欢迎访问Sunbet官网(sunbet),Allbet欧博官网(ALLbetgame)!

首页Sunbet_安全防护正文

Linux主机加固丨怎样文雅的控制系统权限?

de64384a174e12dc2020-09-19177系统安全

1505808180609711.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第1张 1505808180609711.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第1张

不是手艺不愿意更新,实在是太忙了。

天天项目多的做不完,这不19大将要召开了

悬镜平安实验室作为国信504红队的重要组成部分之一

保卫国度收集平安,那然则责无旁贷的事变。

之前有许多用户说,你们不是做主机加固的吗,要不分享点加固范例的文章?

你晓得的,加固范例的文章,成体系化的那真是少的不幸。

我们的目的是在将来的每一个月分享中,都邑以主机加固范例文章为主,辅之渗入渗出测试,应急相应等的文章

备注:本文为悬镜平安实验室原创文章,我们迎接人人转载,但转载肯定要标注原创泉源,不然后果自负。

OK,上面进入我们的手艺分享阶段。

综述

在一样寻常营业运维中,常常会遭到权限的搅扰,给多了就违犯了最小权限准绳,形成体系涌现一些平安隐患,给少了营业又没法一般停止,上面我们来看看怎样文雅的掌握体系权限,包管体系平安。

0x01修正运用版本信息

修正运用版本信息固然和权限有关,但对运用能够起到肯定的珍爱感化,本节我们以tengine为例,来引见怎样修正运用的版本信息。其他apache等要领相似。

1、修正设置装备摆设文件隐蔽版本信息

设置装备摆设文件nginx.conf中http段增加server_tokens off,但此要领只能隐蔽版本号,效劳信息照样能够看到的。

设置装备摆设如下图所示。

1505806746747209.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第3张 1505806746747209.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第3张

2、要想修正的完全,能够经由历程修正源码停止隐蔽,解压缩tar包,修正$BASE_DIR/src/core/nginx.h文件。 修正前:

1505806759127908.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第5张 1505806759127908.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第5张

修正后:

1505806783859313.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第7张 1505806783859313.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第7张

编译历程这里不做引见,编译后运转结果如下图所示,能够看到http头中效劳和版本信息都曾经修正。

1505806793128772.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第9张 1505806793128772.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第9张

0x02构建受限的shell状况

有时候我们想限定用户登录后的行动,让用户在一个受限的shell状况操纵,这里我们引见怎样应用lshell来疾速完成,lshell供应了一个针对每一个用户可设置装备摆设的限定性shell,设置装备摆设文件异常的简朴,能够很轻易的严厉限定用户能够接见哪些目次,能够运用哪些敕令,同时能够对非法操纵停止日记纪录。装置历程不做引见,yum装置后设置装备摆设文件途径为/etc/lshell.conf。

重要的设置装备摆设项有logpath:设置装备摆设日记途径、allowed:许可实行的敕令、forbidden:制止运用的字符或许敕令、path:只许可接见的途径、env_vars:状况变量。

设置装备摆设好后,修正你想要限定的用户shell,chsh -s /usr/bin/lshell $USER_NAME,或许vipw间接修正。日记目次须要手工建立并赋权。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

1505806812731375.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第11张 1505806812731375.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第11张

设置装备摆设如上图所示,只许可运用的敕令为:ls、echo、cd、ll,只许可接见的途径为/home/tomcat/、/usr、/etc、/tmp、/opt。 在受限shell下停止操纵,能够看到不许可的操纵被制止。

1505806822686964.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第13张 1505806822686964.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第13张

日记纪录

1505806834677898.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第15张 1505806834677898.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第15张

运用场景能够有许多,人人依据本身的现实营业状况天真运用。

注重:前外不要把bash、sh等敕令许可,一旦许可这些敕令,该用户就能够逃逸出lshell的受限状况了。

0x03 linux ACL

linux默许的3种基础权限(rwx)和3种特别权限(suid,sgid,sticky)在寻常状况下做恰当调解便可,然则若是涌现多个组多个用户状况下对某些文件或目次做权限设置装备摆设就会发明不敷分派,以是为了处理此类状况linux内核涌现了acl(接见掌握列表)模块来停止分层治理。

运用acl前要装置acl和libacl,检察体系是不是支撑acl,Linux默许是支撑的。

dumpe2fs -h /dev/sda1|grep acl(依据本身磁盘状况变动)

1505806849853277.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第17张 1505806849853277.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第17张

开启分区的acl权限:

暂时开启:mount –o remount,acl 磁盘分区,永远开启的话须要修正/etc/fstab

1505806859844596.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第19张 1505806859844596.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第19张

场景:某文件只许可属主和其他用户A接见(只读),其他用户都不许可接见。

假定A用户名为tomcat,改文件只许可属主root和其他用户tomcat接见(只读) 设置acl前,tomcat用户读取操纵被谢绝。

1505806875858891.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第21张 1505806875858891.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第21张

1505806886855456.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第23张 1505806886855456.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第23张

设置acl后,tomcat用户能够读取,user1用户被谢绝。

1505806899554304.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第25张 1505806899554304.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第25张

1505806912471439.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第27张 1505806912471439.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第27张

1505806924881078.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第29张 1505806924881078.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第29张

0x04 严厉限定收集收支站划定规矩

在进击场景中,进击者通常在获取到肯定权限后,会反弹shell停止交互式操纵,严厉限定收支站划定规矩,能够对此进击行动停止有用阻断。

通常状况下,我们对入站接见战略会停止严厉的限定,但出站战略常常被疏忽,这就使得进击者反弹shell成为可能,这里我们引见运用iptables停止有用限定。

1505806937825968.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第31张 1505806937825968.png Linux主机加固丨怎样文雅的控制系统权限?  系统安全 第31张

iptables功用异常壮大,人人能够细致研究一下,有许多好玩的器械。

以上只一些简朴的例子,抛个砖,引出一些思绪,人人能够自由发挥,天真运用,挖掘出更多好玩的器械。

本文为 悬镜实验室 受权嘶吼宣布,如若转载,请说明泉源于嘶吼: http://www.4hou.com/system/7717.html----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

网友评论

1条评论
  • 2020-09-19 00:04:10

    Allbetwww.4008785311.com欢迎进入欧博开户平台(Allbet Gaming),欧博开户平台开放欧博(Allbet)开户、欧博(Allbet)代理开户、欧博(Allbet)电脑客户端、欧博(Allbet)APP下载等业务蹲一个后续