首页 Linux网维 Linux主机加固丨 防御者如何加强主机权限控制

Linux主机加固丨 防御者如何加强主机权限控制

在日常业务运维中,经常会受到权限的困扰,给多了就违背了最小权限原则,造成系统出现一些安全隐患,给少了业务又无法正常进行,下面我们来看看如何优雅的控制系统权限,保证系统安全0×01修…

在日常业务运维中,经常会受到权限的困扰,给多了就违背了最小权限原则,造成系统出现一些安全隐患,给少了业务又无法正常进行,下面我们来看看如何优雅的控制系统权限,保证系统安全0×01修改应用版本信息修改应用版本信息虽然和权限无关,但对应用可以起到一定的保护作用,本节我们以tengine为例,来介绍如何修改应用的版本信息。

其他apache 等方法类似1、修改配置文件隐藏版本信息配置文件nginx.conf中http段添加 server_tokens off,但此方法只能隐藏版本号,服务信息还是可以看到的配置如下图所示

Linux主机加固丨 防御者如何加强主机权限控制插图

2、要想修改的彻底,可以通过修改源码进行隐藏解压缩tar包,修改$BASE_DIR/src/core/nginx.h 文件。修改前:

Linux主机加固丨 防御者如何加强主机权限控制插图1

修改后:

Linux主机加固丨 防御者如何加强主机权限控制插图2

编译过程这里不做介绍,编译后运行效果如下图所示,可以看到http头中服务和版本信息都已经修改。

Linux主机加固丨 防御者如何加强主机权限控制插图3

0×02构建受限的shell环境有时候我们想限制用户登录后的行为,让用户在一个受限的shell环境操作,这里我们介绍如何利用lshell来快速实现, lshell提供了一个针对每个用户可配置的限制性shell,配置文件非常的简单,可以很容易的严格限制用户可以访问哪些目录,可以使用哪些命令,同时可以对非法操作进行日志记录。

安装过程不做介绍,yum 安装后配置文件路径为/etc/lshell.conf主要的配置项有logpath:配置日志路径allowed:允许执行的命令forbidden:禁止使用的字符或者命令path:只允许访问的路径

env_vars:环境变量配置好后,修改你想要限制的用户shell,chsh -s /usr/bin/lshell $USER_NAME,或者 vipw直接修改。日志目录需要手工创建并赋权。

Linux主机加固丨 防御者如何加强主机权限控制插图4

配置如上图所示,只允许使用的命令为:ls、echo、 cd、ll,只允许访问的路径为/home/tomcat/、/usr、/etc、/tmp、 /opt 在受限shell下进行操作,可以看到不允许的操作被禁止。

Linux主机加固丨 防御者如何加强主机权限控制插图5

日志记录

Linux主机加固丨 防御者如何加强主机权限控制插图6

应用场景可以有很多,大家根据自己的实际业务环境灵活应用注意:前外不要把bash、sh等命令允许,一旦允许这些命令,该用户就可以逃逸出 lshell的受限环境了0×03 linux ACLlinux默认的3种基本权限(rwx) 以及3种特殊权限(suid,sgid,sticky)在平常情况下做适当调整即可,但是如果出现多个组多个用户情况下对某些文件或目录做权限配置就会发现不够分配,所以为了解决此类情况 linux内核出现了acl(访问控制列表)模块来进行分层管理。

使用acl前要安装acl和libacl ,查看系统是否支持acl,Linux默认是支持的。dumpe2fs -h /dev/sda1|grep acl(根据自己磁盘情况更改)

Linux主机加固丨 防御者如何加强主机权限控制插图7

开启分区的acl权限:临时开启:mount –o remount,acl 磁盘分区,永久开启的话需要修改/etc/fstab

Linux主机加固丨 防御者如何加强主机权限控制插图8

场景:某文件只允许属主和其他用户A访问(只读),其余用户都不允许访问假设A用户名为tomcat,改文件只允许属主 root和其他用户tomcat访问(只读) 设置 acl前,tomcat用户读取操作被拒绝。

Linux主机加固丨 防御者如何加强主机权限控制插图9Linux主机加固丨 防御者如何加强主机权限控制插图10

设置acl后,tomcat用户可以读取, user1用户被拒绝。

Linux主机加固丨 防御者如何加强主机权限控制插图11Linux主机加固丨 防御者如何加强主机权限控制插图12Linux主机加固丨 防御者如何加强主机权限控制插图13

0×04 严格限制网络出入站规则在攻击场景中,攻击者通常在获取到一定权限后,会反弹shell进行交互式操作,严格限制出入站规则,可以对此攻击行为进行有效阻断通常情况下,我们对入站访问策略会进行严格的限制,但出站策略经常被忽略,这就使得攻击者反弹shell成为可能,这里我们介绍使用iptables 进行有效限制。

Linux主机加固丨 防御者如何加强主机权限控制插图14

iptables功能非常强大,大家可以仔细研究一下,有很多好玩的东西。以上只一些简单的例子,抛个砖,引出一些思路,大家可以自由发挥,灵活应用,挖掘出更多好玩的东西。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。

作者: 3182235786a

为您推荐

CentOS系统升级内核版本教程,centos内核版本升级

CentOS系统升级内核版本教程,centos内核版本升级

CentOS 系统升级系统内核版本  1、显示CentOS 系统内核版本:             [root@demo...
Linux下对 Nginx SSL 的性能进行调整

Linux下对 Nginx SSL 的性能进行调整

初始化服务器   这个web服务器运行在一个EC2 t1.micro 环境.我选择 Nginx + PHP5-FPM 来...
Linux Shell经典实例解析:Oracle启动脚本

Linux Shell经典实例解析:Oracle启动脚本

Oracle的启动脚本从功能上讲主要分为两个部分,第一部分是初始化各种环境变量,以确认当前Oracle服务器的版本,从而...
centOS6.4 64位下安装nfs文件共享系统

centOS6.4 64位下安装nfs文件共享系统

不知道谁装的服务器,默认自带,以下内容摘自互联网,配置部分按教程执行成功 一、环境介绍:   服务器:centos 19...
Linux下的Samba安装配置

Linux下的Samba安装配置

1 Samba 简介 Samba(SMB是其缩写) 是一个网络服务器,用于Linux和Windows共享文件之用;Sam...

发表回复

返回顶部