ToB企服应用市场:ToB评测及商务社交产业平台

标题: 系统安全及应用 [打印本页]
作者: 宝塔山    时间: 2024-6-14 22:48
标题: 系统安全及应用
10.1  账号安全控制

10.1.1基本安全步调

种别
 子项
 形貌与操作
账号安全控制
 基本安全步调
 
  禁止登录终端
 设置登录 shell 为
/sbin/nologin
  锁定账号
 使用
usermod -L 用户名
锁定账号,
usermod -U 用户名
解锁账号
  锁定文件
 使用
chattr +i
锁定
/etc/passwd

/etc/shadow
文件,防止修改
   使用
lsattr
查看文件隐蔽属性
暗码安全控制
 暗码有用期设置
 查看
/etc/shadow
文件中用户暗码的具体信息
   修改
/etc/login.defs
文件中的
PASS_MAX_DAYS
设置暗码最长过期天数

(1)chatter文件隐蔽属性参数阐明:


(2)lsattr显示隐蔽文件属性参数阐明


10.1.2:暗码安全控制

在 /etc/shadow 文件中,每个用户账号的暗码信息都存储为一行,并且使用冒号()分隔成多个字段
  1. [root@localhost ~]# cat /etc/shadow
  2. root:$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./::0:99999:7:::
复制代码
下面对每组的解释:
字段
 含义
 示例值
用户名
 用户的登录名
 root
加密后的暗码
 使用
$id$salt$hashed
格式加密的暗码
 $6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./
暗码末了一次更改日期
 从1970年1月1日算起的天数
 ::
(这里为占位符,现实值应为一个数字)
暗码最小年龄
 暗码更改后必须保持的最小天数
 0
暗码最大年龄
 暗码到期前的天数(暗码有用期)
 99999
(通常表现暗码永不过期)
暗码到期前的警告天数
 暗码到期前多少天开始警告用户
 7
暗码到期后账号的宽限期
 暗码过期后用户还可以登录的天数
 ::
(这里为占位符,现实值应为一个数字)
账号失效日期
 账号过期的日期(从1970年1月1日算起的天数)
 ::
(这里为占位符,现实值应为一个数字)
保留字段
 保留给未来使用
 ::
(通常为空或占位符)
(1)暗码有用期的设置

新建用户可以通过修改login.defs文件修改暗码有用期
  1. PASS_MAX_DAYS   99999  
  2. PASS_MIN_DAYS   0  
  3. PASS_MIN_LEN    5  
  4. PASS_WARN_AGE   7
复制代码

PASS_MIN_LEN的值必要在/etc/pam.d/system-auth文件中设置,此处设置是不生效的,此参数由pam认证机制决定。
以下方式设置用户最短暗码策略
[root@localhost ~]# vim /etc/pam.d/system-auth
添加:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12
10.1.3 下令历史,自动注销的步骤

序号
 操作目标
 下令或配置
 解释
1
 为新登录的用户设置下令历史
 vi /etc/profile
,添加
HISTSIZE=20
 修改
/etc/profile
文件,为新登录用户设置下令历史记录的最大数量为20条。
2
 为已登录的当前用户设置下令历史
 export HISTSIZE=200
 为当前已登录的shell会话设置下令历史记录的最大数量为200条。
3
 清空历史下令
 vi ~/.bash_logout
,添加
history -c

clear
 在用户的
~/.bash_logout
文件中添加
history -c
下令以清空历史记录,
clear
下令用于扫除屏幕内容。但这并不是真正在注销时清空历史记录的正确方法,因为
history -c
通常在当前shell会话中有用,并不会影响已保存的历史文件(如
~/.bash_history
)。
4
 检查下令历史的扫除结果
 logout
后重新登录,
history
查看
 在终端中输入
logout
注销用户,然后重新登录并使用
history
下令查看历史记录是否被清空。但如前所述,
history -c
的结果可能不会在重新登录时体现。
5
 新登录用户设置空闲自动注销
 vi /etc/profile
,添加
export TMOUT=600
 修改
/etc/profile
文件,为新登录用户设置空闲时间达到600秒(10分钟)后自动注销。
6
 当前已登录用户设置空闲自动注销
 export TMOUT=600
 为当前已登录的shell会话设置空闲时间达到600秒(10分钟)后自动注销。
10.2用户切换与提权

10.2.1.su下令

(1)su切换用户

  1. [root@localhost ~]# su lisi
  2. [lisi@localhost root]$
复制代码
(2)只允许指定的用户使用su进行切换

  1. [root@localhost ~]# gpasswd -a zhangsan wheel
  2. 正在将用户“zhangsan”加入到“wheel”组中
  3. [root@localhost ~]#
  4. [root@localhost ~]# vim /etc/pam.d/su
  5. #auth            required        pam_wheel.so use_uid
  6. 把这一行#去掉
复制代码
3:sudo下令提权

(1)在配置文件/etc/sudoers中添加授权

  1. [root@localhost ~]# visudo
  2. root    ALL=(ALL)       ALL
  3. zhangsan ALL=(ALL)     ALL
复制代码
 
10.3:系统引导和登录控制

10.3.1:开关机安全控制

1:调整 BIOS 引导设置

2:限定更改 GRUB 引导参数(为GRUB添加暗码)

(1)天生密文暗码
  1. [root@localhost ~]# grub2-mkpasswd-pbkdf2
  2. 输入口令:
  3. Reenter password:
  4. PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
  5. [root@localhost ~]#
  6. [root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
  7. [root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
  8. [root@localhost ~]# vim /etc/grub.d/01_users
  9. cat << EOF
  10. set superusers="root"
  11. export superusers
  12. password_pbkdf2 root grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
  13. EOF
  14. [root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
  15. 重启进入GRUB测试密码
  16. 在GRUB菜单处第一行按下字母e,提示输入账号和密码
复制代码
10.3.2:弱口令检测,端口扫描

1:弱口令检测-John the Ripper

  1. 在GRUB菜单处第一行按下字母e,提示输入账号和密码
  3. 三:弱口令检测,端口扫描
  4. 3.1:弱口令检测-John the Ripper
  5. # 安装 John the Ripper  
  6. tar zxf john-1.8.0.tar.gz  
  7. cd john-1.8.0/src/  
  8. yum -y install gcc libssl-devel libunistring-devel  
  9. make clean linux-x86-64  
  10.   
  11. # 复制 shadow 文件(注意:此操作可能存在安全风险,请确保你有权限这样做)  
  12. cp /etc/shadow /root/shadow.txt  
  13.   
  14. # 检测弱口令  
  15. cd /root/john-1.8.0/run/  
  16. ./john /root/shadow.txt  
  17.   
  18. # 查看检测结果  
  19. ./john --show /root/shadow.txt  
  20.   
  21. # 使用密码字典检测  
  22. vim /root/pass.list  
  23. ./john --wordlist=/root/pass.list /root/shadow.txt  
  24. ./john --show /root/shadow.txt
复制代码
2:网络扫描NMAP

  1. # 安装 NMAP  
  2. yum install -y nmap  
  3.   
  4. # 扫描本机  
  5. nmap 127.0.0.1  
  6.   
  7. # 扫描常用 UDP 端口  
  8. nmap -sU 127.0.0.1  
  9.   
  10. # 显示网络接口(仅为了确认IP地址)  
  11. ifconfig  
  12.   
  13. # 扫描网段中启用 21 端口的主机  
  14. nmap -p 21 192.168.10.0/24  
  15.   
  16. # 扫描存活主机  
  17. nmap -sn 192.168.10.0/24  
  18.   
  19. # 扫描主机是否开启 SMB 共享(139, 445 端口)  
  20. nmap -p 139,445 192.168.10.10-20  
  21.   
  22. # 扫描类型示例  
  23. # TCP SYN 扫描  
  24. nmap -sS 192.168.10.10  
  25.   
  26. # TCP 连接扫描  
  27. nmap -sT 192.168.10.10  
  28.   
  29. # TCP FIN 扫描  
  30. nmap -sF 192.168.10.10  
  31.   
  32. # UDP 扫描  
  33. nmap -sU 192.168.10.10  
  34.   
  35. # ICMP 扫描  
  36. nmap -sn 192.168.10.10  
  37.   
  38. # 跳过 ping 检测  
  39. nmap -Pn 192.168.10.103
复制代码
 
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4