摘要:二系统引导和登录控制开关机安全控制调整引导设置原则将第一引导设备设为当前系统所在硬盘禁止从其他设备光盘盘网络引导系统将安全级别设为并设置管理员密码。
目录
1.1.1.1将非登录用户的Shell设为/sbin/nologin
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
usermod -s /sbin/nologin 用户名
1.1.1.2锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一[root@localhost ~]# passwd -l test3 锁定用户账号方法二[root@localhost ~]# usermod -U test2 解锁用户账号方法一[root@localhost ~]# passwd -u test3 解锁用户账号方法二
1.1.1.3删除无用账号
[root@localhost ~]# userdel test1[root@localhost ~]# userdel -r test2
1.1.1.4锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
1.1.2.1设置密码有效期
1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户12.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户, PASS_MAX_DAYS 30
1.
2.
1.1.2.2要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
1.1.3.1命令历史限制
减少记录命令的条数
注销时自动情况命令历史
减少记录命令的条数:1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户 HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile [root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效 2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户 [root@localhost ~]# source /etc/profile [root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效 3. 注销时自动清空命令: [root@localhost ~]# vim ~/.bashrc echo "" > ~/.bash_history
1.
2.
3.
1.1.3.2终端自动注销
闲置600秒后自动注销:[root@localhost ~]#vim .bash_profile 进入配置文件 export TMOUT=60 全局声明超过60秒闲置后自动注销终端[root@localhost ~]# source .bash_profile [root@localhost ~]# echo $TMOUT [root@localhost ~]# export TMOUT=600 如果不在配置文件输入这条命令,那么是对当前用户生效[root@localhost ~]#vim .bash_profile # export TMOUT=60 注释掉这条命令,就不会自动注销了
1.用途及用法用途:Substitute User,切换用户格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)root - - - >任意用户,不验证密码普通用户- - - >其他用户,验证目标用户的密码带 “ - ” 表示将使用目标用户的登录Shell环境2.查看su操作记录安全日志文件:/var/log/secure3.whoami确定当前用户是谁4. vim /etc/pam.d/su 把第六行注释去掉保存退出 默认情况下,使用root切换不需要密码注释两行,所有账号都可以使用,但是root切换时需要密码1.
2.
3.
4.
sudo命令的用途及用法:用途:以其他用户身份(如root)执行授权命令用法:sudo 授权命令1.配置sudo授权visudo 或者 vim /etc/sudoers记录格式:用户 主机名列表=命令程序列表可以使用通配符“ * ”号任意值和“ !”号进行取反操作。权限生效后,输入密码后5分钟可以不用重新输入密码。2.配置/etc/sudoers文件,可以授权用户较多的时使用 Host_Alias MYHOST= localhost 主机名 User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权 MYUSER MYHOST = NOPASSWD : MYCMD 授权格式3.查看sudo操作记录需启用Defaults logfile配置默认日志文件: /var/log/sudo
2.
3.
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
什么是PAM?
PAM(Pluggable Authentication Modules)可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式;
也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
ls /etc/pam.d/ | grep su
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。
将第一引导设备设为当前系统所在硬盘;
禁止从其他设备(光盘、 U盘、网络)引导系统;
将安全级别设为setup,并设置管理员密码。
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
未经授权禁止修改启动参数
未经授权禁止进入指定系统
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
使用grub2-mkpasswd-pbkdf2获得加密字符串;
修改/etc/grub.d/00_ header文件中, 添加密码记录;
生成新的grub.cfg配置文件。
法一:1. 使用grub2-mkpasswd-pbkdf2生成密钥并复制,然后备份两个配置文件。 2. 修改/etc/grub.d/00_ header文件中, 添加密码记录,并存并退出 法二:直接设置grub2—setpasswd 设置grub密码
生成新的grub.cfg文件,然后重启系统
验证结果
法一:
法二:
安全终端配置:/etc/securetty
步骤:
更改相关配置文件
切换至指定终端进行测试
切换至其他终端进行测试
建立/etc/nologin文件
删除nologin文件或者重启后即恢复正常
一款密码分析工具,支持字典式的暴力破解;
通过对shadow文件的口令分析,可以检测密码强度;
安装方法 make clean 系统类型
主程序文件为john
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):[root@localhost ~]#cd /opt[root@localhost ~]#rz [root@localhost opt]#lsjohn-1.8.0.tar.gz2. 解压[root@localhost opt]#tar zxvf john-1.8.0.tar.gz 3. 安装软件编译工具[root@localhost src]#yum install gcc gcc-c++ make -y4. 进行编译安装[root@localhost src]#make clean linux-x86-645. 准备待破解的密码文件[root@localhost src]#cd .. 切换至上级目录[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件 6. 执行暴力破解[root@localhost src]#cd /opt/john-1.8.0/run/[root@localhost run]#./john /opt/shadow.txt 7.查看已经破解出的密码[root@localhost run]#./john --show /opt/shadow.txt
一款强大的网络扫描、安全 检测工具
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
控制位:
控制位 | |
---|---|
SYN | 建立链接 |
ACK | 确认 |
FIN | 结束断开 |
PSH | 传送 0 数据缓存 上层应用协议 |
RST | 重置 |
URG | 紧急 |
常用格式:
nmap [扫描类型] [选项] <扫描目标>netstat natp #查看正在运行的使用TCP协议的网络状态信息netstat -natp | grep httpd #实际操作(httpd换成80也可以)netstat -naup #查看正在运行的使用UDP协议的网络状态信息[root@localhost run]#rpm -qa|grep nmap 查看nmap[root@localhost run]#yum install -y nmap 安装nmap
常见 的选 项 | 选项的作用 |
---|---|
-p | 指定扫描的端口。 |
-n | 禁用反向DNS解析(以加快扫描速度) |
-sS | TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYNACK响应包就认为目标端口正在监听,并立即断开连接; 否则认为目标端口并未开放。 |
-sT | TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否 则认为目标端口并未开放。 |
-sF | TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 |
-sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。 |
-sP | ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。 |
-P0 | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放 弃扫描。 |
natstat常用选项 | 作用 |
---|---|
-a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。 |
-n | 以数字的形式显示相关的主机地址、端1等信息。 |
-t | 查看TCP相关的信息。 |
-u | 显示UDP协议相关的信息。 |
-p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
-r | 显示路由表信息。 |
-l | 显示处于监听状态的网络连接及端口信息。 |
示例:
分别查看本机开放的TCP端口、UDP端口
检测192.168.59.0/24网段有哪些存活主机
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/120906.html
摘要:课程从基础入门开始教学,学习难度循序渐进,由浅入深,即使是零基础的学习者也可以完全能够听懂。 想要从事IT行业,但是有不想要学习编程该选择哪门技术合适呢?当然是Linux运维了。Linux是市场上非常受欢迎的技术,应用范围广泛,就业前景好,受到了很多人的喜欢。那么问题来了,Linux运维零基础可以学习吗? 在服务器市...
摘要:虚拟网卡与虚拟机的生命周期一致,无法进行分离,虚拟机被销毁时,虚拟网卡即被销毁。每块虚拟网卡支持绑定一个安全组,提供网卡级别安全控制。平台默认提供块虚拟网卡,若业务有块以上网卡需求可通过绑定弹性网卡,为虚拟机提供多网络服务。虚拟机是 UCloudStack 云平台的核心服务,提供可随时扩展的计算能力服务,包括 CPU 、内存、操作系统等最基础的计算组件,并与网络、磁盘等服务结合提供完整的计算...
摘要:相比之下,物联网操作系统领域的碎片化问题则非常严重,并没有哪几个操作系统占据绝对优势,正处于百花齐放百家争鸣的阶段。在年被公司正式收购,将自己的服务内嵌到系统中,并于年推出了集成无线连接安全等功能的物联网操作系统。 物联网操作系统是运行在物联网设备上的提供物物相连能力的操作系统,其核心在于...
摘要:类最流行的服务器端操作系统,强大的安全性和稳定性。阿里云提供以下类操作系统推荐请使用方式在线安装软件。因您没有备份系统盘相关个人数据而造成的数据丢失,阿里云不承担责任。阿里云已不再支持系统镜像,请参阅文档关于阿里云不再支持系统镜像。操作系统选择建议Windows内含正版已激活系统,默认不提供 CD-ROM 配置。适合于运行 Windows 下开发的程序,如 .NET 等。支持 SQL Ser...
阅读 1549·2021-11-11 16:54
阅读 2588·2021-09-24 09:47
阅读 1826·2019-08-30 15:56
阅读 2248·2019-08-30 15:44
阅读 1077·2019-08-30 15:43
阅读 1683·2019-08-30 11:07
阅读 690·2019-08-29 17:11
阅读 1332·2019-08-29 15:23