这里写目录标题
账号安全基本措施系统账号清理密码安全控制命令历史限制终端自动注销
su命令:切换用户使用 sudo 机制提升权限
开关机安全控制终端登入安全控制系统弱口令检测网络端口扫描netstat命令
账号安全基本措施
系统账号清理
将非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin 锁定长期不使用的账号
usermod -L 用户名 ##锁定用户passwd -l 用户名 ##锁定用户passwd -S 用户名 ##查看用户是否为锁定状态 删除无用的账号
userdel 用户名 ##删除用户账号userdel -r 用户名 ##删除用户账号的同时删除用户家目录 锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow ##锁定账号文件和密码文件lsattr /etc/passwd /etc/shadow ##查看文件状态chattr -i /etc/passwd /etc/shadow ##解锁文件
用 md5sum 生成校验和定时记录确保账号和密码文件被人修改可以第一时间发现
md5sum /etc/passwd /etc/shadow ##查看两个文件的校验码crontab -e ##创建一个定时任务1 1 * * * date >> /opt/jyjl && md5sum /etc/passwd /etc/shadow >> /opt/jyjl ##如下图
密码安全控制
设置密码有效期
设置新建用户的密码有效期
vim /etc/login.defs ##修改密码配置文件 修改此行内容 PASS_MAX_DAYS xxxx 设置已有用户的密码有效期
chage -M 天数 用户 ##针对已存在的用户,99999表示密码永不过期。
要求用户下次登录时修改密码
chage -d 0 hhh ##强制在下次登录时更改密码(只生效一次)
命令历史限制
减少记录的命令条数
history ##查看历史命令/etc/profile ##配置文件
source /etc/profile ##刷新配置文件
登录时自动清空命令历史
临时清空历史命令
history -c ##临时情况历史命令
永久清空历史命令
echo history -c >> /etc/bashrc ##将临时清空历史命令的命令加入到bashrc中每次开机自动运行echo “echo ‘’ > ~/.bash_history” ##每次开启系统之后用空格覆盖家目录中的.bash_history文件来做到清除历史记录的作用
应为这个很好理解这里就不做演示了
终端自动注销
闲置一段时间后自动注销
echo export TMOUT=600 >> /etc/profile ##设置闲置600秒后自动注销source /etc/profile ##设置好配置文件之后刷新一下
su命令:切换用户
用途及用法
用途:切换用户格式:su - 目标用户
密码验证
root 切换任意用户,不需要验证密码普通用户切换另一个普通用户,验证目标用户的密码才能切换
限制使用 su 命令的用户
将允许使用su命令的用户加入wheel组vim /etc/pam.d/su 进入文件启用 pam_wheel 认证模块
限制方法演示
使用 sudo 机制提升权限
sudo 命令的用途及用法
用途:以其它用户身份(如root)执行授权的命令用法:sudo 授权命令
配置sudo授权
第一种方式:visudo第二种方式:vi /etc/sudoers (此文件的默认权限为440,保存退出时必须执行’:wq!'命令来强制操作)
在文件内的操作
别名创建
用户别名 user_Alias 大写别名 = 用户1,用户2
主机别名 Host_Alias 大写别名 = 主机名1,主机名2
程序别名 Cmnd_Alias 大写别名 = 程序1,程序2
用户/组授权
用户名/用户别名 主机名/主机别名=(赋权用户,默认为root)程序列表/程序别名
%组 主机名/主机别名=程序列表/程序别名
用户名 主机名=[(用户) NOPASSWD: ]程序列表
开关机安全控制
1.GRUB限制 通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
设置步骤:
使用 grub2-mkpasswd-pbkdf2 生成 密钥
2.修改/etc/grub.d/00_header 文件,在其中添加密码记录
此时重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
终端登入安全控制
限制root只在安全终端登入
安全终端配置:vim /etc/securetty
2.禁止普通用户登录
建立/etc/nologin文件普通用户就无法登入了
mkdir /etc/nologin 删除nologin文件或重启后即可恢复正常
系统弱口令检测
1.Joth the Ripper 简称为 JR JR是一款密码分析工具,支持字典式的暴力破解密码
使用方法: ./john --wordlist===./password.lst== /opt/shadow.txt –wordlist 使用其他字典命令(默认使用passwd.lst) ./password.lst可以是其它字典文件 /opt/shadow.txt为需要破解的密码文件
JR官方网站:http://www.openwall.com/john/
网络端口扫描
1.NMAP的扫描 一款强大的网络扫描、安全检测工具
NMAP的格式 nmap <扫描类型>或<选项> <扫描目标> 扫描目标通常是端口号,主机地址或是网段
可以直接yum 下载 nmap nmap 命令常用的选项和扫描类型 -p:指定扫描的端口。
-n:禁用反向DNS 解析(以加快扫描速度) 。
-sS:TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT: TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包(请求重新连接)。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU:UDP扫描,探测目标主机提供哪些UDP 服务,UDP扫描的速度会比较慢。
-sP:ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫描。
控制位 SYN 建立链接 ACK 确认 FIN 结束断开 PSH 传送 0 数据缓存 上层应用协议 RST 重置 URG 紧急
nmap -sU 检测本机开放哪些UDP端口
nmap -sT 检测本机开放哪些TCP端口
nmap -p 80 目标网段 :可以检测目标网段有哪些主机提供HTTP服务 nmap -n -sP 目标网段 :可以检测目标网段有哪些存活主机
netstat命令
查看系统的网络连接状态、路由表、接口统计等信息,它是了解网络状态及排除网络服务故障有效工具 格式
netstat <选项>
常用选项
推荐链接
发表评论