文章目錄
- 一、賬號安全控制
- 1.1 賬號清理
- 1.2 鎖定賬號檔案chattr
- 1.3 密碼安全控制
- 1.4 命令歷史限制
- 二、su與sudo
- 2.1 su命令
- 2.1.1 su命令的安全隱患
- 2.2 sudo命令
- 三、安全控制
- 3.1 PAM可插拔式認證模塊
- 3.1.1 PAM認證原理
- 3.1.2 PAM認證的構成
- 3.1.3 PAM安全認證型別
- 3.2 開關機安全控制
- 3.2.1 調整BIOS引導設定
- 3.2.2 GRUB限制
- 3.2.3 命令程序
- 3.3 終端登錄安全控制
- 3.4 系統弱口令監測
- 3.4.1 John簡單密碼暴力破解命令
- 3.5 網路埠掃描NMAP
- 3.5.1 NMAP掃描
- 3.5.2 常用的掃描型別
一、賬號安全控制
1.1 賬號清理
賬號清理手段
- 將非登錄的用戶的shell設為 /sbin/nologin
- 鎖定長期不使用的賬戶
- 洗掉無用的賬號
- 鎖定賬號檔案passwd,shadow
賬號清理的具體命令
useradd命令
useradd -s /sbin/nologin 用戶名 ## 創建賬戶的時候設定為不可登錄
usermod命令
usermod -L 用戶名 ## 鎖定已創建好的賬戶
usermod -U 用戶名 ## 與 -L對應解鎖鎖定的賬戶
passwd命令
passwd -l 用戶名 ## 鎖定已創建的賬戶
passwd -u 用戶名 ## 對 -l對應解鎖鎖定的賬戶
userdel命令
userdel [-r] 用戶 ## 洗掉用戶,加 -r洗掉用戶時宿主目錄也會被洗掉
1.2 鎖定賬號檔案chattr
chattr的命令
[root@server1 ~]# chattr +i /[目錄] ## 對該目錄進行保護,不能對該目錄進行洗掉、改名、設定鏈接關系,同時不能寫入或新增內容
[root@server1 ~]# chattr -i /[目錄] ## 解鎖該目錄的鎖定,可正常對該目錄進行操作
[root@server1 ~]# lsattr 目錄 ## 與chattr搭配使用,查看chatte操作后的狀態
chattr命令的用法
| 選項 | 作用 |
|---|---|
| + | 在原有引數設定的基礎上,追加引數 |
| - | 在原有引數設定基礎上,移除引數 |
| = | 更新為指定引數設定 |
chattr的常用選項
| 選項 | 作用 |
|---|---|
| i | 設定檔案不能被洗掉、改名、設定鏈接關系,同時不能寫入或新增內容 |
| a | 設定改引數后,只能向該檔案中添加資料,而不能移除,多用于服務器日志檔案安全,只有root才能設定這個屬性 |
chattr的注意事項
chattr命令不能保護 /、/dev、/tmp、/var 目錄
1.3 密碼安全控制
設定密碼有效期
要求用戶下次登錄時修改密碼
[root@server1 ~]# chage -M 30 用戶名 ## 設定該用戶密碼可用時間30天
[root@server1 ~]# chage -d 0 用戶名 ## 設定該用戶下次登錄時修改密碼
1.4 命令歷史限制
減少記錄的命令條數
[root@server1 ~]# vi /etc/profile ## 進入該檔案
HISTSIZE = 100 ## 將命令條數限制為100,默認為1000
注銷時自動清空命令歷史
[root@server1 ~]# vi .bash_logout ## 進入注銷設定命令
~/.bash_logout ## 如果前面有#的需要將#去掉
history -c ## 清空歷史
clear ## 清屏
echo ""> /root/.bash_history ## 將.bash_history目錄清空
[root@server1 ~]#source .bash_history ## 不關機的情況下執行上述命令
二、su與sudo
2.1 su命令
作用
切換用戶
格式
su 用戶名稱
密碼驗證
- root用戶切換到其他用戶時不需要驗證密碼
- 普通用戶切換到其他用戶時需要驗證密碼
除root用戶外允許使用su命令的條件
默認注釋掉執行非wheel組用戶無法使用su命令
2.1.1 su命令的安全隱患
默認情況下,任何用戶都允許使用su命令,有機會反復嘗試其他用戶(如root)的登錄密碼,會帶來安全隱患,
為了加強su命令的使用控制,可借助于PAM認證模塊,只允許極個別用戶使用su命令進行切換,
2.2 sudo命令
- 配置sudo授權
在visudo 或者vi /etc/sudoers檔案中修改 - 記錄格式
用戶 主機名串列=命令程式串列
三、安全控制
3.1 PAM可插拔式認證模塊
- 是一種高級且靈活便利的用戶級別的認證方式
- 也是當前linux服務器普遍使用的認證方式
3.1.1 PAM認證原理
- service(服務)→PAM(組態檔)→PAM_*.so
- 首先要確定哪一項服務,然后加載相應的PAM的組態檔(位于 /etc/pam.d下),最后呼叫認證檔案(位于 /lib/security下)進行安全認證
- 用于訪問服務器時,服務器的某一個服務器程式把用戶的請求發送到PAM模塊進行認證
- 不同的應用程式所對應的PAM模塊是不同的
3.1.2 PAM認證的構成
查看某個程式是否支持PAM認證,可用ls命令
ls /etc/pam.d | grep su
查看su的PAM的組態檔
cat /etc/pam.d/su
每一行都是一個獨立的認證程序,每行可以區分為3個欄位
認證型別
控制型別
PAM模塊及基引數
3.1.3 PAM安全認證型別
控制型別也稱作Control Flags,用于PAM驗證型別的回傳結果
- required驗證失敗時仍然繼續,但回傳Fail;
- requisite驗證失敗則立即結束整個驗證程序,回傳Fail;
- sufficient驗證成功則立即回傳,不在繼續,否則忽略結果并繼續;
- optional不用于驗證,為顯示資訊(通常用于session型別)
3.2 開關機安全控制
3.2.1 調整BIOS引導設定
- 將第一引導設備設為當前系統所在硬碟
- 禁止其它設備(光碟、U盤、網路)引導系統
- 將安全級別setup并設定管理員密碼
3.2.2 GRUB限制
- 使用grub2-mkpasswd-pbkdf2生成密鑰
- 修改 /etc/grub.d/00_header 檔案中添加密碼記錄
- 生成新的grub.cfg組態檔
3.2.3 命令程序
grub2-mkpasswd-pbkdf2 ## 生成密鑰
復制is后的密碼
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
vi /etc/grub.d/00_header ## 進入檔案中
cat << EOF
set superusers="root"
password_pbkdf2 root
粘貼上面已復制的密碼
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg ## 使密鑰生效
3.3 終端登錄安全控制
限制root只在安全終端登錄
安全終端配置: /etc/securetty
禁止普通用戶登錄
在root目錄下新建 /etc/nologin檔案
洗掉nologin檔案或重啟即恢復正常
3.4 系統弱口令監測
- Joth the Ripper,簡稱JR,是一款密碼分析工具,支持字典式的暴力破解
- 通過對shadow檔案的口令分析,可以檢測密碼強度
- 官方網站:http://www/openwall.com/john/
3.4.1 John簡單密碼暴力破解命令
方式一:
匯入john.tar.gz壓縮包
tar.zxvf john.tar.gz ## 解壓john壓縮包
cd john-1.8.0
cd src
make clean linux-x86-64 ## 執行編譯檔案
ls .. /run/john ## 查看上一級目錄是否生成john程式
cp /etc/shadow root/shadow.txt ## 復制密碼檔案
.john /root/shadow.txt ## 破譯賬戶弱密碼
.john --show /root/shadow.txt ## 查看已破譯出的賬戶串列
方式二
:> john.pot
./john --wordlist=./password.lst /root/shadow.txt
./john --show /root/shadow.txt
3.5 網路埠掃描NMAP
- 一款強大的網路掃描,安全檢測工具
- 官網:http://nmap.org/
- CentOS7.3光碟中的安裝包 nmap-6.40-7.e17.x86_64.rpm
3.5.1 NMAP掃描
nmap [掃描型別] [選項] <掃描目標>
3.5.2 常用的掃描型別
| 選項 | 作用 |
|---|---|
| -sT | tcp掃描連接 |
| -sU | udp掃描連接 |
| -sP | icmp掃描 |
| -sS | tcp syn掃描 |
| -sF | tcp fin掃描 |
| -P | 指定埠掃描 |
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/194932.html
標籤:其他
上一篇:deepin 一鍵安裝php環境
下一篇:【考研政治】毛中特(思維導圖)