AIDE,sudo,TCP_Wrappers,PAM认证等系统安全访问机制

AIDE

高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。

AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号。

配置文件:/etc/aide.conf

# These are the default rules.
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum
#haval:  haval checksum (MHASH only)
#gost:   gost checksum (MHASH only)
#crc32:  crc32 checksum (MHASH only)
#whirlpool:     whirlpool checksum (MHASH only)
#R:             p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
#L:             p+i+n+u+g+acl+selinux+xattrs
#E:             Empty group
#>:             Growing logfile p+u+g+i+n+S+acl+selinux+xattrs

1、安装

# yum install aide

2、配置需要监控的文件夹

[root@centos6 ~]# vim /etc/aide.conf
/data/* R

3、生成数据库并改名为现在使用的文件名

[root@centos6 ~]# cd /var/lib/aide/
[root@centos6 aide]# aide --init
AIDE, version 0.14
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
[root@centos6 aide]# ls
aide.db.new.gz
[root@centos6 aide]# mv aide.db.new.gz aide.db.gz    

4、检查文件完整性,建议将aide数据库存放到安全的地方

# aide --check

5、更新数据库

# aide --update

sudo

能够授权指定用户在指定主机上代表指定用户执行某些指令。

sudo命令

  • -V 详细信息
  • -u username 代表的用户
  • -l 列出用户在主机上可用的命令
  • -v 刷新密码时间戳
  • -K 删除密码有效期时间戳
  • -k 重置时间戳到1970年
  • -b 在后台执行指令
  • -p 改变询问密码的提示符
  • %p 表示用户名
  • %h 表示主机名
  • -i -u username 切换身份

visudo:编辑/etc/sudoers

  -v:检查语法合格性

  -f file:编辑文件

配置文件:/etc/sudoers, /etc/sudoers.d/*,支持使用通配符

  授权格式:用户 主机=(代表用户) 命令

用户和代表用户:

  • username
  • #uid
  • %group_name
  • %#gid
  • user_alias|runas_alias

主机:

  • ip或hostname
  • network(/netmask)
  • host_alias

命令:

  • command name
  • directory
  • sudoedit
  • Cmnd_Alias
root    ALL=(ALL)   ALL  #系统默认为root用户开的后门,root用户可以在任意主机上以任意用户的身份执行任意操作

  别名:

    类型:User_Alias, Runas_Alias, Host_Alias ,Cmnd_Alias

    格式:必须以大小的A-Z开头,中间可以是大小的A-Z,数字和下划线

[root@centos6 sudoers.d]# visudo -f netadmin
User_Alias NETADMIN = user1,user2,user3
Cmnd_Alias NETCMD = /sbin/ip,/sbin/route,/sbin/ifconfig,/bin/netstat,/usr/sbin/ss
Host_Alias HOST = 192.168.0.6
Runas_Alias OP = root

NETADMIN HOST=(OP) NETCMD

日志文件:/var/log/secure

*注意

user4 ALL=(root) /bin/cat /var/log/messages*

这样授权是错误的,以下命令也可以执行

# /bin/cat /var/log/messages /etc/shadow

所以我们如果想实现这样的需求就需要按照以下这样的写法:

dongfei ALL=(root) /bin/cat /var/log/messages*,!/bin/cat /var/log/messages* *
[dongfei@centos6 ~]$ sudo cat /var/log/messages /etc/shadow
Sorry, user dongfei is not allowed to execute '/bin/cat /var/log/messages /etc/shadow' as root on centos6.

TCP_Wrappers

作者:Wieste Venema

简介:工作在第四层(传输层)的TCP协议,对有状态连接的特定服务进行安全检测并实现访问控制;某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译。

检查sshd服务是否能够被TCP_Wrappers控制

[dongfei@centos6 ~]$ which sshd
/usr/sbin/sshd
[dongfei@centos6 ~]$ ldd /usr/sbin/sshd |grep libwrap.so
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f61ba6aa000) #sshd服务依赖libwrap.so库,可以被控制

配置文件:/etc/hosts.allow(白名单), /etc/hosts.deny(黑名单)

规则:先检查白名单,如果被白名单匹配则允许访问;如果白名单没有匹配到则交给黑名单匹配,如果匹配则拒绝;如果都没有匹配到则使用默认策略(默认允许)。

配置语法:服务列表@主机IP:客户端地址列表  [:选项]

服务列表@主机IP:

  1. 单个应用程序的二进制文件名,而非服务名,例如vsftpd
  2. 以逗号或空格分隔的应用程序文件名列表,如:sshd,vsftpd
  3. ALL表示所有接受tcp_wrapper控制的服务程序
  4. 主机有多个IP,可用@hostIP来实现控制

客户端列表:

  1. 以逗号或空格分隔的客户端列表
  2. 基于IP地址:192.168.10.1 192.168.1.
  3. 基于主机名:www.magedu.com .magedu.com 较少用
  4. 基于网络/掩码:192.168.0.0/255.255.255.0
  5. 基于net/prefixlen: 192.168.1.0/24(CentOS7)
  6. 基于网络组(NIS 域):@mynetwork
  7. 内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
    • ALL 表示所有主机
    • LOACAL 表示本地网络,匹配任何主机名中不带"."的主机
    • UNKNOWN 不能将主机名解析为IP
    • KNOWN 能将主机名解析为IP
    • EXCEPT 排除

选项:

  1. deny 拒绝
  2. spawn 触发一个操作
  3. twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null

 tcpdmatch:在本地测试

tcpdmatch [-d] daemon[@host] client

-d 测试当前目录下的hosts.allow和hosts.deny

[root@centos6 data]# cat hosts.allow 
[root@centos6 data]# cat hosts.deny 
sshd:192.168.0.7
[root@centos6 data]# tcpdmatch -d sshd 192.168.0.7 #如果客户端是192.168.0.7是否可以访问本机的sshd服务
client:   address  192.168.0.7
server:   process  sshd
access:   denied(拒绝)
[root@centos6 data]# tcpdmatch -d sshd 192.168.0.8
client:   address  192.168.0.8
server:   process  sshd
access:   granted

PAM

它提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等应用程序中。系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略;应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用;而PAM服务模块的开发者则利用PAM SPI来编写模块(主要是引出一些函数pam_sm_xxxx( )供PAM接口库调用),将不同的认证机制加入到系统中;PAM接口库(libpam)则读取配置文件,将应用程序和相应的PAM服务模块联系起来。

模块文件目录:/lib64/security/*.so

环境相关的设置:/etc/security/

主配置文件:/etc/pam.conf,默认不存在

为每种应用模块提供一个专用的配置文件:/etc/pam.d/*

PAM认证过程:

  1. 使用者执行/usr/bin/passwd 程序,并输入密码
  2. passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
  3. 经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
  4. 将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)

专用配置文件/etc/pam.d/*格式

 module-type  control   module-path   arguments

  • 模块类型(module-type):检查功能类别
    • Auth 账号的认证和授权
    • Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)
    • Password 用户修改密码时密码复杂度检查机制等功能
    • Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等
    • -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
  • control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 (简单机制)
    • required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。即为必要条件
    • requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
    • sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件
    • optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
    • include: 调用其他的配置文件中定义的配置信息
  • module-path 用来指明本模块对应的程序文件的路径名
    • /lib64/security目录下的模块可使用相对路径,直接指定模块;如果是在其他位置需要给定绝对路径
  • Arguments 用来传递给该模块的参数

pam_shells模块

检查用户的shell是否安全,如果在/etc/shells文件中的shell为安全shell

[root@centos7 pam.d]# vim sshd 
auth       required     pam_shells.so  #要求用户必须使用安全的shell登录,即用户的shell在/etc/sheels文件中

pam_securetty.so模块

只允许root用户在/etc/securetty列出的安全终端上登陆。

pam_nologin.so模块

1、如果/etc/nologin文件存在,将导致非root用户不能登陆;

2、如果用户shell是/sbin/nologin 时,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。

pam_limits.so模块

此模块通过读取配置文件完成用户对系统资源(可打开的文件数量,可运行的进程数量,可用内存空间)的使用控制。

ulimit命令

  • -n 最多的打开的文件描述符个数
  • -u 最大用户进程数
  • -S 使用 soft(软)资源限制
  • -H 使用 hard(硬)资源限制

配置文件:(/etc/security/limits.conf,/etc/security/limits.d/*)

格式:对象  类型  资源  值

对象

  • Username 单个用户
  • @group 组内所有用户
  • * 表示所有用户

类型

  • Soft 软限制,普通用户自己可以修改
  • Hard 硬限制,由root用户设定,且通过kernel强制生效

资源

  • nofile 所能够同时打开的最大文件数量,默认为1024
  • nproc 所能够同时运行的进程的最大数量,默认为1024

 

个人学习笔记  2018-05-24  09:40:14

posted @ 2018-05-22 15:20  生生不息.连绵不绝  阅读(847)  评论(0编辑  收藏  举报