一.開關機安全控制

① 調整BIOS引導設定

? 將第一引導設備設為當前系統所在硬碟

? 禁止從其他設備(光碟、U盤、網路)引導系統

? 將安全級別設為setup,并設定管理員密碼

② GRUB限制

? 使用grub2-mkpasswd-pbkdf2生成密鑰

? 修改/etc/grub.d/00_ header檔案中， 添加密碼記錄

? 生成新的grub.cfg組態檔

限制更改GRUB 引導引數

通常情況下在系統開機進入GRUB選單時，按 e 鍵可以查看并修改GRUB引導引數，這對服務器是–個極大的威脅

可以為GRUB選單設定一個密碼，只有提供正確的密碼才被允許修改引導引數

grub2 -mkpasswd-pbkdf2
#根據提示設定GRUB選單的密碼

PBKDF2 hash of your password is grub. pbkdf2...
#省略部分內容為經過加密生成的密碼字串

cp /boot/grub2/grub.cfg /boot/grub2/grub. cfg .bak
cp /etc/grub.d/00_ header /etc/grub.d/00_ header . bak

vim /etc/grub.d/00_ header
cat << EOF

set superusers=" root "
#設定用戶名為root

password_ pbkdf2 root grub . pbkd2....
#設定密碼，省略部分內容為經過加密生成的密碼字串
EOF

grub2-mkconfig -o /boot/grub2/grub.cfg 
#生成新的 grub.cfg 檔案

重啟系統進入GRUB選單時，按e鍵將需要輸入賬號密碼才能修改引導引數

二.終端登錄安全控制

① 限制root只在安全終端登錄

安全終端配置：/etc/securetty

② 禁止普通用戶登錄

? 建立/etc/nologin檔案

? 洗掉nologin檔案或重啟后即恢復正常

詳情：

禁止root用戶登錄

在Linux系統中，login 程式會讀取/etc/securetty檔案，以決定允許root 用戶從哪些終端(安全終端)登錄系統

vi /etc/ securetty
#tty5
#tty6

禁止普通用戶登錄

login程式會檢查/etc/nologin檔案是否存在，如果存在，則拒絕普通用戶登錄系統(root 用戶不受限制)

touch /etc/nologin
#禁止普通用戶登錄

rm -rf /etc/ nologin
#取消登錄限制

舉例

vim /etc/securetty
限制root只在安全終端登錄





注：按ctrl+Alt+F1回到圖形化界面

建立/etc/nologin檔案
禁止普通用戶登錄

注：此操作是臨時性的，且只對普通用戶有用

三.系統弱口令檢測

John the Ripper是一款開源的密碼破解工具，可使用密碼字典(包含各種密碼組合的串列檔案)來進行暴力破解

① Joth the Ripper,簡稱為 JR

? 一款密碼分析工具，支持字典式的暴力破解

? 通過對shadow檔案的口令分析，可以檢測密碼強度

? 官方網站: http://www.openwall.com/john/

② 安裝JR工具

? 安裝方法
make clean 系統型別

? 主程式檔案為john

③ 檢測弱口令賬號

? 獲得Linux/Unix服務器的shadow檔案

? 執行john程式，將shadow檔案作為引數

④ 密碼檔案的暴力破解

? 準備好密碼字典檔案，默認為password.lst

? 執行john程式，結合- -wordlist=字典檔案

詳情步驟：

cd /opt
tar zxvf john-1.8.0.tar.gz
#解壓工具包

yum install -y gcc gcc-c++ make
#安裝軟體編譯工具

cd /opt/john-1.8.0/src
#切換到src子目錄

make clean linux-x86-64
#進行編譯安裝

cp /etc/shadow /opt/shadow.txt
#準備待破解的密碼檔案

cd /opt/john-1.8.0/ run
./john /opt/shadow.txt
#執行暴力破解

./john --show /opt/ shadow.txt
#查看E破解出的賬戶串列

#使用密碼字典檔案
 > john.pot
#清空已破解出的賬戶串列,以便重新分析

./john --wordlist=. /password.lst /opt/shadow.txt
#使用指定的字典檔案進行破解

四.網路埠掃描

NMAP是一個強大的端1掃描類安全評測工具，支持ping掃描、多埠檢測等多種技術

安裝NMAP軟體包
rpm -qa | grep nmap
yum install -y nmap

① NMAP

namp 【掃描型別】【選項】<掃描目標>

? 一款強大的網路掃描、安全檢測工具

? 官方網站: htp://nmap.org/

? CentOS 7.3光碟中安裝包nmap-6.40-7.el7 .x86_ 64.rpm

② 常用的選項和掃描型別

-p: 指定掃描的埠

-n: 禁用反向DNS 決議(以加快掃描速度)

-sS:TCP的SYN掃描(半開掃描)，只向目標發出SYN資料包，如果收到SYN/ACK回應包就認為目標埠正在監聽，并立即斷開連接;否則認為目標埠并未開放

-sT: TCP連接掃描，這是完整的TCP掃描方式(默認掃描型別)，用來建立一個TCP連接，如果成功則認為目標埠正在監聽服務，否則認為目標埠并未開放

-sF: TCP的FIN掃描，開放的埠會忽略這種資料包，關閉的埠會回應RST資料包，許多防火墻只對sYN資料包進行簡單過濾，而忽略了其他形式的TCP攻擊包，這種型別的掃描可間接檢測防火墻的健壯性

-sU: UDP掃描，探測目標主機提供哪些UDP服務，UDP掃描的速度會比較慢

-sP: ICMP 掃描，類似于ping 檢測，快速判斷目標主機是否存活，不做其他掃描

-P0: 跳過ping檢測，這種方式認為所有的目標主機是存活的，當對方不回應ICMP請求時，使用這種方式可以避免因無法
ping通而放棄掃描

netstat -natp
查看正在運行的使用TCP協議的網路狀態資訊

netstat -naup
查看正在運行的使用UDP協議的網路狀態資訊

natstat命令常用選項:
-a: 顯示主機中所有活動的網路連接資訊(包括監聽、非監聽狀態的服務埠)

-n: 以數字的形式顯示相關的主機地址、端CI等資訊

-t: 查看TCP相關的資訊

-u: 顯示UDP協議相關的資訊

-P: 顯示與網路連接相關聯的行程號、行程名稱資訊( 該選項需要root 權限)

-r: 顯示路由表資訊

-l:顯示處于監聽狀態的網路連接及埠資訊

示例:

#分別查看本機開放的TCP埠、UDP埠
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1

注：127.0.0.1本機回環網口

#檢測192.168.116.0/24網段有哪些主機提供HTTP服務
nmap -p 116 192.168.116.0/24

#檢測192.168.116.0/24網段有哪些存活主機
nmap -n -sP 192.168.116.0/24

舉例

netstat -natp
查看正在運行的使用TCP協議的網路狀態資訊

netstat -naup
查看正在運行的使用UDP協議的網路狀態資訊

總結

1.開關機安全控制（主要是為了限制更改GRUB引導引數）

2.終端登錄安全控制

? 限制root只在安全終端登錄/etc/securetty

? 禁止普通用戶登錄
? 建立/etc/nologin檔案
? 洗掉nologin檔案或重啟后即恢復正常

3.系統弱口令檢測

使用密碼字典(包含各種密碼組合的串列檔案)來進行暴力破解
make clean 系統型別，主程式檔案為john

? tar zxvf john-1.8.0.tar.gz
#解壓JR工具包

? yum install -y gcc gcc-c++ make
#安裝軟體編譯工具

? cd /opt/john-1.8.0/src
#切換到src子目錄

? make clean linux-x86-64
#進行編譯安裝

? cp /etc/shadow /opt/shadow.txt
#準備待破解的密碼檔案

? cd /opt/john-1.8.0/ run
./john /opt/shadow.txt
#執行暴力破解

?./john --show /opt/ shadow.txt
#查看E破解出的賬戶串列

四.網路埠掃描

nmap常用選項：-p、-n、-sS、-sT、-sF、-sU、-sP、-P0

netstat -natp
查看正在運行的使用TCP協議的網路狀態資訊

netstat -naup
查看正在運行的使用UDP協議的網路狀態資訊