Linux服务器系统安全

 Unit1
Tracking Security Updates
更新分以下三类
RHSA
RHBA
RHEA
yum updateinfo list    查看所有更新
yum updateinfo list --cve=CVE-2013-0755查看某一更新
yum --security list updates    查看安全更新
yum updateinfo list | grep 'Critical'|cut -f1 -d''|sort -u|wc -l

Unit2 
Managing Software Updates
rpm -qa >/root/pre-update-software.$(date +%Y%m%d)    把安装的所有的软件包导入到一个文件
yum updateinfo >/root/updateinfo-report.$(date +%Y%m%d)
yum update --security -y    只更新安全的包,安装前gpgcheck=1要开启
yum update --cve=    可以更新具体的
rpm --import     导入安装包的key
rpm -qa |grep gpg-pubkey    查看可信的GPG keys
rpm -qi gpg-pubkey    查看安装包的详细信息
rpm -K    rpm package    查看安装包的md5值是不是正确
rpm -vvK rpm package    给出调试信息
rpm -qp --scripts rpm package    查看安装包有没有脚本运行

Unit3
Creating File Systems 
lvcreate -l 100%FREE -n lvname vgname    -l, --extents LogicalExtentsNumber[%{VG|PVS|FREE|ORIGIN}]
cryptsetup luksFormat /dev/vgname/lvname    键入YES开始加密格式化，输入密码
cryptsetup luksOpen   /dev/vgname/lvname  luksname    打开并命名
mkfs -t ext4 /dev/mapper/luksname    设置文件系统
mkdir    /secret
mount    /dev/mapper/luksname    /secret
umout    /secret
cryptsetup luksClose luksname    关闭加密

dd if=/dev/urandom of=/path/to/passsword/file bs=4096 count=1    加密文件也可以用明文
chmod    600 /path/to/password/file
cryptsetup luksAddkey /dev/vdaN  /path/to/password/file        这里也需要输入密码
touch /etc/crypttab
luksname  /dev/vgname/lvname     /path/to/password/file
在/etc/fstab添加如下
/dev/mapper/luksname    /secret     ext4  defaults 1 2    这样就可以开机自动挂载加密分区了

Unit4
Managing File Systems
nosuid,noexec    命令没有suid权限和执行权限
tune2fs -l /dev/vd1 |head -n 19
tune2fs -l /dev/vda1 |grep 'mount options'
tune2fs -o user_xattr，acl /dev/vda1    给分区添加acl权限，也可以修改/etc/fstab文件
lsattr    查看文件特殊属性
chattr    +、-    语法
a    只能追加
i    禁止修改

Unit5
Managing Special Permissions
suid    setUID
guid    setGID
chmod u+s /path/to/procedure    所有人对程序有运行权限
chmod g+s /path/to/dir   文件夹下生成的文件的所属组不变
find /bin -perm /7000  查找/bin下所有特殊权限位
find /bin -perm  4000  精确查找
find /bin -perm -4000  setUID
find /bin -perm -2000  setGID
find /bin -perm -6000  setUID and setGID 还可以用/6000

Unit6
Managing Additional File Access Controls
umask    查看umask值
getfacl somefile    查看文件ACLs（access control lists）
setfacl -m u:bob:rwx /path/to/file    bob拥有所属者和所属组权限
setfacl -m d:u:smith:rx subdir    d默认u用户rx权限subdir子目录
setfacl -m o::r /pat/to/file    所有人可读

Unit7
Monitoring For File System Changes
AIDE （Advanced Intrusion Detection Environment）高级入侵检测环境
它的主要功能是检测文档的完整性
yum install -y aide    使用aide监控文件的权限
grep PERMS /etc/aide.conf    添加要监控的文件
PERMS = p+i+u+g+acl+selinux    p权限，inode，u用户，g用户组
/etc    PERMS
/root/..* PERMS
aide --init        初始化数据库
mv /var/lib/aide/aide.db.new.gz /var/aide/aide.db.gz
aide --check    对上文文件进行更改，check核实

Unit8
Managing User Accounts
chage -m 0 -M 90 -W 7 -I 14  username
-m min days
-M max days
-W warn days
-I inactive days
chage -d 0 username 用户下次登录要修改密码
chage -l username  列出用户配置信息
userdel -r username    删除用户时同时删除目录
grep PASS_M /etc/login.defs 可以在配置文件里修改， 对新添加用户生效
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
PASS_MAX_DAYS   30
PASS_MIN_DAYS   3
PASS_MIN_LEN    8
getent passwd |cut -d: -f3 |sort -n |uniq -d 看看系统中有没有重复的账号

Unit9
Managing Pluggable Authentication Modules
PAM    可插拔的认证模块，可以按需要动态的对验证的内容进行变更，所以可以大大提高验证的灵活性
1、认证管理（authentication management）
接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些秘密信息
2、帐户管理（account management）
检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等
3、密码管理（password management）
主要是用来修改用户的密码
4、会话管理（session management）
主要是提供对会话的管理和记账（accounting）
inux各个发行版中，PAM使用的验证模块一般存放在/lib/security/目录下，可以使用ls命令进行查看本计算机支持哪些

验证控制方式，一般的PAM模块名字例如pam_unix.so，模块可以随时在这个目录下添加和删除，这不会直接影响程序运

行，具体的影响在PAM的配置目录下。
PAM的配置文件一般存放在/etc/pam.d/目录下。
查看某个程序是否支持PAM，使用命令：
ldd `which cmd` | grep libpam  //cmd就代表查看的程序名
如果包含libpam库，那么该程序就支持PAM验证。
ldd `which login` |grep libpam      
        libpam.so.0 => /lib64/libpam.so.0 (0x000000326d200000)
        libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x000000326b600000)
/etc/pam.d Configuration File Syntax
type control module [module arguments]

grep maxlogins /etc/security/limits.conf   
#                 
#        - maxlogins - max number of logins for this user
@student        -       maxlogins       4    配置用户同时最大登录次数
@qa        hard    cpu        1    配置cpu使用时间

限制用户密码错误输入次数
cat /etc/pam.d/system-auth    同样password-auth也要改
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_tally2.so onerr=fail deny=3 unlock_time=180 3次错误禁止3分钟
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_tally2.so    还要注意放置的位置
account     required      pam_unix.so

pam_tally2    查看用户
pam_tally2 --reset -u username    重置释放禁用用户

Unit10
Securing Console Access
加密方式不一样$6 sh256  $1 md5
grub-crypt 
Password: 
Retype password: 
$6$01wSV5m9GBdGdQ3J

$oroEE6jjedQ59yQqJlxwAc1MBPSrdm6ufuUJil5rJaXmLgYNbsjz1F.kQlcrZYcrO5y9h014VkGCsH5PN7TTg.
grub-md5-crypt 
Password: 
Retype password: 
$1$HqxBl1$DVC9jyW6HXZ8.vAlPo2QR1
cat /etc/grub.cfg
password --encrypted $6$01wSV5m9GBdGdQ3J

$oroEE6jjedQ59yQqJlxwAc1MBPSrdm6ufuUJil5rJaXmLgYNbsjz1F.kQlcrZYcrO5y9h014VkGCsH5PN7TTg.
/etc/issue    认证前显示
/etc/motd  Message Of The Day and historically 认证后显示
/etc/ssh/sshd_config PermitRootLogin no 禁止root用户ssh登录

Unit11
Installing Central Authentication
IdM(Identity Management)
chkconfig NetworkManager off;service NetworkManager stop    关闭NetworkManager,否则ipa-server安装

不上
/etc/sysconfig/network-scripts/ifcfg-eth0    网卡配置静态IP,网关,DNS都要配置NM_CONTROLLED=no
/etc/hosts    本机的做解析   ip   server.example.com    server
yum -y install ipa-server 
ipa-server-install --idstart=2000 --idmax=20000  注意给uid加上一个区间
安装完成需要开启下列端口：
TCP Ports:
80,443  HTTP/HTTPS
389,636 LDAP/LDAPS
88,464    kerberos
UDP Ports:
88,464    kerberos
123    ntp
也可用命令行指定具体参数，这样就不需要在上面交互式指定
ipa-server-install --hostname=server.example.com -n example.com -r EXAMPLE.COM -p redhat123 -a 

redhat123 -U
service sshd restart
kinit admin        初始化，若是普通用户第一次要修改密码
ipa user-find admin    验证
剩下的添加用户，添加组，修改配置信息都可以在浏览器上操作https://server.example.com 登陆名admin 密码

redaht123
客户端安装如下：
yum -y install ipa-client
ipa-client-install --mkhomedir 注意要给新用户生成目录
安装的过程中要用admin redhat123认证一下
也可以用非交互式安装
ipa-client-install --domain=example.com --server=server.example.com --realm=EXAMPLE.COM -p admin -w 

redhat123 --mkhomedir -U
最后idm上的用户就可以在client上登陆了，登陆后自动生成家目录


Unit12
Managing Central Authentication
kinit admin
ipa pwpolicy-show 命令行查看策略
kpasswd bob  为用户修改密码
这些都可以在浏览器上操作，包括sudoers,用户能使用的命令等

Unit13
Configuring System Logging
ryslog-gnutls安装后支持TLS port 6514
日志服务器分为服务端和客户端
服务端配置如下：
/etc/rsyslog.conf    打开端口模块，支持TCP和UDP这里打开的是TCP
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
/etc/rsyslog.d/remote.conf    这个文件是在rsyslog.d目录下新建的
:fromhost,isequal,"client.example.com" /var/log/client/messages
:fromhost,isequal,"client.example.com" ~    添加~后客户端的信息只保存在上面的文件中
客户端配置如下：
/etc/rsyslog.conf 先注释所有日志发送端口，本地不保留
*.* @@(o)server.example.com:514        两个@是走TCP（o）是为后面的端口号用
logrotate日志分割工具
其实还有个logwatch工具，可以把服务器重要信息每天发送给指定邮箱

Unit14
Configuring System Auditing
/etc/sysconfig/auditd
/etc/audit/auditd.conf    默认端口号tcp 60
/etc/audit/audit.rules    man rules查看语法
remote logging with auditd  /etc/audisp/plugins.d/syslog.conf  setting active=yes 后并重启auditd服务

可以用syslog发送信息到远程服务器
安装audispd-plugins包后(每个客户端，这是多节点)，可以开启/etc/audisp/plugins.d/au-remote.conf 

active=yes把审核日志发送到日志服务器
具体语法可以man auditctl
/etc/audit/audit.rules
-w  /path/to/file -p rwxa -k key
-e 2
-w 指定审核文件路径
-p 访问权限  r读w写x执行a属性改变
-k key
-e 设置enabled flag，可以是0,1,2 设置2后/etc下其他文件就不要加进来，有问题得重启

Unit15
Controlling Access to Network Services
iptables 防火墙
iptables -L
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT    系统服务用
iptables -A INPUT -m state --stat ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 514 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -j LOG
iptables -A INPUT -j REJECT
server iptables save    保存记录
cat /etc/sysconfig/iptables    默认保存位置
iptables -nvL --line-numbers    查看核查
另外一个比较有用的地方，用于PPTP服务器，拨号进入后上网问题-s网段是PPTP服务器自动分配的IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE