在登录提示输入错误密码后,会有大约 3 秒的延迟。如何在带有 PAM 的 Linux 系统上更改它?
我在某处读到或听说过(可能在LinuxCBT 的 SELinux 课程中;但我不确定)有在线 Linux 服务器,还提供了 root 用户的密码。Linux 服务器采用 SELinux 规则加固,每个人都可以使用 root 用户登录,但不会对操作系统造成任何损害。
这对我来说似乎是一个神话,但我想确定:是否有可能强化 Linux 机器(可能使用 SELinux),这样即使是 root 用户也无法对其进行特定的恶意活动?(例如:删除系统文件、清除日志文件、停止关键服务等)
这样的 Linux 机器将是构建蜜罐的一个很好的起点。
编辑: 基于一个答案(现已删除)和一点谷歌搜索,我至少得到了两个指向这种强化 Linux 服务器的链接。不幸的是,两台服务器都停机了。为了记录,我将在这里复制粘贴描述:
1) 来自http://www.coker.com.au/selinux/play.html:
SE Linux 机器上的免费 root 访问权限!
要以root身份访问我的 Debian 游戏机 ssh 到play.coker.com.au,密码是...
请注意,如果您要成功运行此类机器,则需要很多技能。如果您要问是否应该运行一个,那么答案是“不”。
这样做的目的是证明 SE Linux 可以在没有任何 Unix 权限的情况下提供所有必要的安全性(但仍然建议您对真实服务器也使用 Unix 权限)。它还让您有机会登录到 SE 机器并查看它是什么样的。
当您登录 SE Linux 播放机时,请确保在登录前使用-x选项禁用 X11 转发或在 /etc/ssh/ssh_config 文件中设置ForwardX11 no。还要确保在登录之前使用 -a 选项禁用 ssh 代理转发或在 /etc/ssh/ssh_config 文件中设置ForwardAgent no。如果您没有正确禁用这些设置,那么登录游戏机将使您面临通过 …
我打算回到 Linux 作为台式机。我想让它更安全。并尝试一些强化技术,特别是因为我计划拥有自己的服务器。
这么多的问题。
linux系统下是否可以为某些用户组配置进程隐藏?
例如: 来自组 X 的用户不应在 ps/top 或 /proc 下看到来自组 Y 的用户拥有的进程。
是否可以使用 SELinux 配置这样的设置?
(我依稀记得有趣的 grsecurity 补丁集中有一个类似的功能——但 IIRC,它更通用——此外,我想配置一个股票 linux 发行版而不必维护自定义内核。)
编辑:为了更好地说明,Solaris 10 有一个类似的特性。这个例子不是那么通用,但可以配置一个用户或一些用户只能在 ps 等中看到自己进程的信息。
我正在阅读 Ubuntu 14 强化指南,这是建议之一:
确保只有 sudo 组中的用户才能运行 su 命令以充当(或成为)root 用户似乎是一个明智的想法:
dpkg-statoverride --update --add root sudo 4750 /bin/su
我查看了dpkg-statoverride命令,但我仍然无法弄清楚上面的命令到底在做什么?
这似乎意味着默认情况下 Ubuntu 14 允许任何人 sudo。为了测试,我创建了一个新用户,以该用户身份登录,尝试 sudo 并且失败了——这很好。
那么以上建议的目的是什么?
在对我们的生产 Linux 服务器执行的安全审核中,如果没有应用程序正在使用它,我们被要求删除 nobody 用户。
我检查并可以看到没有“nobody”用户拥有的文件。
find / -path /proc -prune -o -user nobody -ls
'nobody' 用户没有登录 shell,同样任何没有登录的用户,是否会造成任何安全威胁?是否建议在没有登录 shell 的情况下删除这些用户?
# grep nobody /etc/passwd
nobody:x:99:99:Nobody:/:/sbin/nologin
请给出你的想法。
我有几个VPS包含比特币私钥的linux盒子。我采取了一些步骤来强化它们:
sshssh输入私钥或密码后清除历史记录但是,我注意到在我的托管控制面板中,我可以选择Reset Root Password.似乎尽管我加强了服务器公司有某种主管访问权限,可以让他们重置 root 密码。
他们如何重置root密码?有没有办法加强服务器以防止服务器公司内部访问?我是否需要启用全盘加密或主文件夹加密?
其中包括Debian 自动强化文档 ( https://www.debian.org/doc/manuals/securing-debian-howto/ch-automatic-harden.en.html ) 中列出的所有强化包,包括:
令人困惑的是,该套件的文档包似乎可用于Debian Stretch (9.0),但目前也没有任何强化元包计划用于该版本。
是什么赋予了?是否有我忽略的替代替换包?如果有,它们是什么?
可能值得注意的是,我花了大量时间在网上搜索这个问题的答案。似乎没有关于这个主题的信息,我在邮件列表中也没有找到任何内容,尽管我没有在那里进行彻底的搜索。
我所发现的只是 Jessie 必须在某个时候可以使用这些包,但后来被删除了,因为一些 Google 查询仍然返回指向 Jessie 包信息页面的无效链接。
harden 软件包是新手管理员的天赐之物,尽管我知道它们从来都不是保护 Debian 服务器的完整答案。尽管如此,奇怪的是没有看到任何解释将它们排除在 Debian 的最新版本中。
有一个关于系统加固/安全标准的专有文件,说明该组users,nogroup,other,和一些其他团体不应该包含除了系统管理员的任何用户。我在这里找到了关于nogroupgroup的解释。怎么样和群体?它们是为了什么?为什么普通(非管理员)用户不应成为这些组的成员?usersother
建议在加固中删除不必要的帐户。
作为 Linux强化的一部分,我们希望从使用buildroot创建的文件系统中删除busybox。
但我不确定系统是否可以在没有它的情况下启动。
我很确定有依赖于busybox的init文件。
是否可以在没有 busybox 的情况下启动,或者是否需要自定义 init ?
我正在使用 3.18 Linux 内核对产品进行原型设计。
我想了解强化 Linux 内核的方法?我指的是一个文档。文档中提到了许多应该注意的配置选项?这就是强化内核的全部内容吗?或者还有其他我应该注意的事情。
PS:我无法移动到更新的内核版本,因为 3.18 对 SoC 的支持最好。我使用 gcc-4.9 作为工具链来构建所有软件。