1.Linux基本防护措施
与用户相关的配置文件
/etc/passwd   /etc/shadow  /etc/group /etc/gshadow  /etc/login.defs /etc/skel
 
与用户相关的命令
chage   passwd
 
伪装登录提示
/etc/issue、 /etc/issue.net
 
文件系统安全
普通权限 r w x  
特殊权限 suid sgid 粘滞位
访问控制列表  facl
 
给文件加特殊属性  i 和 a  
对应的管理命令 lsattr  chattr
 
1.1 修改用户zhangsan的账户属性，设置为2020-12-31日失效（禁止登录）
正常情况下，未过期的账号可以正常登录，使用chage可以修改账户有效期。
chage命令的语法格式：
chage –l  账户名称           //查看账户信息
chage –E 时间 账户名称  //修改账户有效期
]# chage -l zhangsan
]# chage -E 2010-10-10 zhangsan
尝试以用户zhangsan重新登录，输入正确的用户名、密码后直接闪退，返回登录页，说明此帐号已失效。
]# chage -E 2020-12-31 zhangsan
]# chage -l zhangsan
 
定义默认有效期
/etc/login.defs这个配置文件，决定了账户密码的默认有效期。
]# cat /etc/login.defs
PASS_MAX_DAYS    99999           //密码最长有效期
PASS_MIN_DAYS    0               //密码最短有效期
PASS_MIN_LEN     5               //密码最短长度
PASS_WARN_AGE    7               //密码过期前几天提示警告信息
UID_MIN          1000            //UID最小值
UID_MAX          60000           //UID最大值
 
1.2  临时锁定用户zhangsan的账户，使其无法登录，验证效果后解除锁定
]# passwd -l zhangsan  //锁定用户账号zhangsan
]# passwd -S zhangsan  //查看状态status
验证用户zhangsan已无法登录，说明锁定生效
]# passwd -u zhangsan  //解锁用户账号
 
1.3 修改tty登录的提示信息，隐藏系统版本
]# vim /etc/issue      //修改文件内容
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
查看效果：
]# reboot
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
mysql50 login:
 
1.4 锁定文件/etc/resolv.conf、/etc/hosts
语法格式：
# chattr +i  文件名     //锁定文件（无法修改、删除等）
# chattr -i  文件名      //解锁文件
# chattr +a  文件       //锁定后文件仅可追加
# chattr -a  文件名     //解锁文件
# lsattr 文件名           //查看文件特殊属性
 
]# chattr +i /etc/resolv.conf
]# chattr +a /etc/resolv.conf
]# lsattr /etc/resolv.conf
----ia---------- /etc/resolv.conf
 
测试文件锁定效果
]# rm -rf /etc/resolv.conf
rm: 无法删除"/etc/resolv.conf": 不允许的操作
]# echo xyz > /etc/resolv.conf
-bash: resolv.conf: 权限不够
 
2.使用sudo分配管理权限
 
使用su命令临时切换账户身份，并执行命令
允许softadm管理系统服务的权限
允许用户useradm通过sudo方式添加/删除/修改除root以外的用户账号
允许wheel组成员以特权执行所有命令
为sudo机制启用日志记录，以便跟踪sudo执行操作
 
2.1 使用su命令临时切换账户身份，并以root执行命令
2.1.1 su(Substitute User)命令可以快速切换账户身份，普通用户切换账户身份时需要输入密码，root使用su命令切换任何身份都不需要密码，如法格式如下：
# su - [账户名称]
# su - [账户名称] -c '命令'  
 
]# su - zhangsan(root直接切换）
 
]$ whoami
zhangsan
]$ su - lisi(需要密码）
密码：
 
2.1.2 以普通身份创建文件(如果没有普通账户则需要先创建)，以root身份重启服务
]# su - zhangsan -c "touch /tmp/test.txt"  //管理员切换普通用户
]# ll /tmp/test.txt
-rw-rw-r-- 1 zhangsan zhangsan 0 2月  19 09:13 /tmp/test.txt
//以管理员重启服务
]# su - zhangsan
]$ su - -c "systemctl restart sshd"  或者
]$ su - root(可省略) -c "systemctl restart sshd"
密码：
 
2.2 允许softadm管理系统服务的权限
2.2.1 修改/etc/sudoers配置
修改/etc/sudoers可以直接使用vim编辑该文件，或使用visudo命令修改该文件。
为softadm授予相关脚本的执行权限，允许通过systemctl工具来管理系统服务。
如果没有softadm账户可以先创建该账户。
 
]# useradd softadm
]# vim /etc/sudoers   //修改文件后，需要使用wq强制保存
...
root      ALL=(ALL)   ALL(原来有，下面追加）
softadm   ALL=(ALL)   /usr/bin/systemctl
//授权softadm以root身份执行systemctl命令（ALL包括root）
 
2.2.2 切换为softadm用户，并验证sudo执行权限
设置密码
chpasswd命令使用起来很简洁
]# echo "softadm:123456" | chpassw
使用passwd命令，也可以实现非交互式修改密码
]# echo "123456" | passwd --stdin "softadm"
 
]# su - softadm
]$ sudo -l(查看配置权限）
… …
[sudo] password for softadm:   //输入softadm的密码
.. ..
用户 softadm 可以在该主机上运行以下命令：
    (ALL) /usr/bin/systemctl
]$ systemctl start httpd        //不用sudo时启动服务失败
Authentication is required
.. ..
]$ sudo systemctl restart httpd //通过sudo启动服务成功
 
2.3 允许用户useradm通过sudo方式添加/删除/修改除root以外的用户账号
2.3.1 修改/etc/sudoers配置
为useradm授予用户管理相关命令的执行权限，例外程序以!符号取反，放在后面。在执行相关程序时，可以利用通配符*。
]# useradd useradm
]# vim /etc/sudoers
.. ..
useradm ALL=(ALL)  /usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,
 !/usr/sbin/user* * root
 
2.3.2 切换为useradm用户，验证sudo权限
可以通过sudo方式来添加/删除/修改普通用户：
]$ sudo -l
.. ..
用户useradm可以在该主机上运行以下命令：
(root) /usr/bin/passwd, !/usr/bin/passwd root, /usr/sbin/user*,
!/usr/sbin/user* * root
]$ sudo useradd newuser01    //可以添加用户
]$ sudo passwd newuser01     //可以修改普通用户的口令
更改用户 newuser01 的密码 。
新的 密码：
重新输入新的 密码：
passwd： 所有的身份验证令牌已经成功更新。
 
但是不能修改root用户的密码：
]$ sudo passwd root
对不起，用户 useradm 无权以 root 的身份在 localhost 上执行 /usr/bin/passwd root。
 
2.4 允许wheel组成员以特权执行所有命令
实现时参考下列操作(如果没有普通用户则先创建该账户)：
]# vim /etc/sudoers
.. ..
%wheel ALL=(ALL)  ALL
]# usermod -a -G wheel zhangsan(将用户zhangsan加入wheel组）
]# id zhangsan
uid=1007(zhangsan) gid=1007(zhangsan) 组=1007(zhangsan),10(wheel)
]# su - zhangsan
]$ sudo -l
.. ..
用户 zhangsan 可以在 mysql50 上运行以下命令：
    (ALL) ALL
 
2.5 为sudo机制启用日志记录，以便跟踪sudo执行操作
 
1）修改/etc/sudoers配置，添加日志设置
]# visudo
Defaults logfile="/var/log/sudo"(添加)
.. ..
2）以root（默认有所有权限）执行sudo操作
]# sudo -l                      //查看授权的sudo操作
]# sudo systemctl status httpd  //查看授权的sudo操作
3）确认日志记录已生效
]# tail /var/log/sudo
Feb 19 10:10:58 : root : TTY=pts/0 ; PWD=/root ; USER=root ; COMMAND=list
Feb 19 10:11:10 : root : TTY=pts/0 ; PWD=/root ; USER=root ;
    COMMAND=/bin/systemctl status httpd
 
3. 提高SSH服务安全
 
配置基本安全策略（禁止root、禁止空口令）
针对SSH访问采用仅允许的策略，未明确列出的用户一概拒绝登录
实现密钥验证登录（私钥口令）、免密码登入
确认密钥验证使用正常后，禁用口令验证
 
3.1 配置基本安全策略
 
1）调整sshd服务配置，并重载服务
]# vim /etc/ssh/sshd_config
.. ..
Protocol 2               //SSH协议
PermitRootLogin no       //禁止root用户登录
PermitEmptyPasswords no  //禁止密码为空的用户登录
UseDNS  no               //不解析客户机地址
LoginGraceTime  1m       //登录限时
MaxAuthTries  3          //每连接最多认证次数
.. ..
]# systemctl restart sshd
 
2）测试基本安全策略
尝试以root用户SSH登录，失败：
]# ssh root@192.168.4.50
root@192.168.4.50's password:
Permission denied, please try again.
将服务器上用户kate(如无该账户则先创建)的密码设为空，尝试SSH登录，也会失败：
]# passwd -d kate     //清空用户口令
清除用户的密码 kate。
passwd: 操作成功
]# ssh kate@192.168.4.50
kate@192.168.4.50's password:
Permission denied, please try again.
 
3.2 针对SSH访问采用仅允许的策略，未明确列出的用户一概拒绝登录
1）调整sshd服务配置，添加AllowUsers策略，仅允许用户zhangsan、tom、useradm，其中useradm只能从网段192.168.4.0/24登录。
 
注意：如果没有这些用户，需要提前创建用户并设置密码。
白名单 仅允许白名单列表里的用户连接ssh服务
用户设置   AllowUsers  root@192.168.4.254 nb
用户组设置 AllowGroups 用户组名
 
黑名单 没有在黑名单列表里的用户可以连接ssh服务
用户设置   DenyUsers  nb1 nb2 nb3
用户组设置 DenyGroups 用户组名
 
]# vim /etc/ssh/sshd_config
.. ..
AllowUsers zhangsan tom useradm@192.168.4.0/24  //定义账户白名单,追加到文件里
##DenyUsers   USER1  USER2                      //定义账户黑名单
##DenyGroups  GROUP1 GROUP2                     //定义组黑名单
##AllowGroups GROUP1 GROUP2                     //定义组白名单
]# systemctl restart sshd
 
2）验证SSH访问控制，未授权的用户将拒绝登录。
]# ssh useradm@192.168.4.50         //已授权的用户允许登录
useradm@192.168.4.5's password:
]$ exit
]# ssh root@192.168.4.50            //未授权的用户被拒绝登录
root@192.168.4.5's password:
Permission denied, please try again.(PermitRootLogin no)
 
3.3 实现密钥对验证登录（私钥口令）、免密码登入
 
1）准备客户机测试环境(4.51)
为客户机的用户root建立SSH密钥对
使用ssh-keygen创建密钥对，将私钥口令设为空（直接回车）：
]# ssh-keygen
]# ls -lh ~/.ssh/id_rsa*
-rw------- 1 root root 1.7K 2月  15 15:04 /root/.ssh/id_rsa
-rw-r--r-- 1 root root  394 2月  15 15:04 /root/.ssh/id_rsa.pub
 
2）将客户机上用户root的公钥部署到SSH服务器(51)
以用户root登入客户机，使用ssh-copy-id命令将自己的公钥部署到服务器：
]# ssh-copy-id root@192.168.4.50
 
3）在服务器上确认客户机用户root上传的公钥信息(50)
默认部署位置为目标用户的家目录下 ~/.ssh/authorized_keys文件：
]# tail -2 ~/.ssh/authorized_keys
 
4）在客户机上测试SSH密钥对验证
在客户机用户root的环境中，以远程用户root登入192.168.4.50主机时，无需验证口令即可登入（因为私钥口令为空）：
]# ssh root@192.168.4.50   //免交互直接登入
 
3.4 确认密钥验证使用正常后，禁用口令验证
 
调整sshd服务配置，将PasswordAuthentication设为no(50)
]# vim /etc/ssh/sshd_config
.. ..
PasswordAuthentication no          //将此行yes改成no
]# systemctl restart sshd
 
4.SELinux安全防护
 
*****************************
查看安全上下文  
用户:角色:访问类型:选项...
 
]# ls -lZ 文件名
]# ls -ld 目录名
]# ps -aux -Z | grep 进程名
 
一般操作规律
移动的文件，原有的上下文属性不变
复制的文件，自动继承目标位置的上下文
创建新文件，自动继承父目录上下文
 
修改文件的上下文
]# chcon    -t  访问类型  文件名
]# chcon -R -t  访问类型  目录名
 
恢复上下文
]# restorecon     文件名
]# restorecon -R  目录名
 
SELinux布尔值(bool) 功能开关
查看布尔值
]# getsebool -a 或 getsebool -a | grep 服务名
修改布尔
]# setsebool  -P  选项=on|off
**********************************

将Linux服务器的SELinux设为enforcing强制模式
从/root目录下移动一个包文件到FTP下载目录，调整策略使其能够被下载
 
4.1 将Linux服务器的SELinux设为enforcing强制模式
]# vim /etc/selinux/config
SELINUX=enforcing         //设置SELinux为强制模式
SELINUXTYPE=targeted      //保护策略为保护主要的网络服务安全
 
]# getenforce
Enforcing
]# setenforce 0      
]# getenforce     
Permissive
 
4.2 在SELinux启用状态下，调整策略打开vsftpd服务的匿名上传访问
1）配置一个允许匿名上传的vsftpd服务作为测试环境
]# setenforce 1
]# yum -y install vsftpd
]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES           //开启匿名访问
anon_upload_enable=YES         //允许上传文件,添加
anon_mkdir_write_enable=YES    //允许上传目录，添加
]# systemctl start vsftpd      //启动服务
//默认Vsftpd共享目录为/var/ftp/
 
4.3 从/root目录下移动2个包文件到FTP下载目录，调整文件的安全上下文
 
1）建立两个FTP下载用的测试文件
由root用户创建两个测试压缩包，一个直接建立到/var/ftp/目录下，另一个先在/root/下建立，然后移动至/var/ftp/目录。
//测试文件1，直接在ftp目录下创建文件
]# tar -zvcf /var/ftp/log1.tar /var/log
]# ls -lh /var/ftp/
-rw-r--r--. 1 root root 1.8M 2月  19 11:22 log1.tar
]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
 
//测试文件2，在/root下建立，然后移动至/var/ftp目录
]# tar -zvcf log2.tar /var/log
]# mv log2.tar /var/ftp/
]# ls -lh /var/ftp/
-rw-r--r--. 1 root root 1.8M 2月  19 11:22 log1.tar
-rw-r--r--. 1 root root 1.8M 2月  19 11:25 log2.tar
]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 log2.tar
 
3）通过FTP方式测试下载
使用wget命令分别下载这两个包文件，第二个包将会下载失败（看不到文件）。
]# wget ftp://192.168.4.50/log1.tar  //下载第一个文件，成功
]# wget ftp://192.168.4.50/log2.tar  //下载第二个文件，失败
 
4）检查该测试包的安全上下文，正确调整后再次下载第二个包成功。
文件已经存放到共享目录下，但客户端无法访问下载，是因为被SELinux拦截了！
]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 log2.tar
 
]# chcon -t public_content_t /var/ftp/log2.tar
]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log2.tar
 
]# wget ftp://192.168.4.50/log2.tar     //再次下载，成功
 
注意：上例中的chcon操作
]# chcon -t public_content_t /var/ftp/log2.tar
可替换为（效果相同）：
]# restorecon /var/ftp/log2.tar
或者

]# chcon --reference=/var/ftp/log1.tar /var/ftp/log2.tar

******************************
验证上传下载功能完整
在51主机运行ftp服务： 并允许匿名用户上传文件和下载文件，可以把文件上传到
/var/ftp/sharedir目录里。
 
]# rpm -q vsftpd
]# yum -y  install vsftpd
]# vim /etc/vsftpd/vsftpd.conf
   29 anon_upload_enable=YES   允许匿名用户上传文件
:wq
 
]# mkdir  /var/ftp/sharedir    创建上传目录
]# chmod o+w /var/ftp/sharedir 允许其他用户有写权限
]# cp /etc/passwd  /var/ftp/sharedir/  创建共享文件
]# systemctl start vsftpd
]# netstat -utnlp  | grep  :21
]# getenforce
Enforcing
 
客户端测试
]# rpm -q ftp
]# yum -y install ftp
 
]# ftp 192.168.4.51 ---> ftp ----> 回车 ---> ls  ---> cd  sharedir ---> ls
> get  passwd  下载文件成功
> cd  sharedir  切换到上传目录
> lcd  /etc     切换到客户端本地目录/etc
> put  hosts    上传失败
> bye  断开连接
 
设置bool值 允许上传文件
]# setsebool -P ftpd_anon_write=on
]# setsebool -P ftpd_full_access=on
]# getsebool -a | grep ftp
 
]# ftp 192.168.4.51 ---> ftp ----> 回车 ---> ls  ---> cd  sharedir ---> ls
> get  passwd  下载文件成功
> cd  sharedir  切换到上传目录
> lcd /etc     切换到客户端本地目录/etc
> put hosts    成功
> bye 断开连接
 
网站服务可以使用8090端口接收连接请求
]# systemctl stop httpd
]# vim /etc/httpd/conf/httpd.conf
listen 8090
:wq
]# systemctl start httpd  启动 报错
 
]# rpm -qa | grep -i setroubleshoot
]# grep -i setroubleshoot /var/log/messages | tail -1
]# sealert -l 1592dd6b-44b9-4d60-b777-0a405bdf48ec
]# semanage port -a -t http_port_t -p tcp 8090
 
]# systemctl start httpd  可以正常启动
]# netstat -utnlp  | grep :8090
]# echo 456 > /var/www/html/test.html
]# curl http://localhost:8090/test.html
456