任務十四：Ubuntu服務器的安全配置14.1任務資訊工作任務Ubuntu服務器的安全配置學習目標掌握Ubuntu服務器的安全配置與管理實踐技能1．在Ubuntu服務器操作系統安裝PAM的cracklib模塊2．在Ubuntu服務器操作系統安裝UFW、AppArmor軟件并配置3．在Ubuntu服務器操作系統安裝chkrootkit、RkHunter、Unhide軟件并配置4．在Ubuntu服務器操作系統安裝PASD軟件并配置知識要點1．PAM的cracklib模塊2．ufw配置3．AppArmor配置4．chkrootkit配置5．RkHunter配置6．Unhide配置7．PASD配置14.1.1任務描述某單位安裝了Ubuntu服務器，需要進行安全配置，增強安全性能，更好地發揮服務器作用。14.1.2任務目標14.2決策指導1.密碼安全2.設定最少的服務并檢查后門3.嚴格審查用戶登錄并設定用戶賬號安全等級4.防火墻、IDS綜合防御管理14.3制定計劃密碼安全策略apt-get

installlibpam-cracklibvim/etc/pam.d/common-passwordvim/etc/pam.d/system-authvim/etc/login.defsUFW命令apt-getinstallufwufwallow|deny[service]AppArmor命令apt-getinstallapparmor-utils

apt-getinstallapparmor-profiles/etc/apparmor.dChkRootkit命令aptinstallchkrootkitchkrootkitpslsRkHunter命令aptinstallrkhunterrkhunter–cUnhide命令aptinstallunhideunhideprocPASD命令aptinstallpsadiptables-Fnano/etc/psad/psad.conf1. 工具cracklibcracklib參數主要有：debug； #用于syslog日志記錄type=abcd； #當修改密碼時,提示信息可以用字符abcd來替換linux這個單詞retry=3； #用戶有幾次出錯的機會difok=5； #新密碼中至少有幾個字符是和以前的密碼不同的difignore=3； #忽略新密碼中不同字符之前的幾個字母minlen=8； #最小密碼長度dcreditr=5； #密碼中最多幾個數字ucredit=5； #密碼中最多幾個大寫字母.lcredit=5； #新密碼中最多幾個小寫字母ocredit=5； #新密碼中最多幾個特殊字符use_authtok； #使用密碼字典中的密碼2.工具chage下面的命令用于修改libing用戶的密碼期限：chage-E12/31/2019-m5-M90-I30-W14libing

上面的命令將密碼期限設為2019年12月31日。另外，修改密碼的最短周期為5天，最長周期為90天。密碼過期前14天會發送消息提醒用戶，過期后帳號會被鎖住30天。更改密碼時會出現一些英文提示。itistooshort. #密碼長度不足itisbasedonadictionaryword. #密碼是字典里的單詞passwordhasbeenalreadyused.chooseanother. #密碼已經使用過了需要另選一個14.4.2 使用UFW工具dpkg--get-selections|grepufw查下系統上是否已經安裝了UFWapt-getinstallufw安裝ufwufwstatus查看ufw狀態ufwenable啟用ufw為inactive/activeufwdisable禁用ufwufwversion查看ufw版本，18.04安裝的是0.35ufwstatusverbose查看默認規則ufwstatusnumbered規則上加個序號數字ufwallow[service]設定ufw允許規則ufwdefaultdeny設定ufw默認訪問規則ufwloggingon啟用日志ufwloggingoff關閉日志ufwreset重置ufw規則ufwrestart重啟ufw服務ufwallow22打開SSH服務器的22端口ufwallowssh在/etc/services中，22端口對應的服務名是sshufwallow53允許外部訪問53端口(tcp/udp)ufwdeleteallow53禁用53端口ufwallow80/tcp允許80端口ufwdeleteallow80/tcp禁用80端口ufwallowsmtp允許所有的外部IP訪問本機的25/tcp(smtp)端口ufwdeleteallowsmtp刪除smtp端口的許可ufwdenysmtp禁止外部訪問smtp服務ufwdeleteallowsmtp刪除上面建立的某條規則ufwallowfrom192.168.1.2允許某特定IPufwdeleteallowfrom192.168.1.2刪除上面的規則ufwdeleteallow22刪除已經添加過的規則ufwallow22/tcp允許所有的外部IP訪問本機的22/tcp(ssh)端口ufwallowprototcpfrom192.168.1.2toanyport22打開來自192.168.1.2的tcp請求的80端口ufwallowfrom192.168.1.100允許此IP訪問所有的本機端口ufwallowprotoudp192.168.0.1port53to192.168.0.2port53允許指定IP及端口對指定IP端口的訪問UFW規則14.4.3 使用AppArmor工具.工作模式Apparmor有兩種工作模式：enforcement、complain/learning。Enforcement–在這種模式下，配置文件里列出的限制條件都會得到執行，并且對于違反這些限制條件的程序會進行日志記錄。Complain–在這種模式下，配置文件里的限制條件不會得到執行，Apparmor只是對程序的行為進行記錄。例如程序可以寫一個在配置文件里注明只讀的文件，但Apparmor不會對程序的行為進行限制，只是進行記錄。那既然complain不能限制程序，為什么還需要這種模式呢，因為——如果某個程序的行為不符合其配置文件的限制，可以將其行為記錄到系統日志，并且可以根據程序的行為，將日志轉換成配置文件。可以隨時對配置文件進行修改，選擇自己需要的模式。aa-complain/sbin/dhclientaa-enforce/sbin/dhclientaa-complain/etc/apparmor.d/*aa-enforce/etc/apparmor.d/*訪問控制與資源限制序號符號說明1r文件或者文件夾的讀取模式，允許程序擁有讀取資源權限，執行必備2w文件或者文件夾的寫入模式，允許程序擁有寫入資源權限，刪除必備3a允許軟件對一個文件警醒追加4px獨立執行模式5ux不能通過apparmor限制的執行模式6lx繼承執行模式7l連接模式8m映射模式，一般組合使用mr9k鎖定一個文件14.4.4 使用chkrootkit工具

aptinstallchkrootkit

參數及用法-h顯示幫助信息-V顯示版本信息-l顯示測試內容-ddebug模式，顯示檢測過程的相關指令程序-q安靜模式，只顯示有問題部分-x高級模式，顯示所有檢測結果-rdir設定指定的目錄為根目錄-pdir1:dir2:dirN檢測指定目錄-n跳過NFS連接的目錄14.4.5 使用RkHunter工具程序運行后,它主要執行下面一系列的測試:（1）MD5校驗測試,檢測任何文件是否改動。（2）檢測rootkits使用的二進制和系統工具文件。（3）檢測特洛伊木馬程序的特征碼。（4）檢測大多常用程序的文件異常屬性。（5）執行一些系統相關的測試-因為rootkithunter可支持多個系統平臺。（6）掃描任何混雜模式下的接口和后門程序常用的端口。（7）檢測如/etc/rc.d/目錄下的所有配置文件、日志文件、任何異常的隱藏文件等等。例如,在檢測/dev/.udev和/etc/.pwd.lock文件時候，系統被警告。（8）對一些使用常用端口的應用程序進行版本測試.如:ApacheWebServer,Procmail等。14.4.6 使用Unhide工具14.4.7 使用PASD工具缺省情況下，PSAD禁用IDS參數。啟用配置文件中的參數IDS功能和危險等級后，PSAD守護進程將通過在iptables鏈中添加IP地址來自動阻止攻擊者。使用以下命令啟動PSAD：psadstart運行以下命令檢查狀態查看PSAD的詳細輸出。psad-S（1）簽名匹配和攻擊者IP地址。（2）特定端口的流量。（3）iptables鏈中的攻擊者的IP地址。（4）攻擊者與受害者之間的通信詳情。ping被阻斷情況14.5任務檢查who#查看當前誰登錄到系統last#顯示系統曾經登錄的用戶和ttyshistory#顯示系統過去被運行到命令finger#查看當前所有的登錄用戶/var/log/*.log #檢查日志文件passwdlibing #定期修改密碼chmod0700/home/libing #修改home目錄的訪問權限find/bin-typef-execmd5sum{}\;>sum.md5 #關鍵文件的md5指紋備份vi/etc/securetty #注釋掉tty?禁止root登錄虛擬終端passwd-lroot#禁用root用戶（鎖定root帳號）usermod-s/usr/sbin/nologinroot#設置root為nologinchattr+i/etc/passwd #鎖定不希望被更改的系統文件lsattr/etc/passwd #查看文件的屬性狀態chattr-i/etc/passwd #解除鎖定屬性initctllist|grepstart #關閉不必要的服務mv/etc/init/apport.conf/etc/init/apport#關閉服務rm/etc/init.d/apport #關閉服務sudopasswd-lroot #禁用root賬戶sudopasswd-uroot #重新啟用root賬戶ntsysv

#文本用戶接口查看chkconfig #命令查看開機服務啟動情況chkconfig--list #查看所有服務開機同時的開啟情況chkconfig--list服務名 #查看開機服務開啟的情況chkconfig--add

服務名

#設置為開機啟動chkconfig--del

服務名

#設置為開機不啟動service服務名start #啟動服務se