任務(wù)十四：Ubuntu服務(wù)器的安全配置14.1任務(wù)資訊工作任務(wù)Ubuntu服務(wù)器的安全配置學(xué)習(xí)目標(biāo)掌握Ubuntu服務(wù)器的安全配置與管理實(shí)踐技能1．在Ubuntu服務(wù)器操作系統(tǒng)安裝PAM的cracklib模塊2．在Ubuntu服務(wù)器操作系統(tǒng)安裝UFW、AppArmor軟件并配置3．在Ubuntu服務(wù)器操作系統(tǒng)安裝chkrootkit、RkHunter、Unhide軟件并配置4．在Ubuntu服務(wù)器操作系統(tǒng)安裝PASD軟件并配置知識要點(diǎn)1．PAM的cracklib模塊2．ufw配置3．AppArmor配置4．chkrootkit配置5．RkHunter配置6．Unhide配置7．PASD配置14.1.1任務(wù)描述某單位安裝了Ubuntu服務(wù)器，需要進(jìn)行安全配置，增強(qiáng)安全性能，更好地發(fā)揮服務(wù)器作用。14.1.2任務(wù)目標(biāo)14.2決策指導(dǎo)1.密碼安全2.設(shè)定最少的服務(wù)并檢查后門3.嚴(yán)格審查用戶登錄并設(shè)定用戶賬號安全等級4.防火墻、IDS綜合防御管理14.3制定計(jì)劃密碼安全策略apt-get

installlibpam-cracklibvim/etc/pam.d/common-passwordvim/etc/pam.d/system-authvim/etc/login.defsUFW命令apt-getinstallufwufwallow|deny[service]AppArmor命令apt-getinstallapparmor-utils

apt-getinstallapparmor-profiles/etc/apparmor.dChkRootkit命令aptinstallchkrootkitchkrootkitpslsRkHunter命令aptinstallrkhunterrkhunter–cUnhide命令aptinstallunhideunhideprocPASD命令aptinstallpsadiptables-Fnano/etc/psad/psad.conf1. 工具cracklibcracklib參數(shù)主要有：debug； #用于syslog日志記錄type=abcd； #當(dāng)修改密碼時(shí),提示信息可以用字符abcd來替換linux這個(gè)單詞retry=3； #用戶有幾次出錯(cuò)的機(jī)會(huì)difok=5； #新密碼中至少有幾個(gè)字符是和以前的密碼不同的difignore=3； #忽略新密碼中不同字符之前的幾個(gè)字母minlen=8； #最小密碼長度dcreditr=5； #密碼中最多幾個(gè)數(shù)字ucredit=5； #密碼中最多幾個(gè)大寫字母.lcredit=5； #新密碼中最多幾個(gè)小寫字母ocredit=5； #新密碼中最多幾個(gè)特殊字符use_authtok； #使用密碼字典中的密碼2.工具chage下面的命令用于修改libing用戶的密碼期限：chage-E12/31/2019-m5-M90-I30-W14libing

上面的命令將密碼期限設(shè)為2019年12月31日。另外，修改密碼的最短周期為5天，最長周期為90天。密碼過期前14天會(huì)發(fā)送消息提醒用戶，過期后帳號會(huì)被鎖住30天。更改密碼時(shí)會(huì)出現(xiàn)一些英文提示。itistooshort. #密碼長度不足itisbasedonadictionaryword. #密碼是字典里的單詞passwordhasbeenalreadyused.chooseanother. #密碼已經(jīng)使用過了需要另選一個(gè)14.4.2 使用UFW工具dpkg--get-selections|grepufw查下系統(tǒng)上是否已經(jīng)安裝了UFWapt-getinstallufw安裝ufwufwstatus查看ufw狀態(tài)ufwenable啟用ufw為inactive/activeufwdisable禁用ufwufwversion查看ufw版本，18.04安裝的是0.35ufwstatusverbose查看默認(rèn)規(guī)則ufwstatusnumbered規(guī)則上加個(gè)序號數(shù)字ufwallow[service]設(shè)定ufw允許規(guī)則ufwdefaultdeny設(shè)定ufw默認(rèn)訪問規(guī)則ufwloggingon啟用日志ufwloggingoff關(guān)閉日志ufwreset重置ufw規(guī)則ufwrestart重啟ufw服務(wù)ufwallow22打開SSH服務(wù)器的22端口ufwallowssh在/etc/services中，22端口對應(yīng)的服務(wù)名是sshufwallow53允許外部訪問53端口(tcp/udp)ufwdeleteallow53禁用53端口ufwallow80/tcp允許80端口ufwdeleteallow80/tcp禁用80端口ufwallowsmtp允許所有的外部IP訪問本機(jī)的25/tcp(smtp)端口ufwdeleteallowsmtp刪除smtp端口的許可ufwdenysmtp禁止外部訪問smtp服務(wù)ufwdeleteallowsmtp刪除上面建立的某條規(guī)則ufwallowfrom192.168.1.2允許某特定IPufwdeleteallowfrom192.168.1.2刪除上面的規(guī)則ufwdeleteallow22刪除已經(jīng)添加過的規(guī)則ufwallow22/tcp允許所有的外部IP訪問本機(jī)的22/tcp(ssh)端口ufwallowprototcpfrom192.168.1.2toanyport22打開來自192.168.1.2的tcp請求的80端口ufwallowfrom192.168.1.100允許此IP訪問所有的本機(jī)端口ufwallowprotoudp192.168.0.1port53to192.168.0.2port53允許指定IP及端口對指定IP端口的訪問UFW規(guī)則14.4.3 使用AppArmor工具.工作模式Apparmor有兩種工作模式：enforcement、complain/learning。Enforcement–在這種模式下，配置文件里列出的限制條件都會(huì)得到執(zhí)行，并且對于違反這些限制條件的程序會(huì)進(jìn)行日志記錄。Complain–在這種模式下，配置文件里的限制條件不會(huì)得到執(zhí)行，Apparmor只是對程序的行為進(jìn)行記錄。例如程序可以寫一個(gè)在配置文件里注明只讀的文件，但Apparmor不會(huì)對程序的行為進(jìn)行限制，只是進(jìn)行記錄。那既然complain不能限制程序，為什么還需要這種模式呢，因?yàn)椤绻硞€(gè)程序的行為不符合其配置文件的限制，可以將其行為記錄到系統(tǒng)日志，并且可以根據(jù)程序的行為，將日志轉(zhuǎn)換成配置文件。可以隨時(shí)對配置文件進(jìn)行修改，選擇自己需要的模式。aa-complain/sbin/dhclientaa-enforce/sbin/dhclientaa-complain/etc/apparmor.d/*aa-enforce/etc/apparmor.d/*訪問控制與資源限制序號符號說明1r文件或者文件夾的讀取模式，允許程序擁有讀取資源權(quán)限，執(zhí)行必備2w文件或者文件夾的寫入模式，允許程序擁有寫入資源權(quán)限，刪除必備3a允許軟件對一個(gè)文件警醒追加4px獨(dú)立執(zhí)行模式5ux不能通過apparmor限制的執(zhí)行模式6lx繼承執(zhí)行模式7l連接模式8m映射模式，一般組合使用mr9k鎖定一個(gè)文件14.4.4 使用chkrootkit工具

aptinstallchkrootkit

參數(shù)及用法-h顯示幫助信息-V顯示版本信息-l顯示測試內(nèi)容-ddebug模式，顯示檢測過程的相關(guān)指令程序-q安靜模式，只顯示有問題部分-x高級模式，顯示所有檢測結(jié)果-rdir設(shè)定指定的目錄為根目錄-pdir1:dir2:dirN檢測指定目錄-n跳過NFS連接的目錄14.4.5 使用RkHunter工具程序運(yùn)行后,它主要執(zhí)行下面一系列的測試:（1）MD5校驗(yàn)測試,檢測任何文件是否改動(dòng)。（2）檢測rootkits使用的二進(jìn)制和系統(tǒng)工具文件。（3）檢測特洛伊木馬程序的特征碼。（4）檢測大多常用程序的文件異常屬性。（5）執(zhí)行一些系統(tǒng)相關(guān)的測試-因?yàn)閞ootkithunter可支持多個(gè)系統(tǒng)平臺。（6）掃描任何混雜模式下的接口和后門程序常用的端口。（7）檢測如/etc/rc.d/目錄下的所有配置文件、日志文件、任何異常的隱藏文件等等。例如,在檢測/dev/.udev和/etc/.pwd.lock文件時(shí)候，系統(tǒng)被警告。（8）對一些使用常用端口的應(yīng)用程序進(jìn)行版本測試.如:ApacheWebServer,Procmail等。14.4.6 使用Unhide工具14.4.7 使用PASD工具缺省情況下，PSAD禁用IDS參數(shù)。啟用配置文件中的參數(shù)IDS功能和危險(xiǎn)等級后，PSAD守護(hù)進(jìn)程將通過在iptables鏈中添加IP地址來自動(dòng)阻止攻擊者。使用以下命令啟動(dòng)PSAD：psadstart運(yùn)行以下命令檢查狀態(tài)查看PSAD的詳細(xì)輸出。psad-S（1）簽名匹配和攻擊者IP地址。（2）特定端口的流量。（3）iptables鏈中的攻擊者的IP地址。（4）攻擊者與受害者之間的通信詳情。ping被阻斷情況14.5任務(wù)檢查who#查看當(dāng)前誰登錄到系統(tǒng)last#顯示系統(tǒng)曾經(jīng)登錄的用戶和ttyshistory#顯示系統(tǒng)過去被運(yùn)行到命令finger#查看當(dāng)前所有的登錄用戶/var/log/*.log #檢查日志文件passwdlibing #定期修改密碼chmod0700/home/libing #修改home目錄的訪問權(quán)限find/bin-typef-execmd5sum{}\;>sum.md5 #關(guān)鍵文件的md5指紋備份vi/etc/securetty #注釋掉tty?禁止root登錄虛擬終端passwd-lroot#禁用root用戶（鎖定root帳號）usermod-s/usr/sbin/nologinroot#設(shè)置root為nologinchattr+i/etc/passwd #鎖定不希望被更改的系統(tǒng)文件lsattr/etc/passwd #查看文件的屬性狀態(tài)chattr-i/etc/passwd #解除鎖定屬性initctllist|grepstart #關(guān)閉不必要的服務(wù)mv/etc/init/apport.conf/etc/init/apport#關(guān)閉服務(wù)rm/etc/init.d/apport #關(guān)閉服務(wù)sudopasswd-lroot #禁用root賬戶sudopasswd-uroot #重新啟用root賬戶ntsysv

#文本用戶接口查看chkconfig #命令查看開機(jī)服務(wù)啟動(dòng)情況chkconfig--list #查看所有服務(wù)開機(jī)同時(shí)的開啟情況chkconfig--list服務(wù)名 #查看開機(jī)服務(wù)開啟的情況chkconfig--add

服務(wù)名

#設(shè)置為開機(jī)啟動(dòng)chkconfig--del

服務(wù)名

#設(shè)置為開機(jī)不啟動(dòng)service服務(wù)名start #啟動(dòng)服務(wù)se