AIDE,sudo,TCP_Wrappers,PAM认证等系统安全访问机制
AIDE
高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号。
配置文件:/etc/aide.conf
# These are the default rules. #p: permissions #i: inode: #n: number of links #u: user #g: group #s: size #b: block count #m: mtime #a: atime #c: ctime #S: check for growing size #acl: Access Control Lists #selinux SELinux security context #xattrs: Extended file attributes #md5: md5 checksum #sha1: sha1 checksum #sha256: sha256 checksum #sha512: sha512 checksum #rmd160: rmd160 checksum #tiger: tiger checksum #haval: haval checksum (MHASH only) #gost: gost checksum (MHASH only) #crc32: crc32 checksum (MHASH only) #whirlpool: whirlpool checksum (MHASH only) #R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5 #L: p+i+n+u+g+acl+selinux+xattrs #E: Empty group #>: Growing logfile p+u+g+i+n+S+acl+selinux+xattrs
1、安装
# yum install aide
2、配置需要监控的文件夹
[root@centos6 ~]# vim /etc/aide.conf /data/* R
3、生成数据库并改名为现在使用的文件名
[root@centos6 ~]# cd /var/lib/aide/ [root@centos6 aide]# aide --init AIDE, version 0.14 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. [root@centos6 aide]# ls aide.db.new.gz [root@centos6 aide]# mv aide.db.new.gz aide.db.gz
4、检查文件完整性,建议将aide数据库存放到安全的地方
# aide --check
5、更新数据库
# aide --update
sudo
能够授权指定用户在指定主机上代表指定用户执行某些指令。
sudo命令
- -V 详细信息
- -u username 代表的用户
- -l 列出用户在主机上可用的命令
- -v 刷新密码时间戳
- -K 删除密码有效期时间戳
- -k 重置时间戳到1970年
- -b 在后台执行指令
- -p 改变询问密码的提示符
- %p 表示用户名
- %h 表示主机名
- -i -u username 切换身份
visudo:编辑/etc/sudoers
-v:检查语法合格性
-f file:编辑文件
配置文件:/etc/sudoers, /etc/sudoers.d/*,支持使用通配符
授权格式:用户 主机=(代表用户) 命令
用户和代表用户:
- username
- #uid
- %group_name
- %#gid
- user_alias|runas_alias
主机:
- ip或hostname
- network(/netmask)
- host_alias
命令:
- command name
- directory
- sudoedit
- Cmnd_Alias
root ALL=(ALL) ALL #系统默认为root用户开的后门,root用户可以在任意主机上以任意用户的身份执行任意操作
别名:
类型:User_Alias, Runas_Alias, Host_Alias ,Cmnd_Alias
格式:必须以大小的A-Z开头,中间可以是大小的A-Z,数字和下划线
[root@centos6 sudoers.d]# visudo -f netadmin User_Alias NETADMIN = user1,user2,user3 Cmnd_Alias NETCMD = /sbin/ip,/sbin/route,/sbin/ifconfig,/bin/netstat,/usr/sbin/ss Host_Alias HOST = 192.168.0.6 Runas_Alias OP = root NETADMIN HOST=(OP) NETCMD
日志文件:/var/log/secure
*注意
user4 ALL=(root) /bin/cat /var/log/messages*
这样授权是错误的,以下命令也可以执行
# /bin/cat /var/log/messages /etc/shadow
所以我们如果想实现这样的需求就需要按照以下这样的写法:
dongfei ALL=(root) /bin/cat /var/log/messages*,!/bin/cat /var/log/messages* *
[dongfei@centos6 ~]$ sudo cat /var/log/messages /etc/shadow Sorry, user dongfei is not allowed to execute '/bin/cat /var/log/messages /etc/shadow' as root on centos6.
TCP_Wrappers
作者:Wieste Venema
简介:工作在第四层(传输层)的TCP协议,对有状态连接的特定服务进行安全检测并实现访问控制;某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译。
检查sshd服务是否能够被TCP_Wrappers控制
[dongfei@centos6 ~]$ which sshd /usr/sbin/sshd [dongfei@centos6 ~]$ ldd /usr/sbin/sshd |grep libwrap.so libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f61ba6aa000) #sshd服务依赖libwrap.so库,可以被控制
配置文件:/etc/hosts.allow(白名单), /etc/hosts.deny(黑名单)
规则:先检查白名单,如果被白名单匹配则允许访问;如果白名单没有匹配到则交给黑名单匹配,如果匹配则拒绝;如果都没有匹配到则使用默认策略(默认允许)。
配置语法:服务列表@主机IP:客户端地址列表 [:选项]
服务列表@主机IP:
- 单个应用程序的二进制文件名,而非服务名,例如vsftpd
- 以逗号或空格分隔的应用程序文件名列表,如:sshd,vsftpd
- ALL表示所有接受tcp_wrapper控制的服务程序
- 主机有多个IP,可用@hostIP来实现控制
客户端列表:
- 以逗号或空格分隔的客户端列表
- 基于IP地址:192.168.10.1 192.168.1.
- 基于主机名:www.magedu.com .magedu.com 较少用
- 基于网络/掩码:192.168.0.0/255.255.255.0
- 基于net/prefixlen: 192.168.1.0/24(CentOS7)
- 基于网络组(NIS 域):@mynetwork
- 内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
- ALL 表示所有主机
- LOACAL 表示本地网络,匹配任何主机名中不带"."的主机
- UNKNOWN 不能将主机名解析为IP
- KNOWN 能将主机名解析为IP
- EXCEPT 排除
选项:
- deny 拒绝
- spawn 触发一个操作
- twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null
tcpdmatch:在本地测试
tcpdmatch [-d] daemon[@host] client
-d 测试当前目录下的hosts.allow和hosts.deny
[root@centos6 data]# cat hosts.allow [root@centos6 data]# cat hosts.deny sshd:192.168.0.7 [root@centos6 data]# tcpdmatch -d sshd 192.168.0.7 #如果客户端是192.168.0.7是否可以访问本机的sshd服务 client: address 192.168.0.7 server: process sshd access: denied(拒绝) [root@centos6 data]# tcpdmatch -d sshd 192.168.0.8 client: address 192.168.0.8 server: process sshd access: granted
PAM
它提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等应用程序中。系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略;应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用;而PAM服务模块的开发者则利用PAM SPI来编写模块(主要是引出一些函数pam_sm_xxxx( )供PAM接口库调用),将不同的认证机制加入到系统中;PAM接口库(libpam)则读取配置文件,将应用程序和相应的PAM服务模块联系起来。
模块文件目录:/lib64/security/*.so
环境相关的设置:/etc/security/
主配置文件:/etc/pam.conf,默认不存在
为每种应用模块提供一个专用的配置文件:/etc/pam.d/*
PAM认证过程:
- 使用者执行/usr/bin/passwd 程序,并输入密码
- passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
- 经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
- 将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
专用配置文件/etc/pam.d/*格式
module-type control module-path arguments
- 模块类型(module-type):检查功能类别
- Auth 账号的认证和授权
- Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)
- Password 用户修改密码时密码复杂度检查机制等功能
- Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等
- -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
- control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 (简单机制)
- required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。即为必要条件
- requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
- sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件
- optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
- include: 调用其他的配置文件中定义的配置信息
- module-path 用来指明本模块对应的程序文件的路径名
- /lib64/security目录下的模块可使用相对路径,直接指定模块;如果是在其他位置需要给定绝对路径
- Arguments 用来传递给该模块的参数
pam_shells模块
检查用户的shell是否安全,如果在/etc/shells文件中的shell为安全shell
[root@centos7 pam.d]# vim sshd auth required pam_shells.so #要求用户必须使用安全的shell登录,即用户的shell在/etc/sheels文件中
pam_securetty.so模块
只允许root用户在/etc/securetty列出的安全终端上登陆。
pam_nologin.so模块
1、如果/etc/nologin文件存在,将导致非root用户不能登陆;
2、如果用户shell是/sbin/nologin 时,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。
pam_limits.so模块
此模块通过读取配置文件完成用户对系统资源(可打开的文件数量,可运行的进程数量,可用内存空间)的使用控制。
ulimit命令
- -n 最多的打开的文件描述符个数
- -u 最大用户进程数
- -S 使用 soft(软)资源限制
- -H 使用 hard(硬)资源限制
配置文件:(/etc/security/limits.conf,/etc/security/limits.d/*)
格式:对象 类型 资源 值
对象
- Username 单个用户
- @group 组内所有用户
- * 表示所有用户
类型
- Soft 软限制,普通用户自己可以修改
- Hard 硬限制,由root用户设定,且通过kernel强制生效
资源
- nofile 所能够同时打开的最大文件数量,默认为1024
- nproc 所能够同时运行的进程的最大数量,默认为1024
个人学习笔记 2018-05-24 09:40:14