AIDE
AIDE(Advanced Intrusion Detection Environment)
高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.
配置文件:vim /etc/aide.conf
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a /etc PERMS !/etc/mtab #“!”表示忽略这个文件的检查 R=p+i+n+u+g+s+m+c+md5 权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值 NORMAL = R+rmd60+sha256
安装:yum install aide
初始化默认的AIDE的库:/usr/local/bin/aide --init
生成检查数据库(建议初始数据库存放到安全的地方)
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
检测: /usr/local/bin/aide --check
更新数据库:aide --update
sudo
能够授权指定用户在指定主机上代表指定用户执行某些指令。
sudo命令
-V 详细信息
-u username 代表的用户
-l 列出用户在主机上可用的命令
-v 刷新密码时间戳
-K 删除密码有效期时间戳
-k 重置时间戳到1970年
-b 在后台执行指令
-p 改变询问密码的提示符
%p 表示用户名
%h 表示主机名
-i -u username 切换身份
visudo:编辑/etc/sudoers
-v:检查语法合格性
-f file:编辑文件
配置文件:/etc/sudoers, /etc/sudoers.d/*,支持使用通配符
授权格式:用户 主机=(代表用户) 命令
用户和代表用户:
username
#uid
%group_name
%#gid
user_alias|runas_alias
主机:
ip或hostname
network(/netmask)
host_alias
命令:
command name
directory
sudoedit
Cmnd_Alias
sudoedit 授权用户 编辑/etc/sudoers
*注意
user4 ALL=(root) /bin/cat /var/log/messages*
这样授权是错误的,以下命令也可以执行
# /bin/cat /var/log/messages /etc/shadow
所以我们如果想实现这样的需求就需要按照以下这样的写法:
user1 ALL=(root) /bin/cat /var/log/messages*,!/bin/cat /var/log/messages* *
[XXXX@centos6 ~]$ sudo cat /var/log/messages /etc/shadow Sorry, user user1 is not allowed to execute '/bin/cat /var/log/messages /etc/shadow' as root on centos6.
TCP_Wrappers
作者:Wieste Venema
简介:工作在第四层(传输层)的TCP协议,对有状态连接的特定服务进行安全检测并实现访问控制;某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译。
[XXXX@centos6 ~]$ which sshd
/usr/sbin/sshd
[XXXXi@centos6 ~]$ ldd /usr/sbin/sshd |grep libwrap.so
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f61ba6aa000) #sshd服务依赖libwrap.so库,可以被控制
配置文件:/etc/hosts.allow(白名单), /etc/hosts.deny(黑名单)
规则:先检查白名单,如果被白名单匹配则允许访问;如果白名单没有匹配到则交给黑名单匹配,如果匹配则拒绝;如果都没有匹配到则使用默认策略(默认允许)。
配置语法:服务列表@主机IP:客户端地址列表 [:选项]
服务列表@主机IP:
- 单个应用程序的二进制文件名,而非服务名,例如vsftpd
- 以逗号或空格分隔的应用程序文件名列表,如:sshd,vsftpd
- ALL表示所有接受tcp_wrapper控制的服务程序
- 主机有多个IP,可用@hostIP来实现控制
客户端列表:
- 以逗号或空格分隔的客户端列表
- 基于IP地址:192.168.10.1 192.168.1.
- 基于主机名:www.magedu.com .magedu.com 较少用
- 基于网络/掩码:192.168.0.0/255.255.255.0
- 基于net/prefixlen: 192.168.1.0/24(CentOS7)
- 基于网络组(NIS 域):@mynetwork
内置ACL:ALL,LOCAL,KNOWN,UNKNOWN,PARANOID
ALL 表示所有主机
LOACAL 表示本地网络,匹配任何主机名中不带"."的主机
UNKNOWN 不能将主机名解析为IP
KNOWN 能将主机名解析为IP
EXCEPT 排除
选项:
- deny 拒绝
- spawn 触发一个操作
- twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null
tcpdmatch:在本地测试
tcpdmatch [-d] daemon[@host] client
-d 测试当前目录下的hosts.allow和hosts.deny
PAM
PAM:Pluggable Authentication Modules
认证库:文本文件,MySQL,NIS,LDAP等
Sun公司于1995 年开发的一种与认证相关的通用框架机制
PAM 是关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开
使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序
一种认证框架,自身不做认证
PAM相关文件
模块文件目录:/lib64/security/*.so
环境相关的设置:/etc/security/
主配置文件:/etc/pam.conf,默认不存在(不推荐存放)
为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME
注意:如/etc/pam.d存在,/etc/pam.conf将失效
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
模块文件目录:/lib64/security/*.so
环境相关的设置:/etc/security/
主配置文件:/etc/pam.conf,默认不存在
为每种应用模块提供一个专用的配置文件:/etc/pam.d/*
PAM认证过程:
- 使用者执行/usr/bin/passwd 程序,并输入密码
- passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
- 经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
- 将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
专用配置文件/etc/pam.d/*格式
module-type control module-path arguments
模块类型(module-type):检查功能类别
Auth 账号的认证和授权
Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)
Password 用户修改密码时密码复杂度检查机制等功能
Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等
-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 (简单机制)
required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。即为必要条件
requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件
optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
include: 调用其他的配置文件中定义的配置信息
module-path 用来指明本模块对应的程序文件的路径名
/lib64/security目录下的模块可使用相对路径,直接指定模块;如果是在其他位置需要给定绝对路径
Arguments 用来传递给该模块的参数
pam_shells模块
检查用户的shell是否安全,如果在/etc/shells文件中的shell为安全shell
[root@centos7 pam.d]# vim sshd auth required pam_shells.so #要求用户必须使用安全的shell登录,即用户的shell在/etc/sheels文件中
pam_securetty.so模块
只允许root用户在/etc/securetty列出的安全终端上登陆。
pam_nologin.so模块
1、如果/etc/nologin文件存在,将导致非root用户不能登陆;
2、如果用户shell是/sbin/nologin 时,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。
pam_limits.so模块
此模块通过读取配置文件完成用户对系统资源(可打开的文件数量,可运行的进程数量,可用内存空间)的使用控制。
ulimit命令
- -n 最多的打开的文件描述符个数
- -u 最大用户进程数
- -S 使用 soft(软)资源限制
- -H 使用 hard(硬)资源限制
配置文件:(/etc/security/limits.conf,/etc/security/limits.d/*)
格式:对象 类型 资源 值
对象
- Username 单个用户
- @group 组内所有用户
- * 表示所有用户
类型
- Soft 软限制,普通用户自己可以修改
- Hard 硬限制,由root用户设定,且通过kernel强制生效
资源
- nofile 所能够同时打开的最大文件数量,默认为1024
- nproc 所能够同时运行的进程的最大数量,默认为1024