Linux基本防护 用户切换与提权 SSH访问控制 SELinux安全 、 SSH访问控制 SELinux安全

最新推荐文章于 2022-07-03 15:32:01 发布
原创 最新推荐文章于 2022-07-03 15:32:01 发布 · 749 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Top

NSD SECURITY DAY01

  1. 案例1:Linux基本防护措施
  2. 案例2:使用sudo分配管理权限
  3. 案例3:提高SSH服务安全
  4. 案例4:SELinux安全防护

1 案例1:Linux基本防护措施

1.1 问题

本案例要求练习Linux系统的基本防护措施,完成以下任务:

  1. 修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录)
  2. 临时锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
  3. 修改tty终端提示,使得登录前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”
  4. 锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改

1.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:修改用户zhangsan的账户属性,设置为2019-12-31日失效(禁止登录)

1)正常情况下,未过期的账号可以正常登录,使用chage可以修改账户有效期。

 
  1. chage命令的语法格式:
  2. chage –l    账户名称                                //查看账户信息
  3. chage –E 时间 账户名称                            //修改账户有效期

2)失效的用户将无法登录

使用chage命令将用户zhangsan的账户设为当前已失效(比如已经过去的某个时间):

 
  1. [root@proxy ~]# useradd zhangsan
  2. [root@proxy ~]# chage -E 2015-05-15 zhangsan

尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。

3)重设用户zhangsan的属性,将失效时间设为2019-12-31

 
  1. [root@proxy ~]# chage -E 2019-12-31 zhangsan             //修改失效日期
  2. [root@proxy ~]# chage -l zhangsan                     //查看账户年龄信息
  3. Last password change                     : May 15, 2017
  4. Password expires                     : never
  5. Password inactive                     : never
  6. Account expires                         : Dec 31, 2019
  7. Minimum number of days between password change         : 0
  8. Maximum number of days between password change         : 99999
  9. Number of days of warning before password expires         : 7

4)定义默认有效期(扩展知识)

/etc/login.defs这个配置文件,决定了账户密码的默认有效期。

 
  1. [root@proxy ~]# cat /etc/login.defs
  2. PASS_MAX_DAYS    99999                        //密码最长有效期
  3. PASS_MIN_DAYS    0                            //密码最短有效期
  4. PASS_MIN_LEN    5                            //密码最短长度
  5. PASS_WARN_AGE    7                            //密码过期前几天提示警告信息
  6. UID_MIN 1000                //UID最小值
  7. UID_MAX 60000                //UID最大值

步骤二:临时锁定用户zhangsan的账户,使其无法登录,验证效果后解除锁定

1)锁定用户账号

使用passwd或usermod命令将用户zhangsan的账户锁定。

 
  1. [root@proxy ~]# passwd -l zhangsan                     //锁定用户账号lock
  2. 锁定用户 zhangsan 的密码。
  3. passwd: 操作成功
  4.  
  5. [root@proxy ~]# passwd -S zhangsan                     //查看状态status
  6. zhangsan LK 2018-02-22 0 99999 7 -1 (密码已被锁定。)

2)验证用户zhangsan已无法登录,说明锁定生效

输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。

3)解除对用户zhangsan的锁定

 
  1. [root@proxy ~]# passwd -u zhangsan                     //解锁用户账号
  2. 解锁用户 zhangsan 的密
最低0.47元/天 解锁文章

200万优质内容无限畅学
xixi1067087210
关注
linux sudo 限绕过 (CVE-2019-14287) 复现
潜心学安全的小白
11-02 854
目录前言漏洞背景影响版本漏洞复现条件环境查看sudo版本命令执行修复建议参考链接 前言 说来也是巧合,昨天在利用solr远程命令执行漏洞的时候反弹了一个shell(传送门solr远程命令执行),就顺便看了一下他的sudo版本,正好在漏洞涉及版本之内,之前看这个比较简单感觉修复的比较快没当回事,但是既然碰到了就来记录一下吧,也方便以后自己看。 漏洞背景 前阵子,Sudo官网爆出CVE-2019-...
Linux基本防护措施
S_XYY的博客
05-21 968
1.Linux基本防护措施 问题 本案例要求练习Linux系统的基本防护措施,完成以下任务: 1)禁止普通用户使用reboot、halt、poweroff程序 2)修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录) 3)锁定用户lisi的账户,使其无法登录,验证效果后解除锁定 4)锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修...
selinux + sudo +ssh +passwd
lemontree1945的博客
04-18 1755
TopNSD SECURITY DAY01案例1:Linux基本防护措施案例2:使用sudo分配管理限案例3:SSH服务安全案例4:SELinux安全防护1 案例1:Linux基本防护措施1.1 问题本案例要求练习Linux系统的基本防护措施,完成以下任务:修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录)临时锁定用户lisi的账户,使其无法登录,验证效果后解除...
SECURITY - 01 Linux基本防护 用户切换SSH访问控制SELinux安全
李俊的博客
07-02 767
  SECURITY DAY01 案例1:Linux基本防护措施 案例2:使用sudo分配管理限 案例3:SSH服务安全 案例4:SELinux安全防护   1 案例1:Linux基本防护措施 1.1 问题 本案例要求练习Linux系统的基本防护措施,完成以下任务: 修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录) 临时锁定用户lisi的账户,...
Linux基本防护
wangteng19931203的博客
12-25 239
a 一 用户账号安全 1 设置账号有效期 使用chage工具 指定失效日期 chage -E 日期 用户名 强制修改密码 chage -d 0 用户名 查看账户信息 chage -l 用户名 2 账号的锁定/解锁 使用passwd命令 查看密码状态 passwd -S 用户名 锁定账号 passwd -l 用户名 解锁账号 passwd -u 用户名 3 强制定期修改密码 配置文件/etc/log...
10.3: Linux基本防护用户切换SSH访问控制Selinux安全防护 、 总结答疑.docx
03-05
10.3: Linux基本防护用户切换SSH访问控制Selinux安全防护 、 总结答疑.docx
Linux Security(一)之Linux基本防护用户切换SSH访问控制Selinux安全防护
yy1506438689的博客
07-24 729
一、Linux基本防护 1)账号安全 1.设置账号有效期 chage工具 -d 0 登录账号之后必须强制修改密码 -E yyyy-mm-dd 指定失效日期 -l 查看用户信息 [root@web100 ~]# useradd bob [root@web100 ~]# chage -d 0 bob [root@web100 ~]# chage -E 2020-07-24 bob ...
一键部署某用户ssh后限定在某个目录中(更新selinux安全上下文)
11-10
通过chroot方式限制用户ssh登陆后被限定在某个目录中,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及限控制方式实现该用户为只读用户。本资源供一键部署脚本,用户目录在...
Linux安全之文件系统,SSHSELinux
baidu_16824131的专栏
08-08 1151
目录 〔1〕基本防护 〔2〕文件系统安全 〔3〕用户切换 〔4〕ssh访问控制 〔5〕SELinux安全防护 〔1〕基本防护 用户账户安全 设置账号有效期 命令工具 chage 命令用法 chage 选项 账户 选项 -l ...
Security基础(一):Linux基本防护措施、使用sudo分配管理限、SSH服务安全
weixin_30487317的博客
01-23 581
一、Linux基本防护措施 目标: 本案例要求练习Linux系统的基本防护措施,完成以下任务: 修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录) 锁定用户lisi的账户,使其无法登录,验证效果后解除锁定 锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改 修改tty终端提示,使得登...
linux基础防护,Linux基本安全防护技术
weixin_29192141的博客
05-16 137
Linux基本安全防护技术概述常用命令whoami显示当前的有效用户ID相关联的用户名简单的说,就是在操作之前确认一下我是谁id查看用户的idid username查看username用户的iduseradd添加用户-m : 一起创建用户的家目录,如果没有-m指令不会创建用户的家目录-s: 指定用户的登录shell类型, -s /bin/bash-s 可以不用指定示例: uaseradd -m ...
ssh passwd
NeoBilly的专栏
12-15 322
[size=medium][color=darkblue]ssh neo@xxx.xxx.xxx.xxx (yes) :****** 登录上后,修改密码 ~passwd ~(current) UNIX passwd: New UNIX passwd: Retype new UNIX passwd:[/color][/size]
SSH密钥
qq_37407863的博客
07-03 2299
当我们在渗透测试的过程中,拿到一台linux服务器shell,shell的限只是普通账号限的时候,我们可以利用ssh密钥来切换限相同的账号或者root账号。运维人员如果在服务器上使用ssh-keygen生成密钥对(id_rsa、id_rsa.pub),然后采用此密钥对进行远程登录,那么当他忘记把私钥(id_rsa)删除,且文件限可读,黑客就可以使用这个私钥进行用户登录,达到用户水平越或者升到root。使用命令查看系统中存在用户 注:”authorized_keys“文件用来登录的公钥验证
linux安全加固-锁定关键系统文件,防止篡改
qq_40573385的博客
09-04 1064
linux安全加固-锁定关键系统文件,防止篡改 要锁定关键系统文件,必须对账号密码文件及启动文件加锁,防止被篡改。 chattrlsattr chattr命令可以锁定文件。 通过chattr命令修改属性能够高系统的安全性,但是它并不适合所有的目录。 chattr命令不能保护/、/dev、/tmp、/var目录。 lsattr命令是显示chattr命令设置的文件属性。 chattrchattr [ -RVf ] [ -v version ] [ mode ] fil...
SELINUX+PASSWD实战
qq_43681877的博客
01-18 4665
selinux学习+Passwd实战
linux防范文件,Linux系统容易受到X.Org服务器中的文件覆盖漏洞攻击...
weixin_42315341的博客
04-29 203
X.Org服务器中的“不正确的命令行参数验证”漏洞使得可以升级限以及覆盖文件。 该问题影响使用开源X Window System实现的LinuxBSD发行版。这种脆弱性已存在了几年,但已被安全研究人员Narendra Shinde曝光。 如果X服务器以升的限运行,则非root用户可以利用未修补的系统。发布到X.Org邮件列表的安全建议解释说:“当X服务器以升的限运行时(即,当Xorg ...
你的服务器我来管linux,ssh执行远程服务器需要sudo的脚本
weixin_30045091的博客
04-30 369
前言运维是件很神奇的工作,牛逼的运维很轻松可以搞定很复杂的任务,sb的运维天天时间都耗上可能也解决不了问题(ps:因为他把时间都花在了可以重复执行的事情上)在写这篇文章之前,我google了一堆相关文章,大都是说修改/etc/sudoers,然后NOPASSWD:指定的cmd,但是真心不管用,没有远程虚拟终端这个方法就是浮云,Ubuntu 10.04 server 亲测!!ssh执行远程操作命令格...
如何有效防止PHP木马对linux操作系统
小迷童
05-09 1680
1.防止跳出web目录 首先修改httpd.conf: 如果你只允许你的php脚本程序在web目录操作,还可以修改httpd.conf文件限制php的操作路径。比如 你的web目录是/usr /local/apache/htdocs,那么在httpd.conf加上这么几行: php_admin_value open_basedir /usr/local/apache/h
RHCE 7关键知识点:SSH配置SelinuxSSH访问Samba设置
3. 防火墙ssh访问控制: - 配置防火墙允许来自特定IP范围(172.25.0.0/24)的SSH访问:使用`firewall-cmd`命令添加自定义规则(`firewall-cmd --permanent --list --add-rich-rule`)。 4. Shell脚本alias命令:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值