Ubuntu（Linux|UNIX）安全

这里特别指出是Ubuntu，市面上很多关于Linux的都是CentOS的，两者在大体上基本一致，但是由于作者本人知识面有限，在本人了解的范围内，这两个操作系统在很多地方还是有细微的差别，正因为他们之间存在一些小小的差异，所以我必须要指出这是一篇关于Ubuntu的安全文档(尽管他们差异很小)。

拓展：Ubuntu是基于Debian发展而来，所以Debian与Ubuntu差异极小；CentOS是Redhat的免费版。如果对Linux有了解的人应该知道，Linux的发行版基本分为两大派系，Debian和Redhat，很多其他名字的Linux发行版本基本都是基于这两大派系演变而来。

UNIX操作系统两大变种：Linux和MacOS，Debian属于Linux发行版，Ubuntu是基于Debian的发行版。所以MacOS与Ubuntu差异，应该可以看得出来。

之所以开篇指出CentOS和Ubuntu，是因为下面说的一些东西在两者上确实有一些区别，但我不想额外指出，所以本文限定在Ubuntu操作系统

超级用户

root作为超级用户，拥有最高的权限，可以执行删除整个操作系统的命令：rm -rf /*

一般用户通常是通过sudo来提权执行root操作，事实上如果拥有sudo权限，本质上和root没有任何区别。毕竟，你可以直接修改root用户密码，然后切换到root用户。

通常情况如果我们临时拥有sudo权限，如何偷偷给自己留个后门呢？直接修改root密码，这恐怕是最愚蠢的行为了。

方案一

原理（linux系统不是根据用户名来判断root用户，而是通过UID是否等于0来判断的）

基于该原理，我们创建一个用户，然后把UID设置未0那不就好了

创建用户并设置密码（注意这里是useradd，而不是adduser）

• useradd kevin
• passwd kevin adduser会在创建用户的同时，在 /home/ 路径下创建对应的用户名文件夹，既然我们要偷偷的，那肯定是用useradd命令，因为它只会创建用户，不会做多余的事情。

编辑文件设置kevin uid=0，个人习惯vim编辑器，nano或其他文本编辑器都可

• vim /etc/passwd

找到创建的kevin用户：（实际因人而异，不一定是1001，也可能是其他的，一般Ubuntu操作系统第一个用户Ubuntu是1000，后面创建的依次递增）

kevin❌1001:1001::/home/kevin:/bin/sh 改成 kevin❌0:0::/home/kevin:/bin/sh

两个都改成0即可，这样kevin就是root用户了

该方案的问题显而易见，那就是一旦对方熟悉passwd这个文件，一眼便能看到这个奇怪的kevin用户。不过一般来说，以我个人的经验，很少有人能发现，因为大多数人根本不熟悉linux！！！且大家都忙着干活，哪有时间看这玩意。

方案二

原理（一般用户都是通过sudo来管理root权限的，既然如此，那我们自己偷偷整个sudo账户不就好了吗）

sudo 文件有/etc/sudoers这个文件，还有/etc/sudoers.d/ 目录下的所有文件

visudo 命令就可以直接打开/etc/sudoers这个文件，我们可以在文件最后一行看到这样一段注释： #includedir /etc/sudoers.d

注意：这里虽然以#开头，表明是注释，但是实际上它是生效的，这应该只是一个提示。

我们既然要偷偷的，那么直接编辑sudoers这个文件就显得不那么明智，我们在/etc/sudoers.d/目录下创建一个文件，然后写入这么一行内容：

kevin ALL=(ALL) NOPASSWD:ALL

这里说明下NOPASSWD:ALL，这个可以让我们在使用sudo时候免去输入kevin账户密码的繁琐步骤，请确保使用sudo时候明确知道自己在干什么，不要做sudo rm -rf /*这样的事情

方案三

原理（使用系统默认组权限）这个理解起来比先前麻烦一些

我们使用id命令查看一下用户kevin id kevin，会得到下面的结果(因人而异)：uid=1001(kevin) gid=1001(kevin) groups=1001(kevin)

我们可以看到有一个 groups ，这个就是我们所谓的组。你可以理解为sudo是一个组，而所有属于sudo组的用户都拥有这个权限。解释不一定到位，自行理解。

usermod -a -G sudo kevin

将用户kevin追加到sudo用户组中，注意这里使用 -a 表示将kevin用户加入sudo用户组，一个用户可能在很多个用户组中，如果不使用 -a 命令，则会使得该用户只属于sudo用户组，一般我们追加即可。

这种方式较为隐秘，因为直接查看 /etc/sudoers.d 或者 /etc/sudoers 看不到kevin用户，并且在 /etc/passwd 中也是正常用户，没有什么异常，但是kevin已经拥有了sudo权限

ubuntu中sudo对应的是27

我们可以查看下group文件：cat /etc/group，可以看到 kevin 在 sudo 那一行里面。也可以通过命令 getent group sudo 查看。

总结

作为root管理员需要检查这些文件：（观察是否存在可疑用户）

/etc/passwd

/etc/sudoers

/etc/group

一般可以通过创建用户，然后设置UID为0-499中某一个合适的值，最好用户名也伪装成类似系统用户，这样可以迷惑大部分非专业人员，通常一般人不会去动系统核心的东西。然后再配合其他手段获取sudo权限。

一般而言使用方案三比较难被发现

SSH连接安全

/etc/ssh/sshd_config

编辑该文件，这一部分需要详细了解可以去查看其他相关资料，这里只提关键的部分，以及注意修改配置文件后需要重启sshd服务 sudo systemctl restart sshd

PermitRootLogin yes
PermitRootLogin no
PermitRootLogin prohibit-password
对于 PermitRootLogin 参数的设置 yes和no 意义都很明确，允许和不允许root用户登录
这里我主要想解释下prohibit-password，这个代表不允许root用户密码登录，但是可以使用密钥登录

Port 22
通常22默认是ssh端口，有些时候我们会发现服务器经常被人尝试登录22端口，我们可以考虑换其他端口，虽然意义不大，但是当黑客发现你ssh端口非正常的22端口时候，他心里一定会想，事情开始变得有趣起来了。
linux新手就不要修改这个了

PasswordAuthentication yes
是否使用密码认证，设置为no不使用密码认证，转而使用密钥登录更安全
这里必须指出，请先验证密钥登录正常再修改这个，否则万一密钥无法登录，然后又不允许密码登录，那就难搞

PermitEmptyPasswords no
是否允许空密码用户登录，建议不允许

通常，我们会禁止root权限用户直接登录，只使用普通用户登录。设想这样一个场景，我们购买的服务器开启了ssh端口，黑客会通过暴力或其他方式远程登录到我们的服务器，如果我们只允许普通用户登录，那么即使黑客登陆到了服务器，他能做的事情也非常有限，他必须再想办法做一次提权操作，才能获得服务器完整权限。如果一开始就可以以root身份登录，那么将直接获取服务器所有权限，这显然更危险。

所以禁止root用户登录，然后使用ssh密钥登录，最后关闭允许密码认证，确保服务器安全。

最后再次强调，修改配置文件后一定要重启sshd服务器，不然等于没改。

附录

查看是否拥有sudo权限，看输出提示 sudo -v

直接编辑sudo文件 visudo