Linux体系安全及应用
一、账号安全根本措施1.体系账号整理
usermod -s /sbin/nologin 用户名
将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号(passwd -l 锁定用户;passwd -u 解锁用户)
删除无用的账号(userdel -r 用户名)
chattr +i 锁定账号文件 chattr -i 解锁
lsattr 查看文件拓展属性
https://img-blog.csdnimg.cn/direct/95ae01c93edc44bd957005d32815ab5b.png
2.密码安全控制
vim /etc/login.defs ——适用于新建用户
PASS_MAX_DAYS 修改密码最大间隔天数,一样平常设置为30,60,90
PASS_MIN_DAYS 修改密码最小间隔天数
PASS_MIN_LEN 密码最小长度,对root用户无效
PASS_WARN_AGE 密码到期前提示的天数
https://img-blog.csdnimg.cn/direct/ea7e8c77bfb14447a1c0eacefabc6bb6.png
例: 修改现有用户yy的密码最大有用期为60天https://img-blog.csdnimg.cn/direct/127b76778a7040e694a1f12a7144c15d.png
chage:用来修改帐号和密码的有用期限,针对目前体系已经存在的用户
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有用的最大天数。chage -M 60 root
-w:用户密码到期前,提前收到告诫信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
chage -E 2019-04-29 test //此中,test为用户,用户将在2019年4月29日失效(不可登录)
-d:上一次更改的日期。
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期
3.下令汗青限定
vim /etc/profile 默认限定为1000条
history -c 暂时清除所有汗青下令
https://img-blog.csdnimg.cn/direct/292c893d182d4d7184d592f6865c3b79.png
大概在/root/.bash_logout里设置退出就删除汗青下令记录
https://img-blog.csdnimg.cn/direct/6425d9d1785944e9813676c2a674a09d.png
4.终端主动注销
vim /etc/profile
export TMOUT=60 设置新登陆的用户超时时间为60秒
https://img-blog.csdnimg.cn/direct/59bacc34b9fa4536a7972f7120e513ef.png
设置当前用户超时时间为30秒 (肯定要设置)
unset TMOUT 可以取消设置的超时
https://img-blog.csdnimg.cn/direct/d93bc830eaad47919b261e77729e0d71.png
二、su下令
1.用途及用法
su 目标用户 切换用户
2.限定使用su下令的用户
在/etc/pam.d/su文件里设置禁止用户使用su下令
https://img-blog.csdnimg.cn/direct/832076211cdd4f1281b526c63d24bbb5.png
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
1.以上两行是默认状态(即开启第一行,解释第二行),这种状态下是允许所有用户间使用su下令进行切换的。
2.两行都解释也是运行所有用户都能使用su下令,但root’下使用su切换到其他平凡用户必要输入密码;如果第一行不解释,则root使用su切换平凡用户就不必要输入密码(pam rootok. so模块的紧张作用是使uid为0的用户,即root用户能够直接通过认证而不消输入密码。)
3.如果开启第二行,表现只有root用户和wheel组内的用户才可以使用su下令
4.如果解释第一行,开启第二行,表现只有whee1组内的用户才能使用su下令,root用户也被禁用su下令。
实例:
1.启用wheel认证模块(取消第6行解释)
https://img-blog.csdnimg.cn/direct/9edcc567dd094251a178413e402dcc4e.png
2.将yy用户参加wheel组
https://img-blog.csdnimg.cn/direct/8569754d62ae48dca580084fefcbd63c.png
3.只有在wheel组里的成员才能进行su切换
https://img-blog.csdnimg.cn/direct/be2c3c2eba714beb9e8f653c9df914c2.png
4.查看su操作记录
安全日志文件:/var/log/secure
3.使用sudo提升权限
允许一部门用户拥有管理员的部门权限
1.visudo进入/etc/sudoers
https://img-blog.csdnimg.cn/direct/51641664491647a2bb2c3da478b3237b.png
授权配置紧张包括用户、主机、下令三个部门,即授权哪些人在哪些主机上执行哪些命 令。各部门的具体寄义如下。
注:Runas_Alias:在哪些主机以谁的身份运行 的别名 这个不怎么使用
用户组设置sudo提权
用户(user):直接授权指定的用户名,或接纳“%组名”的情势(授权一个组的所有用户)。
主机(MACHINE):使用此配置文件的主机名称。此部门紧张是方便在多个主机间共用同一份 sudoers 文件,一样平常设为 localhost 大概实际的主机名即可。
下令(COMMANDS):允许授权的用户通过 sudo方式执行的特权下令,需填写下令程序的完备路径,多个下令之间以逗号“,”进行分隔。
实例1:
1.输入visudo进入配置文件,设yy用户能在所有主机上拥有创建和删除用户的root权限
https://img-blog.csdnimg.cn/direct/f25295ea48cd44daab291f9b3b793be2.png
2.测试
sudo -l 可以查看当前用户可以执行的sudo下令
https://img-blog.csdnimg.cn/direct/b2e4ecfa8a4441d9ab9956a9282f7c6c.png
https://img-blog.csdnimg.cn/direct/de40cce7b234465abee76684ef21899f.png
实例2:
设置yy01只能在localhost这台终端上使用无密码登陆
https://img-blog.csdnimg.cn/direct/acf7ec33aec147e5b2fe6ad6bbd08aa6.png
https://img-blog.csdnimg.cn/direct/54983a30469649639ab64be2134713e8.png
在visudo里设置别名
当使用雷同授权的用户较多时,大概雷同下令较多时,可以界说别名
User_Alias: 用户别名
Host_Alias: 主机别名
Cmnd_Alias: 下令别名
实例1:
1.设置用户的别名,只允许YYHOST里的终端,可以使用YYCMND里的下令
YYUSER YYHOST=NOPASSWD:YYCMND
如果添加的是组的话(只必要在组号前添加%):
USER_Alias YYUSER=yy,%yy01
https://img-blog.csdnimg.cn/direct/226e4ca79ced46ba971416dbd048b053.png
如果有不允许的下令可以添加 !
Cmnd_Alias YYCMND =/usr/bin/passwd,!usr/bin/passwd root
允许修改其他用户的密码,但是不允许修改root用户的
2.检查用户yy的权限
https://img-blog.csdnimg.cn/direct/6e91c966fa024928b87170bbf99f307a.png
https://img-blog.csdnimg.cn/direct/75c493954c68498fb43cc33696008831.png
三、设置GRUB密码
1.使用 grub2-setpasswd 设置密码
https://img-blog.csdnimg.cn/direct/076986b950e443aba3d6292ff813e7fb.png
2.设置乐成,非root用户无法编辑GRUB
https://img-blog.csdnimg.cn/direct/6dd30079a7fc468e9ed17a0e7e4492a6.png
3.取消密码设置
https://img-blog.csdnimg.cn/direct/60fb3288a4534886807fb7985af8716c.png
四、禁止终端登陆
1.vi /etc/securetty
选定tty2前加#
https://img-blog.csdnimg.cn/direct/6f00e1e7c3274459ab3514edc38580bc.png
2.crtl+alt+f2 进入tty2终端,发现无法登陆
https://img-blog.csdnimg.cn/direct/c487b53378e64ebfac895f180a3d818f.png
3.其他用户不受影响https://img-blog.csdnimg.cn/direct/1366bdf852a34a338cdbdd0c85fc072f.png
五、体系弱口令检测
Joth the Ripper,简称JR
一款开源的密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
1.把安装包放入liunx中
https://img-blog.csdnimg.cn/direct/0c0fdacf5396455b9d5f86c97e2a57cc.png
2.输入安装下令
cd /opt
tar zxvf john-1.9.0.tar.gz #解压工具包
yum -y install gcc gcc-c++ make #安装软件编译工具
cd /opt/john-1.9.0/src
make clean linux-x86-64 #切换到src子目录,进行编译安装
cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件
cd /opt/john-1.9.0/run
./john /opt/shadow.txt #切换到run子目录,执行暴力破解
./john --show /opt/shadow.txt #查看已破解出的账户列表
john. pot #清空己破解出的账户列表,以便重新分析
3.查看破解的密码
https://img-blog.csdnimg.cn/direct/9307554c025e4bc4b2c7cbd3ec472e63.png
六、网络端口扫描
https://img-blog.csdnimg.cn/direct/cd87344e286e46a7b436688187455716.png
NMAP是一个强盛的端口扫描类安全评测工具,支持 ping 扫描、多端口检测等多种技能
1.安装NMAP 软件包
yum install -y nmap
2.扫描常用的 TCP 端口
nmap -sT 127.0.0.1
https://img-blog.csdnimg.cn/direct/61bde687952e4a45b823e85ce4bec202.png
3.扫描常用的 UTP 端口
nmap -sU 127.0.0.1
https://img-blog.csdnimg.cn/direct/d43a4411f74e453d8411d32deb7619cd.png
4.ICMP 扫描
nmap -sP 127.0.0.1
https://img-blog.csdnimg.cn/direct/b51149cd11fb4d52b6e8a935e903612a.png
七、通过pam 模块来防止暴力破解ssh
vim /etc/pam.d/sshd #进入配置文件
https://img-blog.csdnimg.cn/direct/720192ac1fe24b91a1f0aeb08049b7b3.png
注解:
deny 指定最大几次认证错误,如果超出此错误,将执行背面的计谋。如锁定N秒,如果背面没有其他计谋指定时,默认永远锁定,除非手动解锁。
lock_time 锁定多长时间,按秒为单位;
unlock_time 指定认证被锁后,多长时间主动解锁用户;
even_deny_root root用户在认证出错时,一样被锁定
root_unlock_time root用户在登录失败时,锁定多长时间。该选项一样平常是共同even_deny_root 一起使用的。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]