Linux检查隐藏账户及弱口令
Linux检查隐藏账户及弱口令
1. 检查服务器系统及应用账户是否存在 弱口令:
检查说明:检查管理员账户、数据库账户、MySQL 账户、tomcat 账户、网站后台管理员账户等密码设置是否
较为简单,简单的密码很容易被黑客破解。
解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码。
2. 使用 last 命令查看下服务器近期登录的账户记录,确认是否有可疑 IP 登录过机器:
检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:检查发现有可疑用户时,可使用命令 usermod -L 用户名 禁用用户或者使用命令 userdel -r 用户名 删除用户。
3. 通过 less /var/log/secure|grep 'Accepted' 命令,查看是否有可疑 IP 登录机器成功:
检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:使用命令 usermod -L 用户名 禁用用户或者使用命令 userdel -r 用户名 删除用户。
4. 检查系统是否采用 默认管理端口:
检查系统所用的管理端口(SSH、FTP、MySQL、Redis 等)是否为默认端口,这些默认端口往往被容易自动化的工具进行爆破成功。
解决方法:
a. 在服务器内编辑 /etc/ssh/sshd_config 文件中的 Port 22,将 22 修改为非默认端口,修改之后需要重启ssh 服务;
b. 运行 /etc/init.d/sshd restart(CentOS)或 /etc/init.d/ssh restart(Debian / Ubuntu)
命令重启使配置生效;
c. 修改 FTP、MySQL、Redis 等的程序配置文件的默认监听端口 21、3306、6379 为其他端口;
d.限制远程登录的 IP,编辑“/etc/hosts.deny” 、“/etc/hosts.allow”两个文件来限制 IP。
5. 检查 /etc/passwd 文件,看是否有非授权账户登录:
检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破坏性的攻击。
解决方法:使用命令 usermod -L 用户名 禁用用户或者使用命令 userdel -r 用户名 删除用户。
