# Linux security # Управление группами и пользователями **Команды групп**
КомандаОписание
sudo adduser usernameинтерактивно создает пользователя с паролем и группой. Поведение настраивается в файлах /etc/adduser.conf Нельзя использовать в скриптах. При помощи encryptfs-utils можно зашифровать домашнюю директорию \--encrypt-home
sudo useradd usernameсоздает пользователя без группы и пароля. Поведение настраивается флагами и /etc/login.defs. -m создает домашнюю директорию -d определяет домашнюю директорию -s определяет консоль по умолчанию
groupsСписок групп
sudo visudoНастройка прав групп -f fname определяет дополнительный файл из include директории
sudo usermod -a -G sudo sergeyДобавить пользователя в группу sudo. -a оставляет существующие группы. Без -a пользователь будет исключен из остальных групп
sudo userdel usernameУдалить пользователя
lastПоследние авторизовавшиеся пользователи
**Информация о пользователях, паролях, группах** /etc/passwd /etc/shadow /etc/group /etc/gshadow Служба nss отвечает за хранение данных в любых хранилищах (вплоть до SQL). /etc/nsswitch.conf Определение библиотек, установленных у службы nss ``` ~$ find /lib/ -name 'libnss_*' /lib/x86_64-linux-gnu/libnss_compat.so.2 /lib/x86_64-linux-gnu/libnss_files.so.2 /lib/x86_64-linux-gnu/libnss_hesiod.so.2 /lib/x86_64-linux-gnu/libnss_systemd.so.2 /lib/x86_64-linux-gnu/libnss_dns.so.2 ``` **Настройка visudo**
ЭлементОписание
\#Комментарий
% в начале строкиРабота с группой. %sudo обозначает настройку группы sudo
Структура назначения прав%sudo ALL=(ALL) ALL обозначает, что группа sudo может выполнять на всех хостах от имени всех пользователей любые действия
NOPASSWD:без ввода пароля sudo %sudo ALL=(ALL) NOPASSWD: ALL
User\_Alias alias\_name = username1, username2Псевдоним для имен пользователей. User\_Alias WEBADMINS = sergey, dimitry
Cmnd\_Alias alias\_name = cmnd1, cmnd2Псевдоним для команд. Cmnd\_Alias SOFTWARE /bin/apt /bin/apt-get Если команда перечисляется без субкоманд, то пользователю даются права на все субкоманды. Иначе, при перечислении субкоманд - только на них. Но при добавлении субкоманд требуется указывать полную строку. Например, если указать /ust/bin/systemctl status, то пользователь будет иметь право вызвать эту команду, но она нефункциональна - требует имя сервиса, а его задать уже нельзя. Можно использовать \* /ust/bin/systemctl status \* /ust/bin/systemctl \* sshd В списке могут быть и файлы, доступные для редактирования. Например /usr/bin/nano /etc/ssh/sshd\_config
WEBADMINS ALL=(ALL) SOFTWAREПользователи WEBADMINS могут запускать команды SOFTWARE через sudo
Host\_Alias MAILSERVERS = smtpИспользуется при распространении единого файла sudoers на все машины в сети. Ограничивает хосты, где работает данное правило WEBADMINS WEBSERVERS=(ALL) WEBCOMMANDS
Defaults timestamp\_timeout = 0Таймаут при необходимости ввода пароля sudo. Можно назначить только определенным пользователям Defaults:dmitry timestamp\_timeout = 0
@includedir dirnameдля логического разбиения одного файла на группы. Подключается любой файл, если он не содержит в названии точку (.) или не заканчивается тильдой (~). Файлы анализируются в лексическом порядке. Например, /etc/sudoers.d/01\_first анализируется перед /etc/sudoers.d/10\_second. После анализа файлов в каталоге контроль возвращается к файлу, который содержал директиву @includedir.
Получается нужны шаблоны для определения действий в зависимости от роли пользователей. Их может быть немало) **Требования к паролю** ``` sudo apt install libpam-pwquality ``` Настройки требований к паролю в файле /etc/security/pwquality.conf
ПараметрОписание
minlen=8Минимальная длина пароля
minclass=3Минимальное количество классов символов в пароле
Период обновления пароля chage -l username **Блокировка пароля при неправильном вводе** Практически, нельзя устанавливать блокировку пароля после 3 неправильных вводов. /etc/pam.d/login # Firewall Исходя из общей теории брандмауэров, можно сделать вывод: для enterprise решений каждый уровень модели TCP/IP должен быть защищен. Однако статичные правила работают неэффективно. Должны быть межуровневые взаимодействия, позволяющие передавать например информацию о подозрительной активности на уровне приложений, на уровень IP фильтрации и блокировать данную активность на уровне IP. Т е enterprise решение должно объединять в себе данные всех уровней в одну картину. Кроме этого, желательно объединение аппаратных и программных решений, т е данные о необходимости блокировки передаются между физическими устройствами. **Политики блокировки** Адреса - источники, которые нужно блокировать на внешнем интерфейсе - Ваш IP адрес, lo - IP адреса вашей локальной сети - Частные адреса класса A, B и C - Мультикастовые класса D и зарезервированные класса E - Также можно блокировать Carrier-grade NAT сети (100.64.0.0-100.127.255.255) и TEST-NET (192.0.2.0-192.0.2.255) - Есть стратегия блокировки ненадежных пулов (наверное, где-то есть список) - Можно добавить блокировку бродкаста, но это редко используется Возможно ограничение количества пакетов от источника, порты удаленного источника (>1023), блокировка по флагу статуса TCP соединения (флаг должен быть SYN, не ACK). Нужно контролировать попытки сканирования портов (могут быть разные источники, но скоординированное сканирование). netfilter - встроенный firewall. Консольные утилиты для управления netfilter: - iptables - для v4 и v6 различные - ebtables - mac briging правила - arptables - правил трансляции arp ufw - фронтенд для iptables nftables - иная реализация firewalld - реализация в RedHat **Какой firewall сейчас активен** Могут быть установлен и iptables, и nftables. Если вывод следующей команды не пустой, значит убедимся, что модуль nft активен: ``` sudo nft list ruleset ``` Проверяем модуль ядра: ``` lsmod | grep nf_tables ``` Если вывод типа ``` nf_tables 376832 114 nft_compat,nft_chain_nat ``` значит nftables загружен. Модуль iptables еще присутствует в ядре, но как говорят - для вида. ``` sudo lsmod | grep ip_tables ip_tables 32768 0 x_tables 65536 8 xt_conntrack,nft_compat,xt_tcpudp,xt_addrtype,xt_nat,xt_set,ip_tables,xt_MASQUERADE ``` Есть промежуточный пакет iptables-nft, который транслирует правила из iptables, Но работает именно nft. Однако редактировать nft таблицы с комментариями ``` # Warning: table ip filter is managed by iptables-nft, do not touch! ``` не стоит. Проблема вот в чем: если не удален/отключен iptables-nft, то после каждого использования команды iptables данные таблицы будут перезаписаны. Поэтому либо не использовать эту команду, включить сервис nft и все, либо создать другие таблицы. В Alt Linux, nft по умолчанию не установлен. **Iptables** Существующие сессии ssh не блокируются. Состоит из 4 таблиц: - Filter table Базовая защита, обычно используется - NAT table - Mangle table Изменение сетевых пакетов при их прохождении через брандмауэр - Security table Используется в системах с установленным SELinux Каждая таблица состоит из цепочек правил. Filter table состоит из цепочек INPUT, FORWARD, OUTPUT Просмотр существующих таблиц ``` sudo iptables -L <имя цепочки или ничего> --line-numbers -v ``` **Сохранение правил после перезагрузки сервера** ``` sudo apt install iptables-persistent ``` Затем сохраняем ``` sudo netfilter-persistent save ``` После этого правила сохраняются в /etc/iptables\* **Структура команды** ``` iptables