系统安全及应用
10.1 账号安全控制10.1.1基本安全步调
种别
子项
形貌与操作
账号安全控制
基本安全步调
禁止登录终端
设置登录 shell 为
/sbin/nologin
锁定账号
使用
usermod -L 用户名
锁定账号,
usermod -U 用户名
解锁账号
锁定文件
使用
chattr +i
锁定
/etc/passwd
和
/etc/shadow
文件,防止修改
使用
lsattr
查看文件隐蔽属性
暗码安全控制
暗码有用期设置
查看
/etc/shadow
文件中用户暗码的具体信息
修改
/etc/login.defs
文件中的
PASS_MAX_DAYS
设置暗码最长过期天数
[*]chattr 下令用于设置文件的隐蔽属性,其中 +i 表现设置不可修改和删除的属性。
[*]lsattr 下令用于显示文件的隐蔽属性。
[*]/etc/passwd 和 /etc/shadow 是存储用户账号和暗码的文件,必要掩护其安全。
[*]/etc/login.defs 文件界说了系统级的账号和暗码策略。
(1)chatter文件隐蔽属性参数阐明:
[*]A: 访问时间不被修改
[*]S: 同步写入磁盘
[*]a: 文件只能增加数据,不能删除或修改
[*]c: 自动压缩文件
[*]d: 不被 dump 备份
[*]i: 文件不能被删除、改名,不能写入或添加数据
[*]s: 文件被删除后彻底删除
[*]u: 文件删除后数据内容仍存在于磁盘
(2)lsattr显示隐蔽文件属性参数阐明
[*]-a:将隐蔽文件的属性也显示出来
[*]-d:假如接的是目录,仅列出目录本身的属性而不是目录内的文件名
[*]-R:连同子目录的数据也显示出来
10.1.2:暗码安全控制
在 /etc/shadow 文件中,每个用户账号的暗码信息都存储为一行,并且使用冒号()分隔成多个字段
# cat /etc/shadow
root:$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./::0:99999:7:::
下面对每组的解释:
字段
含义
示例值
用户名
用户的登录名
root
加密后的暗码
使用
$id$salt$hashed
格式加密的暗码
$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./
暗码末了一次更改日期
从1970年1月1日算起的天数
::
(这里为占位符,现实值应为一个数字)
暗码最小年龄
暗码更改后必须保持的最小天数
0
暗码最大年龄
暗码到期前的天数(暗码有用期)
99999
(通常表现暗码永不过期)
暗码到期前的警告天数
暗码到期前多少天开始警告用户
7
暗码到期后账号的宽限期
暗码过期后用户还可以登录的天数
::
(这里为占位符,现实值应为一个数字)
账号失效日期
账号过期的日期(从1970年1月1日算起的天数)
::
(这里为占位符,现实值应为一个数字)
保留字段
保留给未来使用
::
(通常为空或占位符)
(1)暗码有用期的设置
新建用户可以通过修改login.defs文件修改暗码有用期
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
[*]PASS_MAX_DAYS 99999
[*]这个参数界说了暗码的最大有用期(天数)。在此例中,暗码的最大有用期被设置为 99999 天,这通常意味着暗码永不过期(除非手动更改)。
[*]PASS_MIN_DAYS 0
[*]这个参数界说了用户更改暗码后必须等候的最小天数。在此例中,设置为 0 意味着用户可以随时更改他们的暗码,没有等候期。
[*]PASS_MIN_LEN 5
[*]这个参数界说了暗码的最小长度。在此例中,用户设置的暗码长度必须至少为 5 个字符。这有助于提高暗码的安全性,因为较短的暗码更容易被推测或暴力破解。
[*]PASS_WARN_AGE 7
[*]这个参数界说了从暗码到期日开始,系统开始警告用户暗码即将过期的天数。在此例中,假如用户的暗码设置了有用期(尽管在上面的 PASS_MAX_DAYS 中设置为 99999),那么系统会在用户暗码到期前 7 天开始发出警告。
PASS_MIN_LEN的值必要在/etc/pam.d/system-auth文件中设置,此处设置是不生效的,此参数由pam认证机制决定。
以下方式设置用户最短暗码策略
# vim /etc/pam.d/system-auth
添加:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12
10.1.3 下令历史,自动注销的步骤
序号
操作目标
下令或配置
解释
1
为新登录的用户设置下令历史
vi /etc/profile
,添加
HISTSIZE=20
修改
/etc/profile
文件,为新登录用户设置下令历史记录的最大数量为20条。
2
为已登录的当前用户设置下令历史
export HISTSIZE=200
为当前已登录的shell会话设置下令历史记录的最大数量为200条。
3
清空历史下令
vi ~/.bash_logout
,添加
history -c
和
clear
在用户的
~/.bash_logout
文件中添加
history -c
下令以清空历史记录,
clear
下令用于扫除屏幕内容。但这并不是真正在注销时清空历史记录的正确方法,因为
history -c
通常在当前shell会话中有用,并不会影响已保存的历史文件(如
~/.bash_history
)。
4
检查下令历史的扫除结果
logout
后重新登录,
history
查看
在终端中输入
logout
注销用户,然后重新登录并使用
history
下令查看历史记录是否被清空。但如前所述,
history -c
的结果可能不会在重新登录时体现。
5
新登录用户设置空闲自动注销
vi /etc/profile
,添加
export TMOUT=600
修改
/etc/profile
文件,为新登录用户设置空闲时间达到600秒(10分钟)后自动注销。
6
当前已登录用户设置空闲自动注销
export TMOUT=600
为当前已登录的shell会话设置空闲时间达到600秒(10分钟)后自动注销。
10.2用户切换与提权
10.2.1.su下令
(1)su切换用户
# su lisi
$ (2)只允许指定的用户使用su进行切换
# gpasswd -a zhangsan wheel
正在将用户“zhangsan”加入到“wheel”组中
#
# vim /etc/pam.d/su
#auth required pam_wheel.so use_uid
把这一行#去掉 3:sudo下令提权
(1)在配置文件/etc/sudoers中添加授权
# visudo
root ALL=(ALL) ALL
zhangsan ALL=(ALL) ALL
10.3:系统引导和登录控制
10.3.1:开关机安全控制
1:调整 BIOS 引导设置
2:限定更改 GRUB 引导参数(为GRUB添加暗码)
(1)天生密文暗码
# grub2-mkpasswd-pbkdf2
输入口令:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
#
# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
export superusers
password_pbkdf2 root grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
EOF
# grub2-mkconfig -o /boot/grub2/grub.cfg
重启进入GRUB测试密码
在GRUB菜单处第一行按下字母e,提示输入账号和密码
10.3.2:弱口令检测,端口扫描
1:弱口令检测-John the Ripper
在GRUB菜单处第一行按下字母e,提示输入账号和密码
三:弱口令检测,端口扫描
3.1:弱口令检测-John the Ripper
# 安装 John the Ripper
tar zxf john-1.8.0.tar.gz
cd john-1.8.0/src/
yum -y install gcc libssl-devel libunistring-devel
make clean linux-x86-64
# 复制 shadow 文件(注意:此操作可能存在安全风险,请确保你有权限这样做)
cp /etc/shadow /root/shadow.txt
# 检测弱口令
cd /root/john-1.8.0/run/
./john /root/shadow.txt
# 查看检测结果
./john --show /root/shadow.txt
# 使用密码字典检测
vim /root/pass.list
./john --wordlist=/root/pass.list /root/shadow.txt
./john --show /root/shadow.txt 2:网络扫描NMAP
# 安装 NMAP
yum install -y nmap
# 扫描本机
nmap 127.0.0.1
# 扫描常用 UDP 端口
nmap -sU 127.0.0.1
# 显示网络接口(仅为了确认IP地址)
ifconfig
# 扫描网段中启用 21 端口的主机
nmap -p 21 192.168.10.0/24
# 扫描存活主机
nmap -sn 192.168.10.0/24
# 扫描主机是否开启 SMB 共享(139, 445 端口)
nmap -p 139,445 192.168.10.10-20
# 扫描类型示例
# TCP SYN 扫描
nmap -sS 192.168.10.10
# TCP 连接扫描
nmap -sT 192.168.10.10
# TCP FIN 扫描
nmap -sF 192.168.10.10
# UDP 扫描
nmap -sU 192.168.10.10
# ICMP 扫描
nmap -sn 192.168.10.10
# 跳过 ping 检测
nmap -Pn 192.168.10.103
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]