目录
一、账号安全控制
账号安全基本措施
1.系统账号清理
●将非登录用户的Shell设为/sbin/nologin
●锁定长期不使用的账号 ●删除无用的账号 ●锁定账号文件passwd、shadow
usermod -s /sbin/nologin 用户名 将账号设置为非用户登录 锁定长期不使用的账号 [root@localhost ~]# usermod -L test2 锁定用户账号方法一 [root@localhost ~]# passwd -l test3 锁定用户账号方法二 [root@localhost ~]# usermod -U test2 解锁用户账号方法一 [root@localhost ~]# passwd -u test3 解锁用户账号方法二 删除无用账号 [root@localhost ~]# userdel test1 [root@localhost ~]# userdel -r test2 锁定账号文件passwd、shadow [root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改 [root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件 [root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
2.密码安全控制
-
设置密码有效期
-
要求用户下次登录时修改密码
设置密码有效期 1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1 • 2.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户, PASS_MAX_DAYS 30 要求用户下次登录时修改密码 [root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
3.命令历史限制
-
减少记录的命令条数
-
注销时自动清空命令历史
减少记录命令的条数: 1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户 HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile [root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效 2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户 [root@localhost ~]# source /etc/profile [root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效 3. 注销时自动清空命令: [root@localhost ~]# vim ~/.bashrc echo "" > ~/.bash_history
4.终端自动注销
-
限制600s后自动注销
闲置600秒后自动注销: [root@localhost ~]#vim .bash_profile 进入配置文件 export TMOUT=60 全局声明超过60秒闲置后自动注销终端 [root@localhost ~]# source .bash_profile [root@localhost ~]# echo $TMOUT [root@localhost ~]# export TMOUT=600 如果不在配置文件输入这条命令,那么是对当前用户生效 • [root@localhost ~]#vim .bash_profile # export TMOUT=60 注释掉这条命令,就不会自动注销了
使用su命令切换用户
1.用户及用法
1.用途及用法 用途:Substitute User,切换用户 格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录) • root - - - >任意用户,不验证密码 普通用户- - - >其他用户,验证目标用户的密码 带 “ - ” 表示将使用目标用户的登录Shell环境 • 2.查看su操作记录 安全日志文件:/var/log/secure • 3.whoami确定当前用户是谁 • 4. vim /etc/pam.d/su 把第六行注释去掉保存退出 默认情况下,使用root切换不需要密码 注释两行,所有账号都可以使用,但是root切换时需要密码
2.sudo命令-提升执行权限
sudo命令的用途及用法: 用途:以其他用户身份(如root)执行授权命令 用法:sudo 授权命令 1. 配置sudo授权 visudo 或者 vim /etc/sudoers 记录格式: 用户 主机名列表=命令程序列表 可以使用通配符“ * ”号任意值和“ !”号进行取反操作。 权限生效后,输入密码后5分钟可以不用重新输入密码。 2. 配置/etc/sudoers文件,可以授权用户较多的时使用 • Host_Alias MYHOST= localhost 主机名 User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权 MYUSER MYHOST = NOPASSWD : MYCMD 授权格式 • • 3.查看sudo操作记录 需启用Defaults logfile 配置默认日志文件: /var/log/sudo •
二、系统引导和登录控制
开关机安全控制
1.调整BIOS引导设置
●将第一引导设备设为当前系统所在硬盘 ●禁止从其他设备(光盘、U盘、网络)引导系统
●将安全级别设为setup,并设置管理员密码
2.GRUB限制
●使用grub2-mkpasswd-pbkdf2生成密钥 ●修改letc/grub.d/00_header文件中,添加密码记录
●生成新的grub.cfg配置文件
3.限制root只在安全终端登录
-
安全终端配置:/etc/securetty
4.禁止普通用户登录
-
建立/etc/nologin文件
-
删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin #禁止普通用户登录 [root@localhost ~]# rm -rf /etc/nologin #取消上述登录限制
三、弱口令检测
1弱口令检测—Joth the Ripper
-
一款密码分析工具,支持字典式的暴力破解;
-
通过对shadow文件的口令分析,可以检测密码强度;
2.Joth the Ripper实例
-
安装方法
make clean 系统类型 -
主程序文件为john
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中): [root@localhost ~]#cd /opt [root@localhost ~]#rz [root@localhost opt]#ls john-1.8.0.tar.gz • 2. 解压 [root@localhost opt]#tar zxvf john-1.8.0.tar.gz • 3. 安装软件编译工具 [root@localhost src]#yum install gcc gcc-c++ make -y • 4. 进行编译安装 [root@localhost src]#make clean linux-x86-64 • 5. 准备待破解的密码文件 [root@localhost src]#cd .. 切换至上级目录 [root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件 6. 执行暴力破解 [root@localhost src]#cd /opt/john-1.8.0/run/ [root@localhost run]#./john /opt/shadow.txt • 7.查看已经破解出的密码 [root@localhost run]#./john --show /opt/shadow.txt
四、端口扫描
网络扫描—NMAP
-
一款强大的网络扫描、安全 检测工具
-
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
控制位:
| 控制位 | |
|---|---|
| SYN | 建立链接 |
| ACK | 确认 |
| FIN | 结束断开 |
| PSH | 传送 0 数据缓存 上层应用协议 |
| RST | 重置 |
| URG | 紧急 |
常用格式:
nmap [扫描类型] [选项] <扫描目标> netstat natp #查看正在运行的使用TCP协议的网络状态信息 netstat -natp | grep httpd #实际操作(httpd换成80也可以) netstat -naup #查看正在运行的使用UDP协议的网络状态信息 [root@localhost run]#rpm -qa|grep nmap 查看nmap [root@localhost run]#yum install -y nmap 安装nmap
| 常见 的选 项 | 选项的作用 |
|---|---|
| -p | 指定扫描的端口。 |
| -n | 禁用反向DNS解析(以加快扫描速度) |
| -sS | TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYNACK响应包就认为目标端口正在监听,并立即断开连接; 否则认为目标端口并未开放。 |
| -sT | TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否 则认为目标端口并未开放。 |
| -sF | TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 |
| -sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。 |
| -sP | ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。 |
| -P0 | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放 弃扫描。 |
| natstat常用选项 | 作用 |
|---|---|
| -a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。 |
| -n | 以数字的形式显示相关的主机地址、端1等信息。 |
| -t | 查看TCP相关的信息。 |
| -u | 显示UDP协议相关的信息。 |
| -p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
| -r | 显示路由表信息。 |
| -l | 显示处于监听状态的网络连接及端口信息。 |
五、总结
1.账号基本安全措施
●系统账号清理、密码安全控制、命令历史清理、自动注销
2.用户切换与提权
●su、sudo
3.开关机安全控制
●BIOS引导设置、禁时止Ctrl + Alt + Del快捷键、GRUB菜单设置密码
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
