前言

             

讲到linux系统账户的管理以及安全,就必须涉及 /etc/passwd   /etc/shadow  这2个文件
这里以截图中文字说明的方式,来分析这2个文件的内容,并且给出一些实用的安全加固方案

注意,本文会持续更新,后续加入的内容都以直接上传截图的形式呈现,希望这样能更贴近实际运维环境工作者的需求。



wKioL1O_j6fQfKR3ABYvuUS8MXM984.jpg




                《删除或锁定系统内建的用户账户,组账户》


系统内建的一些账户可能会让***变得更容易,因为这些账户扩大了系统的受***面。可以通过删除,锁定,或者注释的方法来加固账户安全。

操作涉及的文件有:

 /etc/passwd

 /etc/shadow

 /etc/group

在修改之前,建议对上面3个文件作备份,而且尽量将文件副本存储在移动存储设备如U盘,移动硬盘,或者网络云盘上面。一旦系统出现和账户相关的故障,将副本替换原有的文件,这样就能恢复:


[root@centos6-5vm 桌面]# mkdir /backup
[root@centos6-5vm 桌面]# cp -p /etc/passwd /backup/passwd_backup
[root@centos6-5vm 桌面]# cp -p /etc/shadow /backup/shadow_backup
[root@centos6-5vm 桌面]# cp -p /etc/group /backup/group_backup

将本地文件系统的 /backup/ 目录下的这三个副本存储到上面提及的各种存储介质中,记住,不要把鸡蛋放在同一个篮子里。

后续的修改都是对原有文件进行的,需要从副本还原时,执行下面操作:

[root@centos6-5vm 桌面]# mv /backup/passwd_backup /etc/passwd
[root@centos6-5vm 桌面]# mv /backup/shadow_backup /etc/shadow
[root@centos6-5vm 桌面]# mv /backup/group_backup /etc/group


这会替换掉存在错误配置的原有文件。举个例子来验证:



wKioL1Pm2eaS7E-0AA91wx9YgOU151.jpg



有了上面的测试保证,我们就可以继续进行和用户账户相关的安全设置:

批量删除 passwd 文件前4~10行的用户,这些通常很少用到:


[root@centos6-5vm 桌面]# for i in adm lp sync shutdown halt mail  uucp operator games gopher ftp ;do userdel $i ;done

其末尾有个 ftp 账户,如果日后有搭建FTP服务器的需求,如vsftpd等,可以将该账户保留下来,不要删除。


要批量删除 group 文件中的多余用户组,使用和上面类似的单行shell脚本:

[root@centos6-5vm 桌面]# for i in adm lp mail news uucp games dip pppusers pop users slipusers ;do groupdel $i ;done


注意,取决于你的系统环境,有些用户和组或许初始就没有创建,这里仅是给出所有可能存在并且需要删除的用户和组。

如果你不想删除这些用户以及组,然后在必要时用备份文件来还原,那么至少,要在原来的文件中,注释掉,或者锁定这些账户和组。对于注释,大家都会,下面主要说一下如何锁定:

锁定: passwd -l [用户名]

解锁: passwd -u [用户名]

也可以把这个命令替换掉前面单行shell脚本中的 userdel命令,实现批量锁定和解锁。

最后提醒一下,处于锁定状态的账户,在 shadow 文件的第二列,会显示 !!  ,表明其处于锁定状态,解锁后才能登录系统。

并且,只有根用户(root)才有权限执行锁定和解锁操作。


                                

                       

                              《关闭SELinux》


为什么要关闭 SELinux,也许你有过下述经验:

用某个普通用户,甚至是 root 用户,创建一个文件后,将该文件的所有者,所属主都设置为该用户,或者 root 用户,并且所有者和所属主都具备读,写,执行的权限(即 770 ),然后尝试向该文件写入数据,系统会提示

failed: permission denied

在检查所有与该文件相关的目录,其属主属组权限都正确后,还是不能读写,那么唯一的可能就是因为开启了 SELinux 而禁止读写

SELinux 的初衷是,即便不安全的 Linux 主机在被***后,***者取得 root 权限,也不能随意读写删除数据,但是这里却阻碍了我们的工作,

(例如阻止我们用工具创建并写入某些服务进程的配置文件)


在刚安装完成系统的初次配置时刻,如果把SELinux设置成“开启”或着“强制”,可以通过如下办法来禁用:

[root@centos6-5vm 桌面]# ls -ail /etc/selinux/config 
262465 -rw-r--r--. 1 root root 458 6月  25 16:58 /etc/selinux/config
[root@centos6-5vm 桌面]# vim /etc/selinux/config


将 SELINUX=  一行后面的值设为 disable,保存退出vim,重启系统后设置永久生效。


在不修改  /etc/selinux/config 的前提下,要立即生效不重启(重启失效),执行下面命令:

该命令把SELlinux设置为 Permissive 模式,等于暂时关闭

[root@centos6-5vm 桌面]# setenforce 0


要暂时开启SELlinux(等于设置为 Enforcing 模式),执行下面命令:

[root@centos6-5vm 桌面]# setenforce 1

要查看当前的 SELinux 状态,执行下面命令:

[root@centos6-5vm 桌面]# getenforce




另外一种关闭的办法是:在GRUB(引导加载程序)的启动参数后添加  selinux=0



                       

                              《修改内核参数加固系统》


默认情况下,对于其它机器发送的带icmp回显请求的ping数据,centos返回带icmp回显应答的数据包,但是这种做法会导致安全隐患,因为网络上的恶意***者可以根据ping返回的信息判断目标机器是否在线上,进而采取后续的端口扫描等***。

因此,我们需要修改linux内核的TCP/IP协议堆栈的参数,禁止向其它机器返回icmp回显应答数据包,从而缓解基于主机发现的盲目ping踩点,至于为什么仅是“缓解”,后文我们会提到。

修改相关配置文件:

[root@centos6-5 桌面]# vim /etc/sysctl.conf



在文件中加入下面内容:

net.ipv4.icmp_echo_ignore_all = 1



wKioL1Pk7fbSwwiAAAn7CikMyFU887.jpg



根据该文件首行的注释说明,可以了解到,二进制值为1,表示激活某项特性;二进制值为0,表示禁用某项特性。上面就是激活“忽略所有远程的icmp回显请求”特性。

这种修改配置文件的方式,需要在重启系统后才能生效,但是对于在线上生产环境的服务器而言,是不能随意重启的,会导致业务中断,甚至丢失用户正在发送过来的数据。

因此,使用下面的命令来让对配置文件的修改立即生效:

[root@centos6-5 桌面]# sysctl -p



wKiom1Pk7hiBsNTqAAXFZjbacT0373.jpg


验证一下参数是否生效,下面执行测试的虽然是虚拟机,但是结果与真实环境的机器并无二致。

centos机器的IP地址是192.168.1.20

发送ping数据包的windows xp机器IP地址是192.168.1.30

可以看到,windows xp发送的4个ping数据包均返回了请求超时的结果,丢包率100%。


wKioL1Pk8-fDCbJyAAxt8MsP5Zg140.jpg


再以***测试业界著名的 BackTrack 5 平台进行检测:



wKiom1Pk9quBDF31AA1zezYqKts413.jpg


当然,任何稍微有经验的***测试师或者***,都不会使用BT5的ping工具,因为它

不能正确反映出一个目标机器的安全性,相反,被广泛使用的Nmap,可以揭露出目标机器的安全级别仍旧有待加强:


wKiom1Pk_fjAVZmoABHJtJ7KLZI725.jpg


上面的例子仅仅是抛砖引玉,希望各位大牛能举一反三。

另外提一下,对于 /etc/sysctl.conf  中的内核参数,如果是开启和关闭性质的,最好不要通过“注释”的方式来禁用或激活,因为这样要重启系统,比较麻烦,应该使用该文件官方推荐的办法:将其值设为0或1,保存退出vim,

然后以命令 sysctl -p 让配置立即生效即可。还是以上面为例子:


wKiom1PlAsWAmegrAA3-vNcor9M955.jpg



继续前面的话题:在没有打开防火墙的情况下,仅仅是在 /etc/sysctl.conf 中添加了禁止本机回应远程ping数据包的参数,那么***者可以直接以 Nmap 运行端口扫描来枚举服务版本。

因此,必须开启centos6.5的iptables防火墙。

下面我们将看到,只要开启iptables,采用其默认规则:允许所有入站方向对本地开启的服务监听端口的套接字发起的连接,那么即便没有关闭相应服务,Nmap 的扫描也不会得到可利用的信息:


首先,根据Nmap的扫描结果,我们知道本机上开放了 TCP 111,443,902等端口和相应服务(请参考上面截图),可以用 lsof 配合 netstat 命令确认:


[root@centos6-5 桌面]# lsof -i:111
[root@centos6-5 桌面]# netstat -antupeo | grep 111
[root@centos6-5 桌面]# lsof -i:902
[root@centos6-5 桌面]# netstat -antupeo | grep 902
[root@centos6-5 桌面]# lsof -i:443



wKiom1PlerqiyGtdABNzATGpX2U968.jpg


注意,我们不使用 service [service] stop 和

ps -ef | grep [PID] && kill -9 [PID]

等类似命令来关闭服务和端口,而是直接启动 iptables 防火墙:


wKiom1QQiZ3xPGyPABOwqCYWmeQ007.jpg


没有特别修改 iptables 防火墙的规则,使用默认策略的情况下,阻止了nmap的各种基于设置了TCP分段标志位的探测数据包:



wKioL1PlitXz7GQHABea-vGWbnc750.jpg


对于那些直接曝露在因特网上对用户提供特定服务(HTTP/S,FTP等)的linux主机来讲:正确的,健壮的,可操作性强的 iptables 防火墙安全策略规则设置,显得非常关键;

但是现在多数组织企业使用自带防火墙的路由器

(例如各种类型的 cisco IOS防火墙,ASA,PIX防火墙,其它厂商的硬件防火墙,硬件负载均衡等设备),放置在用于公网访问的服务器前端,并且还划分出DMZ(所谓的非军事防御区),来与内网机器隔离,设置区域之间的安全级别。。。种种加固手段让在linux主机上开启 iptables的做法显得多余(除非内网已被***,开启iptables 可以防止***者的“横向”提权***),而且会影响服务器性能,因此,建议执行如下命令将其关闭:


[root@centos6-5 桌面]# service iptables stop && chkconfig --level 2345  iptables off


重启系统后,无论进入带x-window 的多用户模式,还是shell终端的多用户模式,

iptables都不会启动。


可以将下面这些内核参数添加到 /etc/sysctl.conf 文件中,需要强调的是,其中部分参数,我没有做过测试,建议慎用,部分对该参数的解释援引互联网上被广泛转载的文章,这里不对其滥用造成的,包括但不限于业务损失,数据丢失等,负任何法律上的责任。

和特定参数解释相关的背景知识,参考这篇博文:


http://shayi1983.blog.51cto.com/4681835/1434989


最好先在虚拟机环境中对这些参数进行性能,基准测试,仔细评估后,再把它添加到实际的生产服务器上:


net.ipv4.tcp_fin_timeout = 30

#当本地发送(发送端)带FIN标识位的TCP分段,要求关闭连接时,如果接收端还有数据要传给发送端,那么发送端应该保持开启用于接收对方数据的TCP通信管道(套接字)的时间(TCP有限状态机保持在FIN-WAIT-2,即处于半关闭状态的时间),

这里将其设置为 30秒,超时后,发送端将关闭连接,此时从对方传输过来的数据会丢失。

对于邮件服务器,这个值设为30秒是合适的,因为此时要求关闭的是服务器,而通常客户端不会有还未传完的数据要传,而且服务器要并发支持多个客户端,因此,在内核层面,只给每个客户端30秒的时间来处理尚未发送的数据包。




内核参数中与网络安全,系统优化相关的还有很多,后面会陆续介绍,作为运维人员,应该充分理解这些系统底层的参数是如何影响你的应用层业务,用户体验,服务器高可用,稳定,以及安全的,这对提升自身核心竞争力无疑有极大帮助。