System Login Security (系统登录安全) – Page 7

May 20, 2023November 22, 2024

[步骤] Linux SSH 访问的限制（Rocky Linux 8 & RHEL 8 版）

步骤一：设置 SSH 访问限制

# vim /etc/ssh/sshd_config

添加以下内容：

......
AllowUsers *@192.168.0.1/32 *@192.168.1.0/255.255.255.0 zhumingyu [email protected] *.eternalcenter.com
AllowGroups zhu
DenyUsers *
DenyGroups *

（
补充：这里以只允许
1) 来自 IP 地址 192.168.0.1 的用户可以 SSH 登录本服务器
2) 来自 IP 网段 192.168.1.0/255.255.255.0 的用户可以 SSH 登录本服务器
3) 用户 zhumingyu 可以 SSH 登录本服务器
4) 来自 192.168.1.1 的用户 mingyuzhu 可以 SSH 登录本服务器
5) 属于组 zhu 的用户可以 SSH 登录本服务器
6) 来自域名 *.eternalcenter.com 除了域名 attacker.eternalcenter.com 的用户可以 SSH 登录本服务器
为例
）

步骤二：重启 SSH 服务

# systemctl restart sshd

May 20, 2023November 22, 2024

[步骤] Linux SSH 访问的限制（openSUSE & SLES & CentOS 7 & RHEL 7 版）

正文：

步骤一：启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

步骤二：设置 SSH 访问限制

2.1 禁止来自所有 IP 地址的所有用户可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : ALL : deny

或者：

......
sshd : ALL

2.2 只允许某些用户可以 SSH 本服务器

# vim /etc/hosts.allow

添加以下内容：

......
sshd : 192.168.0.1/32: allow
sshd : 192.168.1.0/255.255.255.0: allow
sshd : zhumingyu:allow
[email protected] : allow
sshd : *.eternalcenter.com EXCEPT attacker.eternalcenter.com

或者：

sshd : 192.168.0.1 : allow
sshd : 192.168.1. : allow
sshd : zhumingyu : allow
[email protected] : allow
sshd : .eternalcenter.com EXCEPT attacker.eternalcenter.com

（
补充：这里以允许
1) 来自 IP 地址 192.168.0.1 的用户可以 SSH 登陆本服务器
2) 来自 IP 网段 192.168.1.0/255.255.255.0 的用户可以 SSH 登陆本服务器
3) 用户 zhumingyu 可以 SSH 登陆本服务器
4) 来自 192.168.1.1 的用户 mingyuzhu 可以 SSH 登陆本服务器
5) 来自域名 *.eternalcenter.com 除了域名 attacker.eternalcenter.com 的用户可以 SSH 登陆本服务器
为例
）

步骤三：重启 SSH 服务

# systemctl restart sshd

参考文献：

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-tcp_wrappers_and_xinetd-tcp_wrappers_configuration_files

April 11, 2023April 11, 2023

[工具] Shell 批量检查多个远程服务器的多个用户信息

介绍

基本信息

作者：朱明宇
名称：批量检查多个远程服务器的多个用户信息
作用：批量检查多个远程服务器的多个用户信息

使用方法

1. 将此脚本和清单 $serveraccountfile 文件放在同一目录下
2. 清单 $serveraccountfile 里每个服务器名和用户名以空格相隔占用 1 行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量

serveraccountfile=serveraccountfile.txt #记录服务器名和用户名的清单，每个服务器名和用户名以空格相隔占用 1 行
command=”chage -l” #检查用户信息的命令

注意

此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本

#!/bin/bash

####################### Separator ########################

serveraccountfile=serveraccountfile.txt
command="chage -l"

####################### Separator ########################

sumline=$(cat $serveraccountfile | wc -l)

for i in $(seq 1 $sumline)
do
        servername=$(sed -n $[i]p $serveraccountfile | awk '{print $1}')
        accountname=$(sed -n $[i]p $serveraccountfile | awk '{print $2}')
        ssh $servername "sudo su - root -c \"$command $accountname\""
done

February 17, 2023January 5, 2026

[步骤] Linux SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）的设置（Ciphers 参数、MACs 参数和 KexAlgorithms 参数的设置）（RHEL 8 版）

正文：

步骤一：确定 CRYPTO_POLICY 参数没有生效

# vim /etc/sysconfig/sshd

确保部分内容如下：

......
# CRYPTO_POLICY=
......

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# cp /etc/crypto-policies/back-ends/opensshserver.config /etc/crypto-policies/back-ends/opensshserver.config.backup

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 算法（algorithms）和加密方式（ciphers）：

（内容略）

（注意：如果需要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm），已包含在其中了则可以不用添加）

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
[email protected],[email protected],aes256-ctr,aes256-cbc,[email protected],aes128-ctr,aes128-cbc
[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha1,[email protected],hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,[email protected],ecdsa-sha2-nistp384,[email protected],ecdsa-sha2-nistp521,[email protected],ssh-ed25519,[email protected],rsa-sha2-256,[email protected],rsa-sha2-512,[email protected],ssh-rsa,[email protected]
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,[email protected],ecdsa-sha2-nistp384,[email protected],ecdsa-sha2-nistp521,[email protected],ssh-ed25519,[email protected],rsa-sha2-256,[email protected],rsa-sha2-512,[email protected],ssh-rsa,[email protected]
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa

（补充：这里以显示 RHEL 8 默认使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）为例）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

# systemctl restart sshd

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH 加密方式（cipher）为例）

4.1.2 测试多个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式（cipher）为例）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（message authentication code）

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH 信息验证代码（message authentication code）为例）

4.2.2 测试多个 SSH 信息验证代码（message authentication code）

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,[email protected],[email protected] -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、[email protected] 和 [email protected] SSH 信息验证代码（message authentication code）为例）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 sshd 命令显示所有在使用的加密方式（cipher）、信息验证代码（message authentication code）

# sshd -T | egrep -i "ciphers|macs|kexalgorithms"

4.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

4.3.3 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

# ssh -vvv 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

参考文献：

https://access.redhat.com/solutions/4410591
https://access.redhat.com/solutions/4278651

February 17, 2023November 22, 2024

[内容] Linux 功能的限制

正文：通过 /etc/security/access.conf 文件实现 Linux 功能使用的限制

# vim /etc/security/access.conf

添加以下内容：

......
+ : root : LOCAL
+ : zhumingyu : ALL
+ : @cron : ALL
- : ALL : ALL

（
补充：这里以
1) 允许 root 用户使用本地的所有功能
2) 允许 zhumingyu 用户使用所有功能
3) 允许 cron 功能被所有用户使用
4) 其它所有的功能或用户都被禁止
为例
）

补充：使 /etc/security/access.conf 文件的配置失效

# vim /etc/pam.d/crond

将部分内容修改如下：

......
#account required pam_access.so
......

步骤一：设置 SSH 访问限制

步骤二：重启 SSH 服务

正文：

步骤一：启用 UseTCPWrappers 参数

步骤二：设置 SSH 访问限制

2.1 禁止来自所有 IP 地址的所有用户可以 SSH 本服务器

2.2 只允许某些用户可以 SSH 本服务器

步骤三：重启 SSH 服务

参考文献：

介绍

基本信息

使用方法

脚本分割线里的变量

注意

脚本

正文：

步骤一：确定 CRYPTO_POLICY 参数没有生效

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.3 显示目前正在被使用的 SSH 算法 （algorithms） 和加密方式 （ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm） 生效

步骤四：测试 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.1 测试 SSH 加密方式 （cipher）

4.1.1 测试某个 SSH 加密方式 （cipher）

4.1.2 测试多个 SSH 加密方式 （cipher）

4.2 测试 SSH 信息验证代码 （message authentication code）

4.2.1 测试某个 SSH 信息验证代码 （message authentication code）

4.2.2 测试多个 SSH 信息验证代码 （message authentication code）

4.3 显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.3.1 使用 sshd 命令显示所有在使用的加密方式 （cipher） 、信息验证代码 （message authentication code）

4.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.3.3 使用 nmap 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

参考文献：

正文：通过 /etc/security/access.conf 文件实现 Linux 功能使用的限制

补充：使 /etc/security/access.conf 文件的配置失效

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

4.1.2 测试多个 SSH 加密方式（cipher）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（message authentication code）

4.2.2 测试多个 SSH 信息验证代码（message authentication code）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 sshd 命令显示所有在使用的加密方式（cipher）、信息验证代码（message authentication code）

4.3.2 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.3 使用 nmap 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）