如果您正在關注Linux系統(tǒng)的安全性，那么這些命令是您必須知道的。

Linux系統(tǒng)的安全性有很多問題——從設置帳戶到確保合法用戶的權限沒有超出工作所需。本文將介紹用于Linux系統(tǒng)日常工作的一些最基本的安全命令。

 

sudo

使用sudo運行特權命令——而不是將用戶切換到根用戶，是一種必不可少的良好實踐，因為它有助于確保只在需要時使用根特權，并限制錯誤的影響。您對sudo命令的訪問取決于/etc/sudoers和/etc/group文件中的設置。

$ sudo adduser shark 
Adding user `shark' ... 
Adding new group `shark' (1007) ... 
Adding new user `shark' (1007) with group `shark' ... 
Creating home directory `/home/shark' ... 
Copying files from `/etc/skel' ... 
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully 
Changing the user information for shark 
Enter the new value, or press ENTER for the default 
 Full Name []: shark 
 Room Number []: 
 Work Phone []: 
 Home Phone []: 
 Other []: 
Is the information correct? [Y/n] Y 

例如，如果您運行sudo并詢問您是誰，您將得到以root身份運行該命令的確認。

$ sudo whoami 
root 

如果要為用戶管理sudo設置，還需要熟悉visudo命令。

visudo

visudo命令允許您在文本編輯器中打開文件并檢查語法更改，從而更改/etc/sudoers文件。使用“sudo visudo”運行命令，并確保理解語法。特權可以由用戶或組分配。在大多數(shù)Linux系統(tǒng)上，/etc/sudoers文件已經(jīng)配置了如下所示的組，這些組允許將特權分配給在/etc/group文件中設置的組。在這些情況下，您根本不需要使用visudo命令—只需熟悉以這種方式授予根特權的組，并更新/etc/group文件。

%admin ALL=(ALL) ALL 
%sudo ALL=(ALL:ALL) ALL 
%wheel ALL=(ALL:ALL) ALL 

注意組名前面有%符號。

您可以像這樣在/etc/group文件中顯示提供sudo訪問的組，因為它可能是這些文件之一:

$ egrep "admin|sudo|wheel" /etc/group 
sudo:x:27:shs,jdoe 

給某人sudo特權最簡單的方法是將他們添加到/etc/group.中的授權組中但是，這意味著它們可以作為根用戶運行任何命令。如果你想讓一些用戶對有限的命令集擁有根權限(例如，添加和刪除帳戶)，你可以定義你想讓他們能夠通過命令別名運行的命令:

Cmnd_Alias ACCT_CMDS = /usr/sbin/adduser, /usr/sbin/deluser 

然后讓用戶或組能夠運行這些命令使用sudo命令與這些命令之一:

nemo ALL=(ALL) ACCT_CMDS 
%techs ALL=(ALL:ALL) ACCT_CMDS 

第一行允許用戶“nemo”使用sudo運行twp (adduser和deluser)命令，而第二行將相同的特權分配給/etc/group文件中“tech”組中的任何人。

who和w

who和w命令將向您顯示誰已經(jīng)登錄到系統(tǒng)中，但是w將顯示更多信息，例如登錄位置、登錄時間和空閑時間。

$ w 
 18:03:35 up 9 days, 22:48, 2 users, load average: 0.00, 0.00, 0.00 
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 
joe tty2 /dev/tty2 27Apr18 9days 7:34 0.09s /usr/lib/x86_64-linux 
shs pts/1 192.168.0.15 09:50 7.00s 0.28s 0.00s w 

如果不喜歡運行visudo命令時調(diào)用的默認編輯器，請使用“sudo update-alternatives - config editor”命令。它將提供許多編輯器作為選項并更改您的設置。

last

last命令顯示了用戶最近的登錄信息，當您試圖跟蹤更改或其他活動時，它通常非常有用。

$ last nemo 
nemo pts/1 192.168.0.15 Wed May 2 07:01 - 08:29 (01:27) 
wtmp begins Tue May 1 10:21:35 2018 

尼莫有一段時間沒有登錄了。他可能在度假(也許是釣魚?)或者剛剛離開公司。這類信息可以幫助您決定是否需要對此進行后續(xù)工作。

find

find命令用于許多類型的搜索。當涉及到安全性時，您可能會發(fā)現(xiàn)自己在尋找沒有所有者(沒有對應的帳戶)或既可寫又可執(zhí)行的文件。Find命令很容易組合，但是需要熟悉它的許多選項，以便定義您要查找的內(nèi)容。這兩個命令中的第一個將找到當前沒有定義所有者的文件。第二種方法是找到任何人都可以運行和修改的文件。

$ sudo find /home -nouser 
$ sudo find / -perm -o=wx 

請記住，第二個命令中的-o指的是“其他”組——不是所有者，也不是與文件關聯(lián)的組。

file

file命令查看一個文件，并根據(jù)其內(nèi)容(而不是名稱)確定文件的類型。許多文件(如jpeg文件)在標識它們的文件的開頭附近包含標識符。下面示例中的“.jpg”文件顯然不是真正的jpeg文件，而是可執(zhí)行文件——盡管它的名稱不同。

jdoe@stinkbug:~$ ls -l 
total 24 
-rw-r--r-- 1 root root 0 Apr 13 09:59 empty 
-rwxr-xr-x 1 jdoe jdoe 18840 May 10 17:39 myphoto.jpg 
-rwx------ 1 jdoe jdoe 24 May 2 07:06 trythis 
jdoe@stinkbug:~$ file myphoto.jpg 
myphoto.jpg: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=5d19f7a492405ea9b022a9aa8151f6fb4143633d, stripped 

which

which命令標識將在鍵入其名稱時運行的可執(zhí)行文件。這并不總是你想的那樣。如果一個木馬病毒已經(jīng)被插入到文件系統(tǒng)的一個位置，顯示在你的搜索路徑之前，合法的，它將運行。這是一個很好的理由，以確保您的搜索路徑包括目錄，如/usr/bin之前，它添加較少的標準位置，特別是之前”。(當前目錄)。

$ which date 
/usr/local/bin/date <=== probably not what we wanted 

你可以檢查用戶的搜索路徑，切換到用戶和呼應:

shs@stinkbug:~$ sudo su - nemo 
nemo@stinkbug:~$ echo $PATH 
/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/snap/bin 

即使用戶的搜索路徑是在/etc/profile或/etc/bash這樣的系統(tǒng)文件中設置的bashrc，它們可能已經(jīng)被本地設置更改。

$ which date 
/usr/local/bin/date <=== probably not what we wanted 

你可以檢查用戶的搜索路徑，切換到用戶和呼應:

shs@stinkbug:~$ sudo su - nemo 
nemo@stinkbug:~$ echo $PATH 
/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/snap/bin 

即使用戶的搜索路徑是在/etc/profile或/etc/bash這樣的系統(tǒng)文件中設置的bashrc，它們可能已經(jīng)被本地設置更改。

ss

ss命令是研究套接字的工具，允許您執(zhí)行諸如顯示監(jiān)聽端口和活動連接之類的操作。在不添加一些約束的情況下，ss將顯示比您希望看到的更多的信息。畢竟，操作系統(tǒng)的許多部分都是通過套接字進行通信的。如果您希望生成已建立連接或監(jiān)聽端口的列表(即這樣的命令將被證明非常有用)。

建立連接:

$ ss -t 
State Recv-Q Send-Q Local Address:Port Peer Address:Port  
ESTAB 0 224 192.168.0.20:ssh 192.168.0.15:56647 
$ ss | grep ESTAB | grep tcp 
tcp ESTAB 0 64 192.168.0.20:ssh 192.168.0.15:64885 

監(jiān)聽端口 :

$ ss -ltn 
State Recv-Q Send-Q Local Address:Port Peer Address:Port  
LISTEN 0 128 *:22 *:* 
LISTEN 0 5 127.0.0.1:631 *:*  
LISTEN 0 50 *:445 *:* 
LISTEN 0 50 *:139 *:* 
LISTEN 0 128 *:5355 *:* 
LISTEN 0 128 :::22 :::* 
LISTEN 0 5 ::1:631 :::* 
LISTEN 0 50 :::445 :::* 
LISTEN 0 128 :::5355 :::* 
LISTEN 0 50 :::139 :::* 

注意，端口631 (CUPS)只監(jiān)聽環(huán)回接口(127.0.0.1)。

ufw

如果您在Linux系統(tǒng)上運行防火墻——這是控制對系統(tǒng)訪問的重要步驟，用于啟動/停止、啟用/禁用、修改和顯示狀態(tài)或活動規(guī)則的命令非常關鍵。下面是ufw的一些示例命令——你會在許多Ubuntu系統(tǒng)上找到的“簡單防火墻”:

$ sudo ufw status verbose 
Status: active 
Logging: on (low) 
Default: deny (incoming), allow (outgoing), disabled (routed) 
New profiles: skip 
To Action From 
-- ------ ---- 
22 ALLOW IN 192.168.0.0/24 

該防火墻是活動的，只允許從本地網(wǎng)絡連接到 ssh。

以下命令將 1)設置上述規(guī)則，2)禁用防火墻。

$ sudo ufw allow from 192.168.0.0/24 to any port 22 
$ sudo ufw disable 

了解如何為iptables列出防火墻規(guī)則也很重要。這些命令將為您提供一個完整的netfilter規(guī)則列表:

sudo iptables -vL -t filter 
sudo iptables -vL -t nat 
sudo iptables -vL -t mangle 
sudo iptables -vL -t raw 
sudo iptables -vL -t security 

ip

ip命令允許您在網(wǎng)絡接口上顯示信息。在下面的例子中，我們看到了環(huán)回和公共接口。

$ ip a 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 
 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
 inet 127.0.0.1/8 scope host lo 
 valid_lft forever preferred_lft forever 
 inet6 ::1/128 scope host 
 valid_lft forever preferred_lft forever 
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 
 link/ether 00:1e:4f:c8:43:fc brd ff:ff:ff:ff:ff:ff 
 inet 192.168.0.20/24 brd 192.168.0.255 scope global dynamic enp0s25 
 valid_lft 59794sec preferred_lft 59794sec 
 inet6 fe80::f233:4f72:4556:14c2/64 scope link 
 valid_lft forever preferred_lft forever 

ip route

ip路由命令將顯示您的路由表:

$ ip route 
default via 192.168.0.1 dev enp0s25 proto static metric 100 
169.254.0.0/16 dev enp0s25 scope link metric 1000 
192.168.0.0/24 dev enp0s25 proto kernel scope link src 192.168.0.20 metric 100 

kill, pkill & killall

正如您在“殺死Unix進程的方法不止一種”中所看到的那樣，Unix和Linux系統(tǒng)提供了一種方便的命令選擇，用于終止進程，而不管您為什么希望它們死亡。您可以通過進程ID或名稱終止。你可以一次殺死一個人或一群人。在任何情況下，您都可以使用各種kill命令，并且應該準備在需要時使用它們。例子包括:

$ kill 1234 
$ pkill bad 
$ killall badproc 

passwd

當涉及到系統(tǒng)安全性時，passwd命令可能是一個明顯的命令，但它也不應該從任何安全性要點列表中被忽略。對于密碼更改，特別是當用戶來來往往或更改角色時，有一個合理的策略是很重要的。

然而，passwd命令不僅僅用于更改密碼。您還可以使用它與sudo特權來更改其他用戶的密碼、鎖定/解鎖或過期帳戶、檢查帳戶狀態(tài)并更改決定密碼何時過期或時間密碼警告的設置。

查看手冊頁(man passwd)了解詳細信息，并使用以下命令:

$ sudo passwd nemo  <== change nemo's password 
$ sudo passwd -e dory <== expire dory's password (forces her to reset it) 
$ sudo passwd -i shark <== disable shark's account 

pwck

pwck命令對/etc/passwd和/etc/shadow文件進行一些完整性檢查——確保出現(xiàn)了必需的字段、文件和目錄等等。

$ sudo pwck 
user 'squash': directory '/home/squash' does not exist 
user 'squash': program '/bin/bsh' does not exist 

setfacl & getfacl

不要讓rwxr-x- type權限的簡單顯示誘使您認為這就是在Linux系統(tǒng)上文件權限的全部。使用setfacl和getfacl命令，您可以讓不屬于文件所有者、不屬于相關組成員(您不希望他們成為)的人訪問文件。假設您希望nemo能夠讀取概述ufw設置說明文件的文件，但僅此而已。使用如下命令修改文件的訪問控制列表(ACL):

$ setfacl -m u:nemo:r ufw-setup 

然后getfacl命令將顯示所做的更改:

$ getfacl ufw-setup 
# file: ufw-setup 
# owner: shs 
# group: shs 
user::rwx 
user:nemo:r-- <=== 
group::rw- #effective:r-- 
mask::r-- 
other::--- 

sestatus & apparmor

sestatus和apparmor命令可以顯示SELinux和apparmor工具的狀態(tài)，這些工具使用強制訪問控制在應用程序之間提供隔離。如果您正在使用這些工具之一，您應該知道如何顯示它們的狀態(tài)。

sestatus

$ sudo sestatus 
SELinux status: enabled 
SELinuxfs mount: /sys/fs/selinux 
SELinux root directory: /etc/selinux 
Loaded policy name: targeted 
Current mode: enforcing 
Mode from config file: enforcing 
Policy MLS status: enabled 
Policy deny_unknown status: allowed 
Max kernel policy version: 28 

apparmor

$ sudo apparmor_status 
apparmor module is loaded. 
18 profiles are loaded. 
18 profiles are in enforce mode. 
 /sbin/dhclient 
 /usr/bin/evince 
 /usr/bin/evince-previewer 
 /usr/bin/evince-previewer//sanitized_helper 
 /usr/bin/evince-thumbnailer 
 /usr/bin/evince-thumbnailer//sanitized_helper 
 /usr/bin/evince//sanitized_helper 
 /usr/lib/NetworkManager/nm-dhcp-client.action 
 /usr/lib/NetworkManager/nm-dhcp-helper 
 /usr/lib/connman/scripts/dhclient-script 
 /usr/lib/cups/backend/cups-pdf 
 /usr/lib/snapd/snap-confine 
 /usr/lib/snapd/snap-confine//mount-namespace-capture-helper 
 /usr/sbin/cups-browsed 
 /usr/sbin/cupsd 
 /usr/sbin/cupsd//third_party 
 /usr/sbin/ippusbxd 
 /usr/sbin/tcpdump 
0 profiles are in complain mode. 
3 processes have profiles defined. 
3 processes are in enforce mode. 
 /sbin/dhclient (705) 
 /usr/sbin/cups-browsed (30173) 
 /usr/sbin/cupsd (26828) 
0 processes are in complain mode. 
0 processes are unconfined but have a profile defined. 

你還應該知道如何啟動和停止這些工具。

$ sudo /etc/init.d/apparmor start 
$ sudo /etc/init.d/apparmor stop 
$ sudo /etc/init.d/apparmor restart 

對于SELinux，不同的模式代表什么:

enforcing -- SELinux security policy is enforced 
permissive -- SELinux prints warnings instead of enforcing 
disabled -- SELinux is fully disabled 

Linux系統(tǒng)上的許多命令可以幫助您管理安全性。上面的描述是為了介紹這些命令，而不是解釋關于它們?nèi)绾喂ぷ骰蛉绾问褂玫乃袃?nèi)容。