpuset 多核心的cpu时为cgroup任务分配单独的cpu和内存
devices 允许或拒绝对设备的访问。
freezer 暂停和恢复cgroup任务。
memory 设置内存限制以及产生内存资源报告。
net_cls 标记每个网络包。
ns 名称空间子系统

例如:对某个进程使用内存进行限制步骤：

需要在controller memory下建立cgroup，如nginx_mem控制组，并针对该控制组nginx_mem设置相应的内存限制参数
将进程Nginx分配到 memory controller的控制组(nginx_mem)，没有使用controller则不会限制。

Cgroup实现资源限制的方法：

a. cgexec 手动分配 b. cgred 自动分配

Cgroup部署方法：

[root@localhost ~]#yum -y install libcgroup*
[root@localhost ~]#systemctl enable cgconfig
[root@localhost ~]#systemctl start cgconfig
[root@localhost ~]#man cgconfig.conf

Cgroup限制步骤：

创建cgroup，定义相应的限制
分配程序到cgroup

案例 1 ：限制进程使用CPU

使用cpu子系统创建两个cgroup

1 [root@localhost ~]#vim /etc/cgconfig.conf

group lesscpu {
	cpu {
		cpu.shares= 200 ;
	}
}
group morecpu {
	cpu {
		cpu.shares= 800 ;
	}
}

1 [root@localhost ~]#systemctl restart cgconfig

2.将程序分配到相应的group 实验中，为了让两个进程抢CPU时间片，故意只留一个CPU在线

[root@localhost ~]#lscpu
[root@localhost ~]#echo 0 > /sys/devices/system/cpu/cpu0/online
[root@localhost ~]#echo 1 > /sys/devices/system/cpu/cpu1/online

手动分配：

[root@localhost ~]#cgexec -g cpu:lesscpu sha1sum /dev/zero
[root@localhost ~]#cgexec -g cpu:morecpu md5sum /dev/zero
[root@localhost ~]#top

以上三条命令请在三个shell终端中打开，观察各进程所占用CPU情况。

案例 2 ：限制进程使用Memory

添加cgroup

1 [root@localhost ~]#vim /etc/cgconfig.conf

group lessmem {
	memory {
		memory.limit_in_bytes= 268435465 ; //物理内存限制256M
	}
}

1 [root@localhost ~]#systemctl restart cgconfig

创建内存盘

[root@localhost ~]# mkdir /mnt/mem_test
[root@localhost ~]#mount -t tmpfs /dev/shm /mnt/mem_test
[root@localhost ~]# cgexec -g memory:lessmem dd if=/dev/zero of=/mnt/mem_test/file
bs=1M count=200 //OK
[root@localhost ~]# cgexec -g memory:lessmem dd if=/dev/zero of=/mnt/mem_test/file
bs=1M count=500 //OK
[root@localhost ~]#free -m

结果为失败

创建cgroup

1 [root@localhost ~]#vim /etc/cgconfig.conf

group poormem{
	memory{
		memory.limit_in_bytes= 268435465 ; //物理内存限制256M
		memory.memsw.limit_in_bytes= 268435465 ; //总内存限制，物理+SWAP
	}
}

1 [root@localhost ~]#systemctl restart cgconfig

创建内存盘并测试

[root@localhost ~]# mkdir /mnt/mem_test
[root@localhost ~]# mount -t tmpfs /dev/shm /mnt/mem_test
[root@localhost ~]# cgexec -g memory:lessmem dd if=/dev/zero of=/mnt/mem_test/file
bs=1M count=200 //OK
[root@localhost ~]# cgexec -g memory:lessmem dd if=/dev/zero of=/mnt/mem_test/file
bs=1M count=500 //Fail
[root@localhost ~]#free -m