一、合理使用shell歷史命令記錄功能
在linux下可通過history命令檢視使用者所有的歷史操作記錄,同時shell命令操作記錄預設儲存在使用者目錄下 的.bash_history檔案中,通過這個檔案可以查詢shell命令的執行歷史,有助於運維人員進行系統審計和問題排查,同時,在伺服器遭受黑客攻 擊後,也可以通過這個命令或檔案查詢黑客登入伺服器所執行的歷史命令操作,但是有時候黑客在入侵伺服器後為了毀滅痕跡,可能會刪 除.bash_history檔案,這就需要合理的保護或備份.bash_history檔案。下面介紹下history日誌檔案的安全配置方法。
histfilesize=4000
histsize=4000
histtimeformat='%f %t'
export histtimeformat
其中,histfilesize定義了在.bash_history檔案中儲存命令的記錄總數,預設值是1000,這裡設定為 4000;histsize定義了history命令輸出的記錄總數;histtimeformat定義時間顯示格式,這裡的格式與date命令後的 「+"%f %t"」是一致的;histtimeformat作為history的時間變數將值傳遞給history命令。
通過這樣的設定後,執行history命令,就會顯示每個歷史命令的詳細執行時間,例如:
[root@server ~]# history
247 2013-10-05 17:16:28 vi /etc/bashrc
248 2013-10-05 17:16:28 top
249 2013-10-05 17:04:18 vmstat
250 2013-10-05 17:04:24 ps -ef
251 2013-10-05 17:16:29 ls -al
252 2013-10-05 17:16:32 lsattr
253 2013-10-05 17:17:16 vi /etc/profile
254 2013-10-05 17:19:32 date +"%f %t"
255 2013-10-05 17:21:06 lsof
256 2013-10-05 17:21:21 history
為了確保伺服器的安全,保留shell命令的執行歷史是非常有用的一條技巧。shell雖然有歷史功能,但是這個功能並非針對審計目的而設計,因此 很容易被黑客篡改或是丟失。下面再介紹一種方法,可以實現詳細記錄登入過系統的使用者、ip位址、shell命令以及詳細操作時間等,並將這些資訊以檔案的 形式儲存在乙個安全的地方,以供系統審計和故障排查。
將下面這段**新增到/etc/profile檔案中,即可實現上述功能。
#history
user_ip=`who -u am i 2>/dev/null| awk ''|sed -e 's/[()]//g'`
histdir=/usr/share/.history
if [ -z $user_ip ]
then
user_ip=`hostname`
fi
if [ ! -d $histdir ]
then
mkdir -p $histdir
chmod 777 $histdir
fi
if [ ! -d $histdir/$ ]
then
mkdir -p $histdir/$
chmod 300 $histdir/$
fi
export histsize=4000
dt=`date +%y%m%d_%h%m%s`
export histfile="$histdir/$/$.history.$dt"
export histtimeformat="[%y.%m.%d %h:%m:%s]"
chmod 600 $histdir/$/*.history* 2>/dev/null
儲存歷史命令的資料夾目錄要盡量隱蔽,避免被黑客發現後刪除。
二、合理使用su、sudo命令
su命令是乙個切換使用者的工具,經常用於將普通使用者切換到超級使用者下,當然也可以從超級使用者切換到普通使用者。為了保證伺服器的安全,幾乎所有伺服器 都禁止了超級使用者直接登入系統,而是通過普通使用者登入系統,然後再通過su命令切換到超級使用者下,執行一些需要超級許可權的工作。通過su命令能夠給系統管 理帶來一定的方便,但是也存在不安全的因素,例如系統有10個普通使用者,每個使用者都需要執行一些有超級許可權的操作,就必須把超級使用者的密碼交給這10個普 通使用者,如果這10個使用者都有超級許可權,通過超級許可權可以做任何事,那麼會在一定程度上對系統的安全造成了威協。因此su命令在很多人都需要參與的系統管 理中,並不是最好的選擇,超級使用者密碼應該掌握在少數人手中,此時sudo命令就派上用場了。
sudo命令允許系統管理員分配給普通使用者一些合理的「權利」,並且不需要普通使用者知道超級使用者密碼,就能讓他們執行一些只有超級使用者或其他特許用 戶才能完成的任務,比如系統服務重啟、編輯系統配置檔案等,通過這種方式不但能減少超級使用者登入次數和管理時間,也提高了系統安全性。因此,sudo命令 相對於許可權無限制性的su來說,還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進行授權認證的,所以也被稱為授權認證的 su。
sudo執行命令的流程是:將當前使用者切換到超級使用者下,或切換到指定的使用者下,然後以超級使用者或其指定切換到的使用者身份執行命令,執行完成後,直接退回到當前使用者,而這一切的完成要通過sudo的配置檔案/etc/sudoers來進行授權。
例如,/etc/shadow檔案普通使用者是無法訪問的:
[user01@unknown ~]$ more /etc/shadow
/etc/shadow: permission denied
如果要讓普通使用者user01可訪問這個檔案,可以在/etc/sudoers新增如下內容:
user01 all = /bin/more /etc/shadow
這樣,通過如下方式user01使用者就可訪問/etc/shadow檔案:
[user01@unknown ~]$ sudo more /etc/shadow
[sudo] password for user01:
執行這個命令後,需要輸入user01使用者的密碼,然後就可訪問檔案內容了。在這裡sudo使用時間戳檔案來完成類似「檢票」的系統,當使用者輸入密 碼後就獲得了一張預設存活期為5分鐘的「入場券」(預設值可以在編譯的時候改變)。超時以後,使用者必須重新輸入密碼才能檢視檔案內容。
如果每次都需要輸入密碼,那麼某些自動呼叫超級許可權的程式就會出現問題,此時可以通過下面的設定,讓普通使用者無需輸入密碼即可執行具有超級許可權的程 序。例如,要讓普通使用者centreon具有/etc/init.d/nagios指令碼重啟的許可權,可以在/etc/sudoers新增如下設定:
centreon all = nopasswd: /etc/init.d/nagios restart
這樣,普通使用者centreon就可以執行nagios重啟的指令碼而無需輸入密碼了。如果要讓乙個普通使用者user02具有超級使用者的所有許可權,而又不想輸入超級使用者的密碼,只需在/etc/sudoers新增如下內容即可:
user02 all=(all) nopasswd: all
這樣user02使用者登入系統後,就可以通過執行如下命令切換到超級使用者下:
[user02@unknown ~]$ sudo su -
[root@unknown ~]# pwd
/root
sudo設計的宗旨是:賦予使用者盡可能少的許可權但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性,因此,強烈推薦通過sudo來管理系統 賬號的安全,只允許普通使用者登入系統,如果這些使用者需要特殊的許可權,就通過配置/etc/sudoers來完成,這也是多使用者系統下賬號安全管理的基本方 式。
三、刪減系統登入歡迎資訊
系統的一些歡迎資訊或版本資訊,雖然能給系統管理者帶來一定的方便,但是這些資訊有時候可能被黑客利用,成為攻擊伺服器的**,為了保證系統的安 全,可以修改或刪除某些系統檔案,需要修改或刪除的檔案有4個,分別是/etc/issue、/etc/issue.net、/etc/redhat- release和/etc/motd。
/etc/issue和/etc/issue.net檔案都記錄了作業系統的名稱和版本號,當使用者通過本地終端或本地虛擬控制台等登入系統時, /etc/issue的檔案內容就會顯示,當使用者通過ssh或telnet等遠端登入系統時,/etc/issue.net檔案內容就會在登入後顯示。在 預設情況下/etc/issue.net檔案的內容是不會在ssh登入後顯示的,要顯示這個資訊可以修改/etc/ssh/sshd_config檔案, 在此檔案中新增如下內容即可:
banner /etc/issue.net
其實這些登入提示很明顯洩漏了系統資訊,為了安全起見,建議將此檔案中的內容刪除或修改。
/etc/redhat-release檔案也記錄了作業系統的名稱和版本號,為了安全起見,可以將此檔案中的內容刪除。
/etc/motd檔案是系統的公告資訊。每次使用者登入後,/etc/motd檔案的內容就會顯示在使用者的終端。通過這個檔案系統管理員可以發布一 些軟體或硬體的公升級、系統維護等通告資訊,但是此檔案的最大作用就、是可以發布一些警告資訊,當黑客登入系統後,會發現這些警告資訊,進而產生一些震懾作 用。看過國外的乙個報道,黑客入侵了乙個伺服器,而這個伺服器卻給出了歡迎登入的資訊,因此法院不做任何裁決。
安全運維 Linux系統攻擊回溯
入侵排查思路 1 日誌分析 日誌分析 預設日誌路徑 var log 檢視日誌配置情況 more etc rsyslog.conf 重要日誌 登入失敗記錄 var log btmp 最後一次登入 var log lastlog 登入成功記錄 var log wtmp 登入日誌記錄 var log se...
Linux運維初級教程(二)賬戶與安全
使用者id為uid,組id為gid,uid 0表示超級管理員即root。乙個使用者只可以加入乙個基本組,但是可以同時加入多個附加組。建立使用者時,系統缺省會自動建立同名的組,並設定使用者加入該基本組中。新增賬戶 useradd useradd ycc 新增組 groupadd groupadd yc...
安全運維之埠安全
兼職安全半年了,分享一下我這裡是如何做安全的,當然作為兼職,不是太深入,進攻參考。下面介紹埠安全,主要是公司idc機房所有ip段開放埠情況,比如乙個伺服器,預設僅要求開放ssh埠,但如果開啟了其他未允許埠,可能是被人誤開或者被 這樣就需要運維提前知曉並解決。如何實現 1 使用nmap diff來對公...