文章目錄
- 前言
- 一、系統引導和登錄控制
- 1.限制更改GRUB引導引數
- 2、禁止root用戶登錄
- 3、禁止普通用戶登錄
- 二、弱口令檢測與埠掃描
- 1.弱口令檢測——John the Ripper
- 2、網路埠掃描——NMAP
- ①安裝 NMAP 軟體包
- ②掃描語法及型別
- 總結
前言
在互聯網環境中,大部分服務器是通過遠程登錄的方式來進行管理的,而本地引導和終端控制登錄程序往往容易被忽視,從而留下安全隱患,特別是當服務器所在的機房環境缺乏嚴格、安全的管控制度時,如果防止其他用戶的非授權介入,就成為必須重視的問題,
一、系統引導和登錄控制
1.限制更改GRUB引導引數
- 通常情況下在系統開機進入GRUB選單時,按e鍵可以查看并修改GRUB引導引數,這對服務器是一個極大的威脅,
- 為了加強對引導程序的安全控制,可以為GRUB選單設定一個密碼,只有提供正確的密碼才被允許修改引導引數,
grub2-mkpasswd-pbkdf2 #根據提示設定GRUB 選單的密碼
PBKDF2 hash of your password is grub.pbkdf2…… #省略部分內容為經過加密生成的密碼字串
vim /etc/grub.d/00_header
#按G"跳轉至最后一行,添加以下內容:
cat << EOF
set superusers="root"
#設定用戶名為root
password pbkdf2 root grub.pbkdf2…… #設定密碼,省略部分內容為經過加密生成的密碼字串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg #生成新的 grub.cfg 檔案
reboot #重啟,測驗
2、禁止root用戶登錄
- 在 Linux 系統中,login 程式會讀取 /etc/securetty 檔案,以決定允許 root 用戶從哪些終端(安全終端)登錄系統
- 若要禁止 root 用戶從指定終端登錄,可以修改 /etc/securetty 檔案
vim /etc/securetty
3、禁止普通用戶登錄
- 當服務器正在進行備份或除錯等維護作業時,可能不希望再有新的用戶登錄系統,這時候,只需要簡單的建立 /etc/nologin 檔案即可
- login 程式會檢查 /etc/nologin 檔案是否存在,如果存在則拒絕普通用戶登錄系統
- root 用戶不受此限制
touch /etc/nologin #創建/etc/nologin檔案即禁止普通用戶登錄
#以上方法實際上是利用了 shutdown 延遲關機的限制機制,只建議在服務器維護期間臨時使用
rm -rf /etc/nologin #洗掉該檔案即取消登錄限制,恢復正常
二、弱口令檢測與埠掃描
1.弱口令檢測——John the Ripper
-
在 Internet 環境中,過于簡單的口令是服務器面臨的最大風險,盡管大家都知道,設定一個更長、更復雜的口令會更加安全,但總是會有一些用戶因貪圖方便而采用簡單、易記的口令字串,對于任何一個承擔著安全責任的管理員,及時找出這些弱口令賬戶,是非常必要的,這樣便于采取進一步的安全措施(如提醒賬號重設更安全的口令)
-
John the Ripper 是一款開源的密碼破解工具,能夠在已知密文的情況下快速分析
出明文的密碼字串,支持 DES,MD5 等多種加密演算法,而且允許使用密碼字典(包含各種密碼組合的串列檔案)來進行暴力破解 -
通過使用 John the Ripper,可以檢測
Linux/UNIX 系統用戶的密碼強度
cd /opt
#解壓工具包
tar. zxvf john-1.8.0.tar.gz #安裝軟體編譯工具
yum install -y gcc gcc-c++ make #切換到src子目錄
cd /opt/john-1.8.0/src #進行編譯安裝
make clean linux-x86-64 #準備待破解的密碼檔案
cp /etc/shadow /opt/shadow.txt #執行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt #查看已破解出的賬戶串列
./john --show /opt/shadow.txt #使用密碼字典檔案
> john. pot #清空已破解出的賬戶串列,以便重新分析
./john --wordlist=./password.1st /opt/shadow.txt #使用指定的字典檔案進行破解
2、網路埠掃描——NMAP
- NMAP 是一個強大埠掃描類安全評測工具,NAMP 被設計為檢測主機數量眾多的巨大網路,支持 ping 掃描、多埠檢測、OS 識別等多種技術
- 使用 NAMP 定期掃描內部網路,可以找出網路中不可控的應用服務,及時關閉不安全的服務,減小安全風險
控制位
SYN 建立鏈接
ACK 確認
FIN 結束斷開
PSH 傳送 0 資料快取 上層應用協議
RST 重置
URG 緊急
①安裝 NMAP 軟體包
rpm -qa|grep nmap #查看nmap
yum install -y nmap #安裝nmap
②掃描語法及型別
- NAMP 的掃描程式位于 /usr/bin/nmap 目錄下,使用時基本命令格式如下所示
nmap [掃描型別] [選項] <掃描目標...>
- 其中掃描目標可以是主機名、IP 地址或網路地址等,多個目標以空格分割
- 常用選項有“-p”、“-n”,分別用來指定掃描的埠、禁用反向 DNS 決議(以加快掃描速度)
- 掃描型別決定檢測的方式,也影響掃描的結果
- 比較常見的幾種掃描型別如下:
| 常用選項 | 對應掃描型別 |
|---|---|
| -sS | TCP 的 SYN 掃描(半開掃描):只向目標發出 SYN 資料包,如果收到 SYN/ACK 回應包就認為目標埠正在監聽,并立即斷開連接;否則認為目標埠并未開放 |
| -sT | TCP 連接掃描:這是完整的 TCP 掃描方式(默認掃描型別),用來建立一個 TCP 連接,如果成功則認為目標埠正在監聽服務,否則認為目標埠并未開放 |
| -sF | TCP 的 FIN 掃描:開放的埠會忽略這種資料包,關閉的埠會回應 RST 資料包;許多防火墻只對 SYN 資料包進行簡單過濾,而忽略了其他形式的 TCP 攻擊包;這種型別的掃描可間接檢測防火墻的健壯性 |
| -sU | UDP 掃描:探測目標主機提供哪些 UDP 服務,UDP 掃描的速度會比較慢 |
| -sP | ICMP 掃描:類似于 ping 檢測,快速判斷目標主機是否存活,不做其他掃描 |
| -P0 | 跳過 ping 檢測:這種方式認為所有的目標主機是存活的,當對方不回應 ICMP 請求時,可以使用這種方式,避免因無法 ping 通而放棄掃描 |
示例:
#分別查看本機開放的TCP埠、UDP埠
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1
#檢測192.168.80.0/24網段有哪些主機提供HTTP服務
nmap -p 80 192.168.80.0/24
#檢測192.168.80.0/24網段有哪些存活主機
nmap -n -sP 192.168.80.0/24
總結
NMAP 提供的掃描型別、選項還有很多很多,適用于不同掃描的需求,更多用法大家可以自行去探索,這里就不一 一展示了,記得雙擊么么噠
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/295090.html
標籤:其他
上一篇:linux學習記錄:用戶與/etc/passwd與/etc/shadow
下一篇:服務器流量收集