《linux服务器配置与管理》课件14-任务十四 Ubuntu服务器的安全配置

任务十四：Ubuntu服务器的安全配置14.1任务资讯工作任务Ubuntu服务器的安全配置学习目标掌握Ubuntu服务器的安全配置与管理实践技能1．在Ubuntu服务器操作系统安装PAM的cracklib模块2．在Ubuntu服务器操作系统安装UFW、AppArmor软件并配置3．在Ubuntu服务器操作系统安装chkrootkit、RkHunter、Unhide软件并配置4．在Ubuntu服务器操作系统安装PASD软件并配置知识要点1．PAM的cracklib模块2．ufw配置3．AppArmor配置4．chkrootkit配置5．RkHunter配置6．Unhide配置7．PASD配置14.1.1任务描述某单位安装了Ubuntu服务器，需要进行安全配置，增强安全性能，更好地发挥服务器作用。14.1.2任务目标14.2决策指导1.密码安全2.设定最少的服务并检查后门3.严格审查用户登录并设定用户账号安全等级4.防火墙、IDS综合防御管理14.3制定计划密码安全策略apt-get

installlibpam-cracklibvim/etc/pam.d/common-passwordvim/etc/pam.d/system-authvim/etc/login.defsUFW命令apt-getinstallufwufwallow|deny[service]AppArmor命令apt-getinstallapparmor-utils

apt-getinstallapparmor-profiles/etc/apparmor.dChkRootkit命令aptinstallchkrootkitchkrootkitpslsRkHunter命令aptinstallrkhunterrkhunter–cUnhide命令aptinstallunhideunhideprocPASD命令aptinstallpsadiptables-Fnano/etc/psad/psad.conf1. 工具cracklibcracklib参数主要有：debug； #用于syslog日志记录type=abcd； #当修改密码时,提示信息可以用字符abcd来替换linux这个单词retry=3； #用户有几次出错的机会difok=5； #新密码中至少有几个字符是和以前的密码不同的difignore=3； #忽略新密码中不同字符之前的几个字母minlen=8； #最小密码长度dcreditr=5； #密码中最多几个数字ucredit=5； #密码中最多几个大写字母.lcredit=5； #新密码中最多几个小写字母ocredit=5； #新密码中最多几个特殊字符use_authtok； #使用密码字典中的密码2.工具chage下面的命令用于修改libing用户的密码期限：chage-E12/31/2019-m5-M90-I30-W14libing

上面的命令将密码期限设为2019年12月31日。另外，修改密码的最短周期为5天，最长周期为90天。密码过期前14天会发送消息提醒用户，过期后帐号会被锁住30天。更改密码时会出现一些英文提示。itistooshort. #密码长度不足itisbasedonadictionaryword. #密码是字典里的单词passwordhasbeenalreadyused.chooseanother. #密码已经使用过了需要另选一个14.4.2 使用UFW工具dpkg--get-selections|grepufw查下系统上是否已经安装了UFWapt-getinstallufw安装ufwufwstatus查看ufw状态ufwenable启用ufw为inactive/activeufwdisable禁用ufwufwversion查看ufw版本，18.04安装的是0.35ufwstatusverbose查看默认规则ufwstatusnumbered规则上加个序号数字ufwallow[service]设定ufw允许规则ufwdefaultdeny设定ufw默认访问规则ufwloggingon启用日志ufwloggingoff关闭日志ufwreset重置ufw规则ufwrestart重启ufw服务ufwallow22打开SSH服务器的22端口ufwallowssh在/etc/services中，22端口对应的服务名是sshufwallow53允许外部访问53端口(tcp/udp)ufwdeleteallow53禁用53端口ufwallow80/tcp允许80端口ufwdeleteallow80/tcp禁用80端口ufwallowsmtp允许所有的外部IP访问本机的25/tcp(smtp)端口ufwdeleteallowsmtp删除smtp端口的许可ufwdenysmtp禁止外部访问smtp服务ufwdeleteallowsmtp删除上面建立的某条规则ufwallowfrom192.168.1.2允许某特定IPufwdeleteallowfrom192.168.1.2删除上面的规则ufwdeleteallow22删除已经添加过的规则ufwallow22/tcp允许所有的外部IP访问本机的22/tcp(ssh)端口ufwallowprototcpfrom192.168.1.2toanyport22打开来自192.168.1.2的tcp请求的80端口ufwallowfrom192.168.1.100允许此IP访问所有的本机端口ufwallowprotoudp192.168.0.1port53to192.168.0.2port53允许指定IP及端口对指定IP端口的访问UFW规则14.4.3 使用AppArmor工具.工作模式Apparmor有两种工作模式：enforcement、complain/learning。Enforcement–在这种模式下，配置文件里列出的限制条件都会得到执行，并且对于违反这些限制条件的程序会进行日志记录。Complain–在这种模式下，配置文件里的限制条件不会得到执行，Apparmor只是对程序的行为进行记录。例如程序可以写一个在配置文件里注明只读的文件，但Apparmor不会对程序的行为进行限制，只是进行记录。那既然complain不能限制程序，为什么还需要这种模式呢，因为——如果某个程序的行为不符合其配置文件的限制，可以将其行为记录到系统日志，并且可以根据程序的行为，将日志转换成配置文件。可以随时对配置文件进行修改，选择自己需要的模式。aa-complain/sbin/dhclientaa-enforce/sbin/dhclientaa-complain/etc/apparmor.d/*aa-enforce/etc/apparmor.d/*访问控制与资源限制序号符号说明1r文件或者文件夹的读取模式，允许程序拥有读取资源权限，执行必备2w文件或者文件夹的写入模式，允许程序拥有写入资源权限，删除必备3a允许软件对一个文件警醒追加4px独立执行模式5ux不能通过apparmor限制的执行模式6lx继承执行模式7l连接模式8m映射模式，一般组合使用mr9k锁定一个文件14.4.4 使用chkrootkit工具

aptinstallchkrootkit

参数及用法-h显示帮助信息-V显示版本信息-l显示测试内容-ddebug模式，显示检测过程的相关指令程序-q安静模式，只显示有问题部分-x高级模式，显示所有检测结果-rdir设定指定的目录为根目录-pdir1:dir2:dirN检测指定目录-n跳过NFS连接的目录14.4.5 使用RkHunter工具程序运行后,它主要执行下面一系列的测试:（1）MD5校验测试,检测任何文件是否改动。（2）检测rootkits使用的二进制和系统工具文件。（3）检测特洛伊木马程序的特征码。（4）检测大多常用程序的文件异常属性。（5）执行一些系统相关的测试-因为rootkithunter可支持多个系统平台。（6）扫描任何混杂模式下的接口和后门程序常用的端口。（7）检测如/etc/rc.d/目录下的所有配置文件、日志文件、任何异常的隐藏文件等等。例如,在检测/dev/.udev和/etc/.pwd.lock文件时候，系统被警告。（8）对一些使用常用端口的应用程序进行版本测试.如:ApacheWebServer,Procmail等。14.4.6 使用Unhide工具14.4.7 使用PASD工具缺省情况下，PSAD禁用IDS参数。启用配置文件中的参数IDS功能和危险等级后，PSAD守护进程将通过在iptables链中添加IP地址来自动阻止攻击者。使用以下命令启动PSAD：psadstart运行以下命令检查状态查看PSAD的详细输出。psad-S（1）签名匹配和攻击者IP地址。（2）特定端口的流量。（3）iptables链中的攻击者的IP地址。（4）攻击者与受害者之间的通信详情。ping被阻断情况14.5任务检查who#查看当前谁登录到系统last#显示系统曾经登录的用户和ttyshistory#显示系统过去被运行到命令finger#查看当前所有的登录用户/var/log/*.log #检查日志文件passwdlibing #定期修改密码chmod0700/home/libing #修改home目录的访问权限find/bin-typef-execmd5sum{}\;>sum.md5 #关键文件的md5指纹备份vi/etc/securetty #注释掉tty?禁止root登录虚拟终端passwd-lroot#禁用root用户（锁定root帐号）usermod-s/usr/sbin/nologinroot#设置root为nologinchattr+i/etc/passwd #锁定不希望被更改的系统文件lsattr/etc/passwd #查看文件的属性状态chattr-i/etc/passwd #解除锁定属性initctllist|grepstart #关闭不必要的服务mv/etc/init/apport.conf/etc/init/apport#关闭服务rm/etc/init.d/apport #关闭服务sudopasswd-lroot #禁用root账户sudopasswd-uroot #重新启用root账户ntsysv

#文本用户接口查看chkconfig #命令查看开机服务启动情况chkconfig--list #查看所有服务开机同时的开启情况chkconfig--list服务名 #查看开机服务开启的情况chkconfig--add

服务名

#设置为开机启动chkconfig--del

服务名

#设置为开机不启动service服务名start #启动服务se