Linux系统安全及应用

已于 2022-07-06 21:43:46 修改
阅读量913 收藏
点赞数
文章标签: linux 系统安全 数据库
于 2022-07-06 21:29:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XinCenWeiSei/article/details/125646624
版权

1、基本安全措施

         (1)修改认证文件/etc/pa.d/su. 启用pam_whee;.so认证模块

vim   /etc/pam.d/su

auth   required   pam_wheel.so   use_uid (去#注释)

        (2)将radmin用户加入wheel组

useradd    radmin

gpasswd  -a  radmin   wheel

(创建用户并加入到wheel组)

        (3) 验证除root,radmin用户外,其他用户不能使用su命令进行切换

useradd zs

passwd zs

su - zs

su - root

2、 设置sudo授权

         (1)授权用户zs使用useradd、userdel、password、usermod命令,但禁止其执行password root、usermod * root操作

useradd ls
passwd ls    (创建用户zls并设置密码)

        (2)授权ls用户使用/sbin/* ,  /usr/sbin/*命令,添加NOPASSSWD,以取消验证,添加Defaults logfile配置行,以启用sudo日志

visudo

(添加)

zs localhost=/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd,/usr/sbin/us
ermod,!/usr/bin/passwd root,!/usr/sbin/usermod * root
ls localhost=NOPASSWD:/sbin/*/usr/sbin*
Defaults logfile = "/var/log/sudo"

         (3)分别以zs、ls用户登录,验证授权的sudo操作,并查看日志

su - zs

sudo   -l

sudo  /usr/sbin/useradd   xiaoming
sudo  /usr/bin/passwd   xiaoming

3、 限制引导及登录过程

        (1)禁止Ctrl+ Alt+Del快捷键重启

cat /etc/inittab

ll /usr/lib/systemd/system/ctrl-alt-del.target

systemctl mask ctrl-alt-del.target    (注销ctrl-alt-del.target服务)

systemctl daemon-reload                (重新加载systemd配置)

        (2)限制更改GRUB引导参数 

grub2-mkpasswd-pbkdf2    (根据提示指定密码)

PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.1D775A815A74FCA0D1B7823E9BAFEF26AC8A1A8D3B5E81970D73F5CED327717E01BCE718494FFA854DECFFEA418AA05CD1558AF9BB71654CECEA7D0C640841EA.57EFE5954A8DE323F11CAB9C6F6516C7EBD7D174A1CA45AA593F9C5D13D0E41860F6334FA26B8CB7E1A393B5B44F433962B21F280B8246A6E4FEE64B971F4204

cp /boot/grub2/grub.cfg  /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

vim /etc/grub.d/00_header
    (添加)
cat <<EOF
set superusers="root"
password_pbkdf2 root  grub.pbkdf2.sha512.10000.1D775A815A74FCA0D1B7823E9BAFEF26AC8A1A8D3B5E81970D73F5CED327717E01BCE718494FFA854DECFFEA418AA05CD1558AF9BB71654CECEA7D0C640841EA.57EFE5954A8DE323F11CAB9C6F6516C7EBD7D174A1CA45AA593F9C5D13D0E41860F6334FA26B8CB7E1A393B5B44F433962B21F280B8246A6E4FEE64B971F4204


grub2-mkconfig -o /boot/grub2/grub.cfg  (生成新的grub.cfg文件) 

reboot (重启)

开机时无法按E进入修改引导参数

4、终端及登录控制

         (1)禁止root用户登录tty5、tty6

vim /etc/securetty 

#tty5
#tty6    (注释掉)

        (2)禁止普通用户登录

touch /etc/nologin

5、弱口令检测、端口扫描 

        (1)安装John the Ripper
插入JR光盘

tar zxf john-1.8.0.tar.gz -C /usr/src/
cd /usr/src/john-1.8.0/src/

make clean linux-x86-64

ls ../run/john    (确认已生成可执行程序)

        (2)检测弱口令账户

cp /etc/shadow /root/shadow.txt    (准备待破解的密码文件)

cd ../run/

 ./john /root/shadow.txt           (执行暴力破解)

./john --show /root/shadow.txt     (查看已破解出的账户列表)

        (3)使用密码字典字典文件破解

:> joho.pot    (清空已破解出的账户列表,以便重新分析)

./john --wordlist=./password/lst /root/shadow.txt

 6、网络扫描—NMAP

        (1)安装nmap软件包
插入1661光盘

rpm -ivh nmap-6.40-7.el7.x86_64.rpm

        (2)检查开放那些TCP端口、UDP端口 

nmap 127.0.0.1        (查看tcp端口)

nmap -sU 127.0.0.1    (查看udp端口)

        (3)检查网段中有哪些主机提供ftp服务

nmap -p 21 192.168.1.0/24

        (4)快速检查网段中存活的主机(能ping通的)

nmap -n -sP 192.169.1.0/24

        (5)检查IP地址位于192.168.1.100~200的主机是否开启文件共享服务

 nmap -p 139,445 192.168.1.100-200

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值