Linux系统安全管理
1.系统账号清理
(1.)usermod -s
(2.)chsh 命令,交互式修改
(3.)chsh -s
(4.)vi /etc/passwd 进行修改
2.锁定账号
(1.)passwd -l :在密文前加两个“!” ,解锁:passwd -u ,查看:passwd -s
(2.)usermod -L:在密文前加一个“!”,解锁:usermod -U(需要进行两次操作)
(3.)vi /etc/shadow 进行修改
3.删除无用的用户
userdel -r 用户名
4.锁定账号文件 /etc/passwd 、/etc/shadow(锁定之后即使时管理员也不能修改内容)
加“i”锁:chattr +i /etc/passwd /etc/shadow
解除“i”锁:chattr -i /etc/passwd /etc/shadow
查看锁定情况:lsattr /etc/passwd /etc/shadow
5.设置密码有效期
(1.)chage -M 天数 用户名 (适用于以存在的用户密码)
(2.)passwd -x 天数 用户名
(3.)vim /etc/login.defs (适用于新建用户)
(4.)chage -d 0 用户名 (指定该用户登录时需更改密码)
6.历史命令调度
history 调出历史命令后 “!”加名利序列号可执行该命令
ctrl +R :查看历史命令
7.减少历史命令默认值
(1.)vim /etc/profile 进入编辑器后 找到 HISTORYSIZE 更改数值
保存退出后重新加载:soure /etc/profile
(2.)直接输入命令 export HISTORYSIZE=n(数值)进行修改
8.清空历史命令
(1.)vim .bash_logout 进入编辑器后
添加 history -c 保存退出即可
(2.)dd /dev/zero > .bash_history
将zero文件的空内容覆盖掉.bash_history文件内容,清空历史命令
9.设置自动注销
(1.)vim /etc/profile 进入编辑器后 将TMOUT数值修改成注销时间
TMOUT=600:终端将会在600秒后自动注销
(2.)直接输入 export TMOUT=600命令进行设置
输入 unset TMOUT 可取消变量
10.切换用户(易泄露root密码,造成不可估量的损失)
su - 目标用户=su --login 目标用户=su -l 目标用户
表示切换用户后进入目标用户的登录shell环境
su -root=su --login root=su -l root
普通用户切换到root用户(需要输入root密码)
11.提升用户执行权限
sudo命令:以root身份执行授权的命令
格式:sudo 授权命令
配置sudo授权
(1.)vim /etc/sudoers 进入编辑器 添加配置文件
格式:用户 主机名列表=命令程序列表(命令前加“!“表示除了此条命令)
(2.)配置文件 /etc/sndoers 中添加授权
格式:user MACHINE(主机名)=COMMANDS(可执行权限命令,多个命令用逗号隔开) %组名
12.查询授权操作
sudo -l
13.PAM认证
常见的四种认证类型
auth :认证管理 (接收用户名和密码,仅为进对该用户的密码进行认证)
account :账户管理 (检查账户是否被允许登录系统等各种权限)
password :密码管理 (修改用户的密码)
session :会话管理 (提供会话的记账和管理)
使用PAM认证模块,限制某个命令或服务的使用权限
(1.)vi /etc/pam.d/跟命令 (例:su命令、touch等命令) 启用pam_wheel模块
(2.)将可以使用该命令的授权用户添加到该组中
gpasswd -M 用户(例:tom,jerry)wheel
禁止普通用户登录:
touch /etc/nologin文件 ,删除该文件可恢复用户登录
14.开关机安全机制
禁用重启快捷键ctrl+alt+del
(1.)vi /etc/init/control-alt-delete.conf 进入编辑器后
将 #start on control-alt-delete
#exec /sbin/shutdown -r now “control-alt-delete pressed”
项前的#(注释)按x键删掉
(2.)输入命令 systemctl mask ctrl-alt-delete.target 禁用此项
再输入 systemctl dammon-reload 重新加载配置
15.grub菜单设置密码
输入命令:grub2-mkpasswd-pokdf2
reenter passwd :输入密码
进行备份: cp /boot/grub2/grub.cfg{,.bak}
cp /etc/grub.d/00_header{,.bak}
编辑00_header文件:vim /etc/grub.d/00_header
再编辑器末行插入:
cat <<EOF
set superusers=“root”
password-pbkdf2 root 加密后的密码密文
EOF
保存退出
重新生成grub.cfg 文件
grub2-mkconfig -o /boot/grub2/grub.cfg
sync 进行数据同步
16.弱口令检测 Joth the Ripper 软件工具
通过对shadow文件的口令分析,检测密码
官网:http://www.openwall.com/john/
(1.)解压该压缩包
tar -xf john-1.8.0.tar.xz
(2.)cd john-1.8.0/src
(3.)安装软件工具(前提是gcc gcc-c++ 已安装以及yum仓库已建好)
make clean linux-x86-64
(4.)复制密码文件
cp /etc/shadow ./shadow.txt
(5.)执行工具
./john shadow.txt
(6.)分析密码
./john --show shadow.txt
字典破解,可将内容添加到字典
vi password.lis
清空破解记录:
:>john.pot 命令
17.端口检测 NMAP 工具
格式:nmap 扫描类型 选项 扫描目标
扫描类型:-sT TCP链接扫描全开
-sU UDP扫描
-sP ICMP扫描
-sV 扫描服务版本信息(检查是否存活)
选项:-n 禁止DNS反向解析
-p 指定端口号
