AIDE，sudo，TCP_Wrappers，PAM认证等系统安全访问机制

AIDE

高级入侵检测环境：是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了。

AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号。

配置文件：/etc/aide.conf

# These are the default rules.
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum
#haval:  haval checksum (MHASH only)
#gost:   gost checksum (MHASH only)
#crc32:  crc32 checksum (MHASH only)
#whirlpool:     whirlpool checksum (MHASH only)
#R:             p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
#L:             p+i+n+u+g+acl+selinux+xattrs
#E:             Empty group
#>:             Growing logfile p+u+g+i+n+S+acl+selinux+xattrs

1、安装

# yum install aide

2、配置需要监控的文件夹

[root@centos6 ~]# vim /etc/aide.conf
/data/* R

3、生成数据库并改名为现在使用的文件名

[root@centos6 ~]# cd /var/lib/aide/
[root@centos6 aide]# aide --init
AIDE, version 0.14
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
[root@centos6 aide]# ls
aide.db.new.gz
[root@centos6 aide]# mv aide.db.new.gz aide.db.gz    

4、检查文件完整性，建议将aide数据库存放到安全的地方

# aide --check

5、更新数据库

# aide --update

sudo

能够授权指定用户在指定主机上代表指定用户执行某些指令。

sudo命令

• -V 详细信息
• -u username 代表的用户
• -l 列出用户在主机上可用的命令
• -v 刷新密码时间戳
• -K 删除密码有效期时间戳
• -k 重置时间戳到1970年
• -b 在后台执行指令
• -p 改变询问密码的提示符
• %p 表示用户名
• %h 表示主机名
• -i -u username 切换身份

visudo：编辑/etc/sudoers

　　-v：检查语法合格性

　　-f file：编辑文件

配置文件：/etc/sudoers, /etc/sudoers.d/*，支持使用通配符

　　授权格式：用户 主机=(代表用户) 命令

用户和代表用户：

• username
• #uid
• %group_name
• %#gid
• user_alias|runas_alias

主机：

• ip或hostname
• network(/netmask)
• host_alias

命令：

• command name
• directory
• sudoedit
• Cmnd_Alias

root    ALL=(ALL)   ALL  #系统默认为root用户开的后门，root用户可以在任意主机上以任意用户的身份执行任意操作

　　别名：

　　　　类型：User_Alias, Runas_Alias, Host_Alias ，Cmnd_Alias

　　　　格式：必须以大小的A-Z开头，中间可以是大小的A-Z，数字和下划线

[root@centos6 sudoers.d]# visudo -f netadmin
User_Alias NETADMIN = user1,user2,user3
Cmnd_Alias NETCMD = /sbin/ip,/sbin/route,/sbin/ifconfig,/bin/netstat,/usr/sbin/ss
Host_Alias HOST = 192.168.0.6
Runas_Alias OP = root

NETADMIN HOST=(OP) NETCMD

日志文件：/var/log/secure

*注意

user4 ALL=(root) /bin/cat /var/log/messages*

这样授权是错误的，以下命令也可以执行

# /bin/cat /var/log/messages /etc/shadow

所以我们如果想实现这样的需求就需要按照以下这样的写法：

dongfei ALL=(root) /bin/cat /var/log/messages*,!/bin/cat /var/log/messages* *

[dongfei@centos6 ~]$ sudo cat /var/log/messages /etc/shadow
Sorry, user dongfei is not allowed to execute '/bin/cat /var/log/messages /etc/shadow' as root on centos6.

TCP_Wrappers

作者：Wieste Venema

简介：工作在第四层（传输层）的TCP协议，对有状态连接的特定服务进行安全检测并实现访问控制；某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译。

检查sshd服务是否能够被TCP_Wrappers控制

[dongfei@centos6 ~]$ which sshd
/usr/sbin/sshd
[dongfei@centos6 ~]$ ldd /usr/sbin/sshd |grep libwrap.so
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f61ba6aa000) #sshd服务依赖libwrap.so库，可以被控制

配置文件：/etc/hosts.allow（白名单）, /etc/hosts.deny（黑名单）

规则：先检查白名单，如果被白名单匹配则允许访问；如果白名单没有匹配到则交给黑名单匹配，如果匹配则拒绝；如果都没有匹配到则使用默认策略（默认允许）。

配置语法：服务列表@主机IP：客户端地址列表  [:选项]

服务列表@主机IP：

1. 单个应用程序的二进制文件名，而非服务名，例如vsftpd
2. 以逗号或空格分隔的应用程序文件名列表，如:sshd,vsftpd
3. ALL表示所有接受tcp_wrapper控制的服务程序
4. 主机有多个IP，可用@hostIP来实现控制

客户端列表：

1. 以逗号或空格分隔的客户端列表
2. 基于IP地址：192.168.10.1 192.168.1.
3. 基于主机名：www.magedu.com .magedu.com 较少用
4. 基于网络/掩码：192.168.0.0/255.255.255.0
5. 基于net/prefixlen: 192.168.1.0/24（CentOS7）
6. 基于网络组（NIS 域）：@mynetwork
7. 内置ACL：ALL，LOCAL，KNOWN，UNKNOWN，PARANOID
   • ALL 表示所有主机
   • LOACAL 表示本地网络，匹配任何主机名中不带"."的主机
   • UNKNOWN 不能将主机名解析为IP
   • KNOWN 能将主机名解析为IP
   • EXCEPT 排除

选项：

1. deny 拒绝
2. spawn 触发一个操作
3. twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR发送到客户端,默认至/dev/null

tcpdmatch：在本地测试

tcpdmatch [-d] daemon[@host] client

-d 测试当前目录下的hosts.allow和hosts.deny

[root@centos6 data]# cat hosts.allow
[root@centos6 data]# cat hosts.deny
sshd:192.168.0.7
[root@centos6 data]# tcpdmatch -d sshd 192.168.0.7 #如果客户端是192.168.0.7是否可以访问本机的sshd服务
client:   address  192.168.0.7
server:   process  sshd
access:   denied（拒绝）
[root@centos6 data]# tcpdmatch -d sshd 192.168.0.8
client:   address  192.168.0.8
server:   process  sshd
access:   granted

PAM

它提供了对所有服务进行认证的中央机制，适用于login，远程登录（telnet,rlogin,fsh,ftp,点对点协议（PPP）），su等应用程序中。系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略；应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用；而PAM服务模块的开发者则利用PAM SPI来编写模块（主要是引出一些函数pam_sm_xxxx( )供PAM接口库调用），将不同的认证机制加入到系统中；PAM接口库（libpam）则读取配置文件，将应用程序和相应的PAM服务模块联系起来。

模块文件目录：/lib64/security/*.so

环境相关的设置：/etc/security/

主配置文件:/etc/pam.conf，默认不存在

为每种应用模块提供一个专用的配置文件：/etc/pam.d/*

PAM认证过程：

1. 使用者执行/usr/bin/passwd 程序，并输入密码
2. passwd开始调用PAM模块，PAM模块会搜寻passwd程序的PAM相关设置文件，这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件，即PAM会搜寻/etc/pam.d/passwd此设置文件
3. 经由/etc/pam.d/passwd设定文件的数据，取用PAM所提供的相关模块来进行验证
4. 将验证结果回传给passwd这个程序，而passwd这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）

专用配置文件/etc/pam.d/*格式

　module-type  control   module-path   arguments

• 模块类型（module-type）：检查功能类别
  • Auth 账号的认证和授权
  • Account 与账号管理相关的非认证类的功能，如：用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)
  • Password 用户修改密码时密码复杂度检查机制等功能
  • Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作，如：记录打开/关闭数据的信息，监视目录等
  • -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
• control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 （简单机制）
  • required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。即为必要条件
  • requisite ：一票否决，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一type内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件
  • sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件
  • optional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略
  • include： 调用其他的配置文件中定义的配置信息
• module-path 用来指明本模块对应的程序文件的路径名
  • /lib64/security目录下的模块可使用相对路径，直接指定模块；如果是在其他位置需要给定绝对路径
• Arguments 用来传递给该模块的参数

pam_shells模块

检查用户的shell是否安全，如果在/etc/shells文件中的shell为安全shell

[root@centos7 pam.d]# vim sshd
auth       required     pam_shells.so  #要求用户必须使用安全的shell登录，即用户的shell在/etc/sheels文件中

pam_securetty.so模块

只允许root用户在/etc/securetty列出的安全终端上登陆。

pam_nologin.so模块

1、如果/etc/nologin文件存在,将导致非root用户不能登陆；

2、如果用户shell是/sbin/nologin 时，当该用户登陆时，会显示/etc/nologin文件内容，并拒绝登陆。

pam_limits.so模块

此模块通过读取配置文件完成用户对系统资源（可打开的文件数量，可运行的进程数量，可用内存空间）的使用控制。

ulimit命令

• -n 最多的打开的文件描述符个数
• -u 最大用户进程数
• -S 使用 soft（软）资源限制
• -H 使用 hard（硬）资源限制

配置文件：（/etc/security/limits.conf，/etc/security/limits.d/*）

格式：对象　　类型　　资源　　值

对象

• Username 单个用户
• @group 组内所有用户
• * 表示所有用户

类型

• Soft 软限制,普通用户自己可以修改
• Hard 硬限制,由root用户设定，且通过kernel强制生效

资源

• nofile 所能够同时打开的最大文件数量,默认为1024
• nproc 所能够同时运行的进程的最大数量,默认为1024

个人学习笔记  2018-05-24  09:40:14