一、账号安全控制 账号安全基本措施 1、系统账号清理 - 将非登录用户的Shell设为/sbin/nologin
1
2
Useradd –s /sbin/nologin
Usermod -s
- 锁定长期不使用的账号
- 删除无用的账号
- 锁定账号文件passwd、shadow
1
2
3
4
5
6
7
8
9
10
[iyunv@localhost~]# chattr +i /etc/passwd /etc/shadow
[iyunv@localhost~]# lsattr /etc/passwd /etc/shadow \\锁定文件并查看状态
----i-------e-/etc/passwd
----i-------e-/etc/shadow
[iyunv@localhost ~]# chattr -i /etc/passwd /etc/shadow
[iyunv@localhost ~]# lsattr /etc/passwd /etc/shadow //解锁文件并查看状态
------------e- /etc/passwd
------------e- /etc/shadow
2、密码安全控制 - 设置密码有效期
- 要求用户下次登录时修改密码
1
2
3
4
5
6
7
[iyunv@localhost~]# vi /etc/login.defs //适用于新建用户
……
PASS_MAX_DAYS 30
[iyunv@localhost~]# chage -M 30 lisi //适用于已有用户
[iyunv@localhost ~]# chage -d 0 zhangsan //强制在下次登录时更改密码
3、命令历史限制 - 减少记录的命令条数
1
2
3
[iyunv@localhost~]# vi /etc/profile
……
HISTSIZE=200
- 注销时自动清空命令历史
1
2
3
4
[iyunv@localhost~]# vi ~/.bash_logout
……
history-c
clear
4、终端自动注销 - 闲置600秒后自动注销
1
2
3
[iyunv@localhost ~]# vi ~/.bash_profile
……
export TMOUT=600
5、使用su命令切换用户 用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户
-限制使用su命令的用户
-启用pam_wheel认证模块
1
2
3
4
[iyunv@localhost~]# vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
--将允许使用su命令的用户加入wheel组
1
2
3
[iyunv@localhost ~]# gpasswd -a tsengyia wheel
tsengyia
正在将用户“tsengyia”加入到“wheel”组中
6、使用sudo机制提升权限 用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
-配置sudo授权
visudo 或者 vi /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
1
2
3
4
5
6
7
8
[iyunv@localhost~]# visudo
……
%wheel ALL=NOPASSWD: ALL
jerry localhost=/sbin/ifconfig
syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route //可以使用通配符*、取反符号!
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum //类似别名还包括:
User_Alias、Host_Alias
mike localhost=PKGTOOLS
7、修改ssh端口号,禁止root远程登录
二、系统引导和登录控制 1、开关机安全控制 - 调整BIOS引导设置
--将第一引导设备设为当前系统所在硬盘
--禁止从其他设备(光盘、U盘、网络)引导系统
--将安全级别设为setup,并设置管理员密码
- 禁用重启热键Ctrl+Alt+Del
1
2
3
4
5
6
[iyunv@localhost~]# vi /etc/init/control-alt-delete.conf
……
#starton control-alt-delete
#exec/sbin/shutdown -r now “Control-Alt-Delete pressed”
[iyunv@localhost~]# reboot
-GRUB 限制的实现
使用grub-md5-crypt获得加密字串
修改grub.conf文件,添加密码记录
1
2
3
4
[iyunv@localhost~]# grub-md5-crypt
Password:
Retypepassword: //重复指定密码
$1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
1
2
3
4
[iyunv@localhost ~]# vi /boot/grub/grub.conf
…… //添加到第1个title之前
password --md5 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
title Red Hat Enterprise Linux (2.6.32-431.el6.x86_64)
2、终端登录安全控制 - 减少开放终端个数
1
2
3
4
5
6
7
[iyunv@localhost~]# vi /etc/init/start-ttys.conf
…… //省略部分内容
envACTIVE_CONSOLES=/dev/tty[456] //禁用三个终端:tty1、tty2、tty3
[iyunv@localhost~]# vi /etc/sysconfig/init
…… //省略部分内容
ACTIVE_CONSOLES=/dev/tty[456]
[iyunv@localhost~]# reboot
- 限制root只在安全终端登录
安全终端配置:/etc/securetty
1
2
3
4
5
6
7
8
[iyunv@localhost~]# vi /etc/securetty
……
tty1
tty2
tty3
tty4
#tty5
#tty6
//禁止root用户从终端tty5、tty6登录
- 禁止普通用户登录
--建立/etc/nologin文件
--删除nologin文件或重启后即恢复正常
1
2
[iyunv@localhost~]# touch /etc/nologin //禁止普通用户登录
[iyunv@localhost~]# rm -rf /etc/nologin //取消上述登录限制
三、口令检测、端口扫描 1、系统弱口令检测 Joth the Ripper,简称为 JR
一款密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
官方网站:http://www.openwall.com/john/
安装JR工具
make clean 系统类型
主程序文件为 john
1
2
3
4
5
6
[iyunv@localhost~]# tar zxf john-1.7.8.tar.gz
[iyunv@localhost~]# cd john-1.7.8/src
[iyunv@localhostsrc]# make clean linux-x86-64
……
[iyunv@localhostsrc]# ls ../run/john
../run/john
检测弱口令账号
-- 获得Linux/Unix服务器的shadow文件
--执行john程序,将shadow文件作为参数
密码文件的暴力破解
--准备好密码字典文件,默认为password.lst
--执行john程序,结合--wordlist=字典文件
2、网络端口扫描 NMAP的扫描语法
nmap [扫描类型] [选项] <扫描目标 ...>
常用的扫描类型
1
2
3
4
5
6
7
-sS,TCP SYN扫描(半开)
-sT,TCP 连接扫描(全开)
-sF,TCP FIN扫描
-sU,UDP扫描
-sP,ICMP扫描
-P0,跳过ping检测
-p 端口号
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网 享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com