linux 安全 xshell 利用
目次和文件ls -l 检察目次和文件的权限的设置环境
https://i-blog.csdnimg.cn/direct/92d12dd8a82c4e75bd860490230cd5f2.png
加固方法
对于紧张目次,建议实验如下类似操作
Chmod -R 750 /etc/rc.d/init.d/*
这样只有root可以读写和实验这个目次下的脚本
https://i-blog.csdnimg.cn/direct/4fde38e831b944f08925f5555d7931c6.png
新建了一个用户Q
https://i-blog.csdnimg.cn/direct/aa830de5b29c4233ac62536877137979.png
写入了一些信息
https://i-blog.csdnimg.cn/direct/be0f5b5f675d4d2e91eb3ac9ffcdf19e.png
发现在root用户下可以进行文件打开
https://i-blog.csdnimg.cn/direct/0c5775cfe7f448fa840ab406700cd044.png
接下来用平凡用户进行登录
发现没有权限进行检察
https://i-blog.csdnimg.cn/direct/b282d7404e0b41e49c7f7b770319450a.png
设置默认的umask值,增强安全性
umask 是 Linux 体系中用于控制 新建文件 / 目次默认权限 的掩码。体系创建文件 / 目次时,会基于默认权限(文件默认 666,目次默认 777)减去 umask 值,天生终极权限。比方 umask 027,表示从默认权限中扣除对应权限,确保新建文件 / 目次的权限更安全。
利用命令“/vi/etc/profile” 修改配置文件,添加行“umask 027”,及新创建的文件属主读写实验权限,同组用户读写和实验权限,其他用户无权限,利用”umask 027”
应用设置
https://i-blog.csdnimg.cn/direct/2a1a021b7512422dae251e6db8cb8935.png
vi /etc/profile # 打开文件
进入编辑模式(按 i 键),在文件末尾添加:
umask 027
保存退出(按 Esc 键,输入 :wq 回车)
source /etc/profile # 立即生效配置
https://i-blog.csdnimg.cn/direct/30c31c84180547fe85ddb2e134a3a5c9.png
https://i-blog.csdnimg.cn/direct/9ac139a5d0d74a9cb99fdc6327ef009e.png
平凡用户进入修改文件,报错此用户没有读写权限,增强了安全性
https://i-blog.csdnimg.cn/direct/032d928d752741eb8c8040250377a856.png
Bash历史命令
Bash历史命令
可以设置保存历史命令的条数
利用命令 “cat/etc/profile | group HISTSIZE ” 和“cat /etc/profile | grep HISTFILESIZE=”检察保存历史命令的条数
利用命令“vi/etc/profile”修改配置文件,修改HISTSIZE=5和HISTFLESIZE=5
既保存最新实验的5条命令
通过检察发现有1000条历史命令,严峻影响体系安全
https://i-blog.csdnimg.cn/direct/d288c8abf7a74c38bf0d83da6b28179a.png
进行配置文件编辑
https://i-blog.csdnimg.cn/direct/c65c12004f6e4122a6a88f4534a27ef5.png
发现已经成功改变了配置文件信息
https://i-blog.csdnimg.cn/direct/7e3ccdf8cc644ab4b31d1e76407c1737.png
退出,先按esc :wq! 再按enter
退出,先按esc :wq! 再按enter
登陆超时,设置体系登陆后,毗连超时时间增强安全性
利用命令 cat /etc/profile | grep TWOUT 检察TMOUT是否被设置
加固方法:利用命令“vi/etc/profile”修改配置文件,添加“TMOUT”行开头的注释,设置为“TMOUT=180”,及超时时间为三分钟
发现没有输出,我们进行配置
https://i-blog.csdnimg.cn/direct/beee6f6b15c04441a94780e8015eee0a.png
配置完成,要在末了一行添加,不然会被覆盖
G跳转到末了一行 i 进入编辑模式 Esc退出编辑模式,输入1:wq!保存并退出
配置文件生效
source /etc/profile
https://i-blog.csdnimg.cn/direct/6d6f8bceb40b48ac9c6c52655a1d0a68.pnghttps://i-blog.csdnimg.cn/direct/ad493d9719dd468dab836b036c6f793d.png
https://i-blog.csdnimg.cn/direct/988b6cd8fe8f4d638190e65f18c54534.pngroot路径
检查体系root用户环境变量path是否包含”.”
检查方法:以root用户环境变量path中不应该包含当前目次
以root身份实验如下操作
#echo $PATH
/usr/local/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.
加固方法:
利用命令“vi/etc/profile” 修改echo $PATH后面的路径
但是我发现我的原来就不包含当前目次,所以不消修改
https://i-blog.csdnimg.cn/direct/4d9111d98cbe4e7ca83254693fbf17c6.png
运行配置文件
运行配置文件
Source /etc/profile
验证修改结果:
Echo $PATH
看一看结果中是否包罗当前目次“.”
账户安全
禁用无用账号:减少安全风险
检查方法:利用/etc/passwd 检察口令文件,与体系管理员确认不须要的账户
FTP等服务的账号,如果不必要登陆下体系,shell应该/sbin/nologin
加固方法:利用命令“passwd -l <用户名>” 锁定不须要的账号
发现已经成功锁定了Q用户克制登录
https://i-blog.csdnimg.cn/direct/7ed5658aac29498ba72115ba0275bde4.png
扩展
在 Linux 体系中,用户信息存储在 /etc/passwd 文件中,每行记录对应一个用户,其中末了一个字段是用户登录时利用的 Shell 程序。
[*]/sbin/nologin 的作用:
它是一个特殊的 “伪 Shell”,当用户的 Shell 设置为 /sbin/nologin 时,该用户无法通过终端交互式登录体系(如 SSH 登录、当地控制台登录等)。体系会提示 “This account is currently not available”,拒绝登录请求。
[*]应用场景:
对于 FTP 服务账号、仅用于运行服务的账号(如某些程序运行的用户),这些账号不必要登录体系实验命令,只需保存服务功能。将它们的 Shell 设置为 /sbin/nologin,既能包管服务正常运行,又能克制用户通过这些账号登录体系,降低安全风险。
[*]安全意义:避免无用账号被攻击者利用进行登录操作,减少体系暴露面,提拔安全性。比方,若攻击者破解了一个设置为 /sbin/nologin 的账号密码,也无法通过该账号登录体系实验恶意命令。
检察指定用户的默认登录 Shell
通过/etc/passwd文件检察:体系用户信息存储在/etc/passwd文件中,每行对应一个用户的信息,每行末了一个字段就是该用户的默认登录 Shell。比如检察root用户的 Shell,在终端实验命令cat /etc/passwd | grep ^root ,其中^表示匹配行首,命令实验结果中末了一个:号后的内容,即为root用户的登录 Shell 范例 ,常见的如/bin/bash 。如果想检察其他用户,将root更换为对应的用户名即可
https://i-blog.csdnimg.cn/direct/123bd3bd70fb44778ffb4166806c6c8f.png
[*]通过echo $SHELL检察当前用户默认登录 Shell:在终端输入echo $SHELL命令,会返回当前正在利用终端的用户的默认登录 Shell。比方返回/bin/bash,则表示默认登录 Shell 是 Bash。
检察当前正在运行的 Shell
[*]利用echo $0命令:在终端中输入echo $0,会输出当前正在运行的 Shell 名称。比如表现bash,就表示当前运行的是 Bash Shell。
[*]利用ps -p $$命令:$$代表当前 Shell 的历程号,该命令会返回当前 Shell 的详细信息,其中包罗正在运行的 Shell 范例。实验命令后,在输出结果中找到CMD列,对应的值就是正在运行的 Shell。
https://i-blog.csdnimg.cn/direct/4a345a6f199e4234913583d8467d47bf.png
创建ftp账号
扩展知识
以下以 Linux 体系中常见的 vsftpd 软件为例,介绍创建 ftp 服务账号且该账号不必要登录体系(shell 为 /sbin/nologin )的教程:
1. 安装 vsftpd
打开终端,利用包管理工具安装 vsftpd。以 CentOS、RHEL 体系为例,实验命令:
bash
sudo yum -y install vsftpd
对于 Debian、Ubuntu 体系,则实验:
bash
sudo apt-get -y install vsftpd
https://i-blog.csdnimg.cn/direct/d49efdafbe704ab6a4dd65884311a36d.png
https://i-blog.csdnimg.cn/direct/2009f3f997d0409186bd7aee33b6dca8.png
发现没有进行激活
https://i-blog.csdnimg.cn/direct/9304d91f1a1f40858771f25dcd2ce05d.png
https://i-blog.csdnimg.cn/direct/ebbb5c2cbc2744c894d7b5710f99a608.png
https://i-blog.csdnimg.cn/direct/cb0e3629284c4ecca607ccb173c05dc0.png
发现安装成功
https://i-blog.csdnimg.cn/direct/5c9452e4b654410d983e2064a2d32631.png
https://i-blog.csdnimg.cn/direct/75c4a33f6a70461b8168d70349d4c853.png
2. 创建当地映射用户(非虚拟用户方式)
利用useradd命令创建一个体系用户,该用户将作为 FTP 用户的映射用户,且设置其 shell 为 /sbin/nologin,使其无法登录体系。假设创建用户名为ftpuser,命令如下:
bash
sudo useradd -d /var/ftp/pub -s /sbin/nologin ftpuser
https://i-blog.csdnimg.cn/direct/505c26fc19ff486cba61a0fafb84561a.png
其中-d参数指定用户的家目次为/var/ftp/pub,你可以根据现实需求修改。
3. 设置用户密码
实验以下命令为新创建的用户设置密码:
sudo passwd ftpuser
https://i-blog.csdnimg.cn/direct/8c9ba4a647f7460a8ef02fb9cc8e3980.png
按照提示输入并确认密码。
4. 配置 vsftpd
打开 vsftpd 的配置文件vsftpd.conf,一般路径为/etc/vsftpd/vsftpd.conf:
sudo vi /etc/vsftpd/vsftpd.conf
根据需求修改以下一些关键配置项:
[*]克制匿名登录:确保anonymous_enable=NO ,防止匿名用户访问 FTP 服务器。
[*]允许当地用户登录:确保local_enable=YES 。
[*]启用写入权限:若必要让用户有上传文件的权限,设置write_enable=YES 。
[*]锁定用户主目次:为了安全,建议设置chroot_local_user=YES ,将用户限定在其主目
[*]录中,防止访问其他体系目次。
https://i-blog.csdnimg.cn/direct/3ad86bb786bb4af28e57b61cde44e1c7.png
https://i-blog.csdnimg.cn/direct/3c27113a56714ad686c02d1a427ee508.png
https://i-blog.csdnimg.cn/direct/2bb99645cea24f568eb1efc7650327d0.png
https://i-blog.csdnimg.cn/direct/3bffa9545e2d473dbdc0f6d32cebc442.png
https://i-blog.csdnimg.cn/direct/1d99a5b887664da29fe9bca54fb903ef.png
[*]重装vim
[*]https://i-blog.csdnimg.cn/direct/2f56e35ed39d41458541647c1ef0ba6f.png
[*] 修改完成后,保存并退出编辑器。
5. 检查并添加 shell 到合法列表(可选但建议)
vsftpd 默认会检查用户的 shell 是否在/etc/shells文件中列出 ,如果不在大概导致用户无法登录 FTP。因此,必要检查并添加/sbin/nologin到该文件中。
利用以下命令检察当前/etc/shells文件内容:
bash
cat /etc/shells
如果其中没有/sbin/nologin这一行,则利用编辑器添加:
bash
sudo vi /etc/shells
在文件末尾添加/sbin/nologin ,保存并退出。
6. 重启 vsftpd 服务
使配置生效,实验命令:
对于 CentOS、RHEL、Fedora 等体系:
bash
sudo systemctl restart vsftpd
对于 Debian、Ubuntu 体系:
bash
sudo service vsftpd restart
7. 测试
利用 FTP 客户端软件,如 FileZilla、CuteFTP 等,输入 FTP 服务器的地点、创建的用户名和密码进行毗连测试,验证是否能够正常访问 FTP 服务器。
分享
账号计谋
操作目标:防止口令暴力破解,降低风险
检查方法:利用命令“cat/etc/pam.d/ system-auth”检察配置文件
https://i-blog.csdnimg.cn/direct/b3d9ace6efa943f3b29565652588ce03.png
加固方法:
设置一连输错10次密码,账号锁定5分钟
利用命令“vi /etc/pam.d/ system-auth”修改配置文件,添加 auth required pam_tally.so onerr=fail deny=10 unlock_time=300
https://i-blog.csdnimg.cn/direct/71e7a0e6076a4474aa5f8deb0807014f.png
检查特殊账号
操作目标:
检察空口令和root权限的账号
检查方法;
利用命令:“awk -F:’($2==””)’/etc/shadow” 检察空口令账号
利用命令:“awk -F:’($3==0)’/etc/passwd”检察UID为零的账号
https://i-blog.csdnimg.cn/direct/6ba96ee37f544fca9917597a9e1f0755.png
加固方法:
利用命令“passwd<用户名>“为空命令账号设置密码
UID为零的账号应该只有root,设置UID方法:
usermod -u UID<用户名>
https://i-blog.csdnimg.cn/direct/90b4ff73227c488d805fbcf6880bccf7.png
口令周期计谋
操作目标:
增强口令的复杂度,降低被猜解的大概性
检查方法:
利用命令:“cat /etc/login.defs| grep PASS“和 ”cat /etc/pam.d/system-auth“检察密码计谋设置
https://i-blog.csdnimg.cn/direct/b1170d78f9c94ea4b919a10ea32c38a4.png
https://i-blog.csdnimg.cn/direct/24c1965954694271a8d5ade1f0ecacc6.png
加固方法:
利用命令“vi /etc/login.defs“修改配置文件
PASS_MAX_DAYS 90 #新建用户的密码最长利用天数
PASS_MAX_DAYS 0 #新建用户的密码最短利用天数
PASS_WARN_AGE 7 #新建用户的密码到期提条件醒天数
https://i-blog.csdnimg.cn/direct/5cdb8a349b1944c69f93dc70dfe035d6.png
利用change命令修改用户设置,比方:
Chage -m 0 -M 30 -E 2000-01-01 -W 7<用户名>
表示:将此用户的密码最长利用天数设为30,最短利用天数设为0,账号2000年1月1日过期,过期前7天告诫用户。
https://i-blog.csdnimg.cn/direct/e7a93ad6b5a7427faeae31023c97e62c.png
口令复杂计谋
操作目标:增强口令的复杂度等,降低被猜解的大概性
检查方法;利用命令“cat/etc/pam.d/system-auth | grep pam_cracklib.so”
检察密码复杂度计谋设置
没有发现密码计谋配置
https://i-blog.csdnimg.cn/direct/2529c4396db34011a50b48f2eee1be98.png
加固方法:建议在/etc/pam.d/system-auth文件中配置:
适用于平凡用户
Passwd requisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
这一句适用于平凡用户和root用户
password requisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 enforce_for_root
https://i-blog.csdnimg.cn/direct/9aad8b97742f4c8fbc0a0e0bc8bca83f.png
至少八位,包含一位大写字母,一位小写字母和一位数字
https://i-blog.csdnimg.cn/direct/bb11b1828a83412bb285ca380d64bd41.png
https://i-blog.csdnimg.cn/direct/4d31817e1aa249c3aa843c6536dd0b5b.png
进来是这个界面,点击i进行输入
https://i-blog.csdnimg.cn/direct/c64adfbd03954ea99e46574b17f05dae.png
按esc, “:wq!”进行退出编辑模式,并保存
进行验证,发现进行了提示,密码计谋小于8位
https://i-blog.csdnimg.cn/direct/36919b7581d34da887c81efef8b01896.png
限定root远程登陆
操作目标:限定root远程telent登录
检查方法:
利用命令“cat/etc/securetty | grep CONSOLE” 检察是否克制root远程登陆
https://i-blog.csdnimg.cn/direct/0b789a1687eb461cbdbcff46f01008c9.png
加固方法:
Vi编辑/etc/securetty 文件,配置:CONSOLE=/dev/tty01
直接点击G进入末了一行,
https://i-blog.csdnimg.cn/direct/5537fe5ba33a4a3696e5544d5d0b609e.png
Esc :wq!
扩展知识:
利用xshell进行远程毗连kali教程
https://i-blog.csdnimg.cn/direct/98755b96ac534adea4674cb4b2671208.png
sudo -i 进入(root)管理员模式
https://i-blog.csdnimg.cn/direct/78c892db02e34698838b81da7ef2de8b.png
https://i-blog.csdnimg.cn/direct/84be55369c6042349fc790609392bf9c.png
https://i-blog.csdnimg.cn/direct/2fcf5b67d992457cba3094513add6a3d.png
https://i-blog.csdnimg.cn/direct/ece24396bb6f4f9dbaddadf22f876e33.png
https://i-blog.csdnimg.cn/direct/aeb90f4e8c77478296f9b58e68ceb7bd.png
Xshell下载链接
https://i-blog.csdnimg.cn/direct/6e357da2831043b3a7451efdf64a1023.png
https://i-blog.csdnimg.cn/direct/d3bcd04bf7264c28b577efb870baa333.png
Xshell安装教程
https://i-blog.csdnimg.cn/direct/f8323d6b549b40339113d1919e8412dd.png
https://i-blog.csdnimg.cn/direct/2354d25de95c4e5b8368ea36b06f4bf1.png
https://i-blog.csdnimg.cn/direct/e704b33fb7a14fbaa8c65cad59f3bb7b.png
https://i-blog.csdnimg.cn/direct/71fd7b6dba954183ace78ac0908af6ed.png
https://i-blog.csdnimg.cn/direct/73875c67c0d94e3fb8059711505ea62a.png
https://i-blog.csdnimg.cn/direct/96cc867e617a48489e5f1ef2ef8ac35b.png
https://i-blog.csdnimg.cn/direct/4d00a968780b420a8f210991db439280.png
https://i-blog.csdnimg.cn/direct/68933b8e82214665b1aa92d9543cfd47.png
https://i-blog.csdnimg.cn/direct/3c5a1e9fe8d644ad88ec5f5edc8248d5.png
https://i-blog.csdnimg.cn/direct/8ccf7c5da37746b08fcb8b9cd7ce4861.png
https://i-blog.csdnimg.cn/direct/b04f384b854546a3bcdc8d8f719e8f3b.png发现已经成功毗连
https://i-blog.csdnimg.cn/direct/29dadeee9a3448d59eae3ad325bbb662.png
发现正常的linux命令都能利用
https://i-blog.csdnimg.cn/direct/7f9448dd8332435c8f36e93bcf4a3f41.png
https://i-blog.csdnimg.cn/direct/773e9548e98b471c829756a0c9834337.png
https://i-blog.csdnimg.cn/direct/a14808ad27ca4925bed78866c0546f03.png
https://i-blog.csdnimg.cn/direct/cd49c021266c42af9ed75d316eb598df.png
https://i-blog.csdnimg.cn/direct/6ea626cf67ab46d89bd94ad3ec45e233.png
重新毗连,发现失败
https://i-blog.csdnimg.cn/direct/66ecdfb3fcd345a68a5c40cfa9627ba3.png
限定用户 su
操作目标:检查是否利用pam 认证模块克制wheel组之外的用户为root
检查方法:
利用命令:“cat /etc/pam.d/su | grep pam_wheel.so”检察配置文件,确认是否有相干的限定
https://i-blog.csdnimg.cn/direct/dd4691f28ac04dfcbc680ddb1786bb1e.png
加固方法
编辑su 配置文件,vi 打开/etc/pam.d/su 文件,添加大概修改以下配置
https://i-blog.csdnimg.cn/direct/d149fe103ec1483290271bd8972f82e6.png
Auth required pam_wheel.so use_uid:强制要求实验su 操作的用户属于wheel组,use_uid表示通过用户id,验证构成员身份。这一句话前面没有注释符号,说明体系已经强制要求实验su 操作用户必须属于wheel组。
若文件存在其他与pam_wheel.so相干的注释行(#auth sufficient pam_wheel.so trust use_uid),可取消注释·并调整为上述规范配置
[*]将用户参加wheel组
对允许利用su 切换为root的用户,实验命令usermod -G wheel用户名(比方:usermod -G wheel user1),将其参加wheel组,使其得到su至root的权限
通过以上配置,非wheel组,使其得到su 至root的权限。
发现B用户已经可以进行su 命令的利用了
https://i-blog.csdnimg.cn/direct/8de73430980b4080a4fc54e4f36730ba.png
检查Grub/Lilo密码
操作目标:
检察体系引导管理器是否设置密码
检查方法
利用命令:“cat /etc/grub.conf | grep password”检察grub是否设置密码
利用命令:“cat /etc/lilo.conf | grep password”检察lilo是否设置密码
加固方法
Vi编辑 /etc/grub.conf
Splashimage 这个参数下一行添加:password密码
如果必要md5加密,可以添加一行:password --md5 密码
Vi编辑/etc/lilo.conf
Password=密码
发现上述的方法已经不适用于新版kali
所以又找了一个方法
检查GBUB2是否设置密码
Sudo grep -i ‘password_pbkdf2’ /boot/grub/grub.cfg
https://i-blog.csdnimg.cn/direct/be3e51f7c61541f385558f0e7f2c14e4.png
在 GRUB2 中,password_pbkdf2 用于标识通过 PBKDF2 算法加密的启动密码配置。
这条命令通过搜索 GRUB2 配置文件中是否存在 password_pbkdf2 相干内容,判定体系是否为 GRUB2 设置了加密启动密码。如有对应输出,说明已设置;若无输出,则表示未配置密码。
设置GBUB2密码(精确加固方法)
[*]
[*]天生加密密码:
实验命令天生PBKDF2加密密码,按提示输入密码,添加或修改以下内容(将加密字符串更换为现实天生的内容)
GRUB_ENABLE_CRYPTODISK=y
GBUB_PASSWORD=”grub.pbkdf2.sha512. ………”#填入天生的加密字符串
https://i-blog.csdnimg.cn/direct/206f3ed4c3d844c7b8098a12e867b012.png
Snmp团体字
操作目标:
如果打开了snmp协议,snmp团体字设置不能利用默认的团体字
检查方法:
检察配置文件 cat /etc/snmp/snmpd.conf
https://i-blog.csdnimg.cn/direct/61f767949c474b47aa0b2a9e9b2ad068.png
加固方法:
Vi编辑 /etc/snmp/snmpd.cof 文件
https://i-blog.csdnimg.cn/direct/008e365ad38f4351b0e431586144128a.png
应克制利用public.private 默认团体字,利用用户自定义的团体字,比方将以下设置中的public更换为用户自定义的团体字:com2sec notConfig notConfigUser default public
https://i-blog.csdnimg.cn/direct/b126f1199f8e4183a995b617b1d94fd3.png
编辑文件:
bash
sudo vi
/etc/snmp/snmpd.conf
2. 添加配置:
在文件中添加:
Conf
https://i-blog.csdnimg.cn/direct/45400d2168cf44a58417662ade4b4c4a.png
com2sec notConfigUser default YourCustomCommunity # 将 YourCustomCommunity 更换为自定义强团体字(如包含巨细写字母、数字、符号)
access notConfigGroup "" any noauth exact all none none
3. 保存退出:按 Esc,输入 :wq 保存并退出。
4. 重启服务:bash

sudo
systemctl restart snmpd
https://i-blog.csdnimg.cn/direct/4c873dca2a43447196947ac0f38e018b.png
弱口令审计
检查方法:
john /etc/shadow –single
john /etc/shadow –wordlist=pass.dic
加固方法:
利用“passwd 用户名” 命令为用户设置复杂密码
https://i-blog.csdnimg.cn/direct/cdb22a8464414fa3b89960063b961435.png
若表现!! *表示密码未设置,大概密码已经锁定,无有用哈希可破解
服务历程
Linux体系的服务历程
体系守护历程(服务)
服务就是运行在网络服务器上监听用户请求的历程
服务就是通过端口号来区分的
常见的服务及其对应端口号
ftp:21
ssh:22
telnet:23
smtp:25
ssl:443
http(www):80
pop3:110
体系守护历程(服务)
在unix/linux体系中,服务是一般通过inted历程大概启动脚原来启动。
通过inted来启动的服务可以通过在/etc/inted.conf文件进行注释来禁用。
通过启动脚本启动的服务可以通过改变脚本名称的方式禁用。
检察linux历程的命令
https://i-blog.csdnimg.cn/direct/50affd10756b4655ab24e1bd6a9f18aa.png
https://i-blog.csdnimg.cn/direct/6b68e1a998894570be3c50edc91cdf25.png
检查ssh服务
操作目标:对ssh服务进行安全检查
检查方法:
利用命令“cat /etc/ssh/sshd_config”检察配置文件
https://i-blog.csdnimg.cn/direct/ccd2a12dbb434a0ba008fa8cc0d2c221.png
加固方法:
利用命令“vi /etc/ssh/sshd_config”编辑配置文件
[*]
[*]不允许root直接登录 设置“PermitRootLogin”的值为no
无法通过ssh进行远程登陆
https://i-blog.csdnimg.cn/direct/172c0357985b429794357b7914388779.png
修改SSH利用的协议版本 设置“Protocol” 的版本为2,如果没有这一行,直接添加这一行。
https://i-blog.csdnimg.cn/direct/51630a5950474d41a50ef0841da926b2.png
[*]修改允许密码错误次数(默认6次)设置“MaxAuthTries” 值为3https://i-blog.csdnimg.cn/direct/be4356b0eef244c0bf0e54b09d95a480.png
Tcp Wrapper
操作目标:
利用tcp wrapper 对 libwrap库支持的程序做访问控制
检查方法:
利用命令“vi /etc/hosts.allow” 和 “cat /etc/hosts.deny” 检察配置
加固方法:
利用命令“vi /etc/hosts.allow” 和”vi /etc/hosts.deny” 修改配置
https://i-blog.csdnimg.cn/direct/3f82eca7aa734b1b9c1a254190279141.png
[*]若允许 Windows 主机访问 Linux 虚拟机的 SSH:
[*]检察 Windows 主机 IP:按 Win + R,输入 cmd 打开命令提示符,实验 ipconfig,找到 IPv4 地点(如 192.168.1.100)。
[*]在 Linux 虚拟机的 hosts.allow 中填写:sshd:Windows主机的IPv4地点(比方 sshd:192.168.1.100),表示仅允许该 Windows 主机 IP 访问 Linux 的 SSH 服务。
[*]若允许其他设备访问:
[*]同理,获取对应设备的 IP(如另一台 Linux 服务器、手机等),填写到 hosts.allow 中。
终极目标是:填写 “希望被允许毗连到 Linux 虚拟机 SSH 服务的设备 IP”,而非固定填主机或虚拟机 IP,需根据现实访问需求决定。
https://i-blog.csdnimg.cn/direct/51929829040e41cba01307c58df1137d.png
Vi /etc/hosts.allow
按i 进入编辑模式
参加: sshd:IP地点
https://i-blog.csdnimg.cn/direct/0a35016ffe5f4e4f8e96c5c910885b50.png
Vi /etc/hosts.deny
按I 进入编辑模式
Sshd:ALL
https://i-blog.csdnimg.cn/direct/8b76869ddca34acc913605ea7d38f4d0.png
(该配置为仅允许特定ip地点访问ssh)
NFS共享
操作目标:
检察NFS共享
检查方法:
利用命令“exportfs” 检察NFS输出的共享文件
加固方法:
利用命令:“vi /etc/exports”编辑配置文件,删除不须要的共享
https://i-blog.csdnimg.cn/direct/49ea05ba50464ab492026f8857f39fee.png
如果发现配置文件内里没有命令,说明你没有配置过共享
如果有的话,进行删除,并用下面的两条命令进行实验
systemctl restart nfs-server
systemctl restart nfs-kernel-server
syslogd认证相干记录
操作目标:
检察全部日志记录
检查方法:
#cat /etc/rsyslog.conf | grep authpriv
https://i-blog.csdnimg.cn/direct/b3212b217a4045c381c24e044003dc95.png
检察是否有 authpriv.* /var/log/secure
加固方法:
添加相干日志的记录:
将authpirv 设备的任何级别的信息记录到 /var/log/secure
发现原来就在这个路径当中,所以不消进行修改
Syslogd 日志设置
操作目标:
检察全部日志记录
检查方法:
利用命令:”cat /etc/rsyslog.conf” 检察rsyslogd
https://i-blog.csdnimg.cn/direct/eb6b445d95a0402fba8ed10988a6c7df.png
体系日志(默认) /var/log/messages
https://i-blog.csdnimg.cn/direct/17cbcb9504c8463f98fe2fa946b23765.png
https://i-blog.csdnimg.cn/direct/64711d540b4543c08396d233dae1efb1.png
Cron日志(默认) /var/log/cron
https://i-blog.csdnimg.cn/direct/796de6c3082b4094a2ec3beb92092cd9.png
安全日志(默认) /var/log/secure
https://i-blog.csdnimg.cn/direct/e3233fb1c4b040df81b00a2e16868301.png
https://i-blog.csdnimg.cn/direct/b9264b7278554740b2ed89c8275af1c2.png
加固方法:
添加相干日志的记录
https://i-blog.csdnimg.cn/direct/b22a6c28c932423b84c4c3caeac3e951.png
https://i-blog.csdnimg.cn/direct/4fb4e98c1ec4493b911862c963099fd4.png
[*]local1:属于为当地利用预留的日志办法(local0 - local7 )之一,没有固定的日志记录范例限定 ,可由用户自定义用于记录特定应用程序或服务产生的日志。比方,可以将自定义脚本的运行日志、一些特定业务体系的日志通过配置利用 local1 来记录,方便区分和管理。
[*]auth:主要记录与安全和认证相干的消息,比如用户登录、注销信息,身份验证成功或失败的记录等。像用户通过 SSH 登录体系、利用 sudo 命令提权等操作产生的相干认证信息,通常会由 auth 办法来记录 。不外,对于一些更私密的安全认证信息,会利用 authpriv 办法记录。
[*] 限定ctrl+alt+del命令
[*]操作目标:
防止误利用ctrl+alt+del重启命令
检查方法
利用命令“cat /etc/inittab | grep ctrlaltdel” 检察输入行是否被注释
https://i-blog.csdnimg.cn/direct/e40b0e535893463396fbafa3bec67173.png
加固方法:
先利用命令“vi /etc/inittab” 编辑配置文件,在行开头添加注释符号“#”,
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now,在利用命令“init q” 应用设置
https://i-blog.csdnimg.cn/direct/c3883d90c4144293bb630c6136ed6cf4.png
新旧体系判定
从体系初始化机制来看,当前填写方式需联合体系范例判定:
[*]若体系利用 systemd(多数新 Linux 发行版,如 CentOS 7+、Ubuntu 16.04+):
/etc/inittab 已不再生效(图中文件开头也提示 inittab is no longer used when using systemd),此时即使注释 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now,也无法限定 Ctrl+Alt+Del。需通过 systemd 机制处理,比方:
bash
systemctl mask ctrl-alt-del.target # 屏蔽 Ctrl+Alt+Del 对应的体系目标
[*]若体系仍利用传统初始化(极老旧体系):
在 /etc/inittab 中注释 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 行是精确的,注释后 Ctrl+Alt+Del 的重启功能会被禁用,后续实验 init q 革新配置即可生效。
因此,需先确认体系初始化范例:新体系需用 systemd 方案,老旧体系此填写有用
检察发现是属于新版本的
https://i-blog.csdnimg.cn/direct/9f0e60ee7ed34d819b946e541f0b97fe.png
这个是新版本的教程
[*]屏蔽 Ctrl+Alt+Del 对应的体系目标:
bash
systemctl mask ctrl-alt-del.target
实验此命令后,Ctrl+Alt+Del 的重启功能会被禁用。
[*]验证状态(可选):
bash
systemctl status ctrl-alt-del.target
https://i-blog.csdnimg.cn/direct/b56d2c4f35924b548b4070769c10c044.png
若表现 masked,则表示屏蔽成功。
此方法适配 systemd 初始化机制,是 CentOS 7 等新体系限定 Ctrl+Alt+Del 的精确操作。
https://i-blog.csdnimg.cn/direct/d319dfe211a640dea2b6ece6d1e9c58b.png
发现虚拟机已经克制了这个命令,实验成功。
服务历程安全
关闭不须要的服务
[*]利用服务:“who -r” 检察当前init级别
[*]利用命令“chkconfig --list”检察全部服务的状态
https://i-blog.csdnimg.cn/direct/92ac854c1d404d9a885cd3afe9ab613d.png
[*]利用命令“chkconfig -level <init级别> <服务名> on | off | reset”设置服务在个init 级别下开机是否启动
克制 httpd 服务在运行级别 3、5 开机启动:
chkconfig --level 35 httpd off
设置 sshd 服务在运行级别 2、3、4、5 开机启动:
chkconfig --level 2345 sshd on
规复 network 服务默认启动设置:
chkconfig --level 3 network reset
https://i-blog.csdnimg.cn/direct/7e229f088166437fb967cf486c136c28.png
完结撒花
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]