Linux系统安全基础与账户管理最佳实践

妩媚怡口莲

1. Linux系统安全基础认知

作为从业15年的Linux系统工程师，我见过太多因基础安全疏忽导致的重大事故。Linux系统安全绝非简单的命令堆砌，而是需要建立完整的防御体系。让我们从最基础的账户安全开始，逐步构建系统防护能力。

Linux系统的安全性建立在严格的权限管理基础上。不同于Windows系统，Linux从设计之初就采用了多用户架构，每个进程、文件、操作都有明确的归属关系。这种设计理念使得Linux在安全性上具有先天优势，但同时也对管理员提出了更高要求。

重要提示：任何安全措施都应当遵循"最小权限原则"，即只授予必要的权限，而非一味追求便利性。

1.1 Linux账户类型详解

1.1.1 root用户（超级管理员）

root用户是Linux系统的上帝账户，拥有以下特性：

UID为0，可以绕过所有权限检查
能够修改系统任何文件（包括删除整个系统）
可以终止任何进程，包括系统关键进程
能够修改系统时钟和硬件配置

在实际运维中，我强烈建议：

禁止直接使用root登录（通过SSH或控制台）
为root设置20位以上复杂密码（包含大小写字母、数字、特殊符号）
使用sudo机制进行权限委派
通过auditd或syslog记录所有root操作

1.1.2 系统用户（服务账户）

这些账户通常具有以下特征：

UID范围一般为1-999（不同发行版可能略有差异）
默认shell为/sbin/nologin或/bin/false
家目录通常位于系统目录（如/var/lib/mysql）
用于运行特定服务或守护进程

常见系统用户示例：

mysql：MySQL数据库服务
nginx/apache：Web服务
postfix/dovecot：邮件服务
nobody：低权限运行第三方程序

运维经验：永远不要修改系统用户的默认配置，特别是不要给它们可登录shell。我曾见过因为给mysql用户设置/bin/bash导致数据库被攻破的案例。

1.1.3 普通用户

普通用户是我们日常工作的主力账户，特点包括：

UID从1000开始分配（CentOS/RHEL）或10000（Ubuntu）
拥有完整的登录shell和家目录
权限受限，无法修改系统关键文件
通过sudo机制获得临时特权

创建用户时的安全建议：

bash复制# 创建用户时指定附加组和过期时间
useradd -m -s /bin/bash -G developers -e 2024-12-31 alice

# 设置强密码（交互式）
passwd alice

1.2 用户信息存储机制

1.2.1 /etc/passwd文件解析

这个文件包含所有用户的基本信息，每行格式为：

code复制username:password:UID:GID:comment:homedir:shell

典型示例：

code复制alice:x:1001:1001:Alice Chen:/home/alice:/bin/bash
mysql:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin

安全注意事项：

密码字段应为x，表示使用shadow文件
定期检查是否有异常UID为0的账户
确认系统用户的shell是否正确设置

1.2.2 /etc/shadow文件深度解析

这才是真正的密码存储文件，格式为：

code复制username:encrypted_password:last_change:min_age:max_age:warn:inactive:expire:reserved

关键字段说明：

encrypted_password：采用$id$salt$hash格式
- $1$：MD5
- $5$：SHA-256
- $6$：SHA-512
last_change：从1970.1.1开始的天数
max_age：密码有效期（天数）
inactive：密码过期后宽限天数

查看shadow文件权限：

bash复制ls -l /etc/shadow
# 正确权限应为-rw-r----- 1 root shadow

2. 账户安全强化实践

2.1 密码策略强制实施

2.1.1 密码复杂度配置

编辑/etc/pam.d/system-auth（RHEL系）或/etc/pam.d/common-password（Debian系）：

bash复制# 密码长度至少12位，包含大小写、数字和特殊字符
password requisite pam_pwquality.so try_first_pass retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 enforce_for_root

参数说明：

minlen：最小长度
dcredit：至少包含数字数量
ucredit：至少包含大写字母
ocredit：至少包含特殊字符
lcredit：至少包含小写字母

2.1.2 密码有效期管理

使用chage命令进行精细控制：

bash复制# 查看当前策略
chage -l alice

# 设置密码30天后过期，过期前7天提醒，过期后2天锁定
chage -M 30 -W 7 -I 2 alice

企业级建议配置：

普通用户：90天更换
特权用户：30天更换
服务账户：1年更换（需配合密钥认证）

2.2 用户锁定与访问控制

2.2.1 账户锁定策略

通过pam_tally2模块实现失败锁定：

bash复制# 编辑/etc/pam.d/sshd
auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail audit silent

# 查看失败次数
pam_tally2 --user=alice

# 手动解锁
pam_tally2 --user=alice --reset

2.2.2 SSH密钥认证最佳实践

生成高强度密钥：

bash复制ssh-keygen -t ed25519 -a 100 -f ~/.ssh/admin_key

服务器端配置：

bash复制# 禁用密码认证
PasswordAuthentication no

# 限制密钥算法
PubkeyAcceptedKeyTypes ssh-ed25519,rsa-sha2-512

客户端配置：

bash复制# ~/.ssh/config
Host production
    HostName 192.168.1.100
    User admin
    IdentityFile ~/.ssh/admin_key
    IdentitiesOnly yes

2.3 用户生命周期管理

2.3.1 用户清理自动化脚本

bash复制#!/bin/bash
# 找出180天未登录的普通用户
inactive_users=$(lastlog -b 180 | awk 'NR>1 && $1!="root" {print $1}')

for user in $inactive_users; do
    # 锁定账户
    usermod -L $user
    # 移动家目录备份
    tar -czf /backup/${user}_$(date +%F).tar.gz /home/$user
    # 删除用户
    userdel -r $user
    echo "Removed inactive user: $user"
done

2.3.2 sudo权限精细控制

/etc/sudoers示例：

code复制# 允许开发组重启web服务
%developers ALL=(root) /bin/systemctl restart nginx, /bin/systemctl restart apache

# 允许DBA组管理MySQL
%dba ALL=(root) /usr/bin/systemctl * mysql*, /usr/bin/mysqladmin*

# 允许admin组有完整权限但需要密码
%admin ALL=(ALL) ALL

# 允许jump用户无密码执行特定命令
jump ALL=(ALL) NOPASSWD: /usr/bin/rsync, /usr/bin/scp

3. 系统引导与登录安全

3.1 GRUB2安全加固实战

3.1.1 引导密码加密

生成PBKDF2加密密码：

bash复制grub2-mkpasswd-pbkdf2
# 输入密码后得到加密字符串

编辑/etc/grub.d/40_custom：

bash复制set superusers="grubadmin"
password_pbkdf2 grubadmin grub.pbkdf2.sha512.10000.长字符串

对特定菜单项加锁：

bash复制menuentry "Single User Mode" --users "" {
    # 需要密码才能进入
}

3.1.2 内核参数保护

防止通过编辑内核参数绕过认证：

bash复制# 在/etc/default/grub中添加
GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1 audit=1"
GRUB_CMDLINE_LINUX="enforcing=1"

# 更新配置
grub2-mkconfig -o /boot/grub2/grub.cfg

3.2 终端安全限制

3.2.1 控制root登录终端

/etc/securetty最佳实践：

bash复制# 只允许从tty1本地登录
tty1

# 或者完全禁用root本地登录（空文件）
> /etc/securetty

3.2.2 会话超时设置

全局配置/etc/profile：

bash复制# 设置300秒无操作超时
readonly TMOUT=300
export TMOUT

# 防止用户修改
readonly HISTFILE
readonly HISTSIZE
readonly HISTFILESIZE
readonly HISTCONTROL
readonly HISTIGNORE

4. 安全检测与监控

4.1 弱口令检测进阶技巧

4.1.1 John the Ripper高级用法

自定义规则破解：

bash复制# 创建自定义规则/etc/john/john.conf
[List.Rules:Custom]
Az"[0-9]" ^[!@#]
c

# 使用规则破解
john --rules=Custom hash.txt

分布式破解：

bash复制# 主节点
john --session=cluster --node=1/4 hash.txt

# 从节点
john --session=cluster --node=2/4 hash.txt

4.1.2 Hydra性能调优

bash复制# 使用16线程，超时30秒，每次尝试间隔500ms
hydra -L users.txt -P passwords.txt -t 16 -w 30 -W 500 ssh://192.168.1.100

4.2 端口扫描与网络加固

4.2.1 nmap高级扫描技术

bash复制# 隐蔽扫描（避免触发IDS）
nmap -T2 -sS -Pn --scan-delay 1s --max-retries 1 -D RND:10 192.168.1.100

# 全端口服务识别
nmap -p- -sV -sC -O -T4 -A -v -oA full_scan 192.168.1.100

4.2.2 防火墙最佳实践

bash复制# 默认拒绝所有
iptables -P INPUT DROP
iptables -P FORWARD DROP

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 按需开放端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 限制SSH访问源
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 防暴力破解
iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --set
iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --update --seconds 60 --hitcount 5 -j DROP

5. 安全运维实战经验

5.1 应急响应检查清单

当怀疑系统被入侵时，立即执行：

bash复制# 检查异常进程
ps auxf | grep -E '(\.tmp|\.var|/dev/shm)'

# 检查SUID文件变化
find / -perm -4000 -type f -exec ls -la {} \; | sort -k3

# 检查网络连接
ss -tanp | grep ESTAB

# 检查最近修改的文件
find / -mtime -3 -type f ! -path "/proc/*" ! -path "/sys/*" -exec ls -la {} \;

5.2 安全基线配置脚本

bash复制#!/bin/bash
# 账户安全
sed -i 's/PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs
sed -i 's/PASS_MIN_DAYS.*/PASS_MIN_DAYS 1/' /etc/login.defs
sed -i 's/PASS_WARN_AGE.*/PASS_WARN_AGE 7/' /etc/login.defs

# SSH加固
sed -i 's/#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
echo "AllowUsers alice bob" >> /etc/ssh/sshd_config

# 系统加固
echo "* hard core 0" >> /etc/security/limits.conf
echo "fs.suid_dumpable = 0" >> /etc/sysctl.conf
sysctl -p

# 重启服务
systemctl restart sshd

5.3 审计日志配置

bash复制# 安装auditd
yum install audit -y  # RHEL
apt install auditd -y # Debian

# 关键配置/etc/audit/audit.rules
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k privilege
-w /var/log/audit/ -p wa -k auditlog
-a always,exit -F arch=b64 -S execve -k execution
-a always,exit -F arch=b64 -S open,truncate,ftruncate,creat,openat,unlink -k file-access