系统安全及应用

本章结构

• 账号安全控制
• 系统引导和登录控制
• 弱口令检测
• 端口扫描

一、账号安全基本措施

1.系统账号清理

1.1将非登录用户的Shell设为/sbin/nologin

shell——/sbin/nologin比较特殊，所谓“无法登陆”指的仅是这个用户无法使用bash或其他shell来登陆系统而已，并不是说这个账号就无法使用系统资源。举例来说，各个系统账号中，打印作业有lp这个账号管理，www服务器有apache这个账号管理，他们都可以进行系统程序的工作，但就是无法登陆主机而已。

usermod -s /bin/nologin 用户名 修改登录shell类型

锁定长期不使用的账号

usermod -L 用户名 锁定用户

usermod -l 用户名

1.3删除无用的账号

usermod [-r]用户名加上-r才能删除用户的家目录。如果不删除家目录，那么用户被删除后，他的家目录会变成无主文件，文件的属主和属组位显示的是原主人的UID和GID。

1.4锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow 锁定文件

2.密码安全控制

2.1设置密码有效期
对于新建用户可以修改/etc/login.defs文件里的内容来设置密码规则
对于已有用户可以使用chage命令chage [选项] 用户名

点击查看代码

[root@localhost ~]#  chage lisi       #交互式设置
正在为 lisi 修改年龄信息
请输入新值，或直接敲回车键以使用默认值

	最小密码年龄 [0]: 7
	最大密码年龄 [99999]: 7
	最近一次密码修改时间 (YYYY-MM-DD) [2024-04-18]: 
	密码过期警告 [7]: 6
	密码失效 [-1]: 6
	帐户过期时间 (YYYY-MM-DD) [-1]: 


[root@localhost ~]#chage -M 30 lisi      #设置密码有效期为30天

[root@localhost ~]# chage -l lisi        #查看用户李四当前设置

2.2要求用户下次登录时修改密码
chage -d 0 用户名 强制要求用户下次登录时必须修改密码

点击查看代码

[root@localhost ~]# chage -d  0 lisi     #强制李四下一次登录一定修改密码（密码符合复杂性要求）

补充：随机生成密码cat /dev/random | tr -dc [[:alnum:]] |head -c 12 （tr -d 删除）

命令历史限制
Shell 环境的命令历史机制为用户提供了极大的便利，但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件，该用户的命令操作过程将会一览无余，如果曾经在命令行输入明文的密码，则无意之中服务器的安全壁垒又多了一个缺口

减少记录的命令条数
Bash 终端环境中，历史命令的记录条数由变量 HISTSIZE 控制，默认为 1000 条。通过修改 /etc/profile\color{red}{ /etc/profile }/etc/profile 文件中的 HISTSIZE 变量值，可以影响系统中的所有用户。例如，可以设置最多只记录 200 条历史命令。

点击查看代码

临时修改历史命令条数。只针对当前用户，退出登录后失效。
[root@localhost ~]# export HISTSIZE=200  

永久修改历史命令条数。编辑配置文件，设置历史命令条数。
[root@localhost ~]# vim /etc/profile        //设置历史命令条数记录为200条
     HISTSIZE=200 
[root@localhost ~]# source /etc/profile     //刷新配置文件，使文件立即生效
注意：写进 /etc/profile 对全局生效  ；写进.bahsrc只对root生效

3.2注销时自动清空命令历史
家目录下有.bush_history文件，用于记录历史命令。情况该文件即清空了命令历史。

点击查看代码

临时清除历史命令 history  -c 

注销时自动清空历史命令 
[root@localhost ~]# vim ~/.bash_logout
echo "" > ~/.bash_history

登录时自动清空历史命令
[root@localhost ~]# vim ~/.bashrc
echo "" > ~/.bash_history

4.终端自动注销
编辑/etc/profile文件。设置限制600秒后自动注销

点击查看代码

 [root@localhost ~]#  vim /etc/profile
 .................................
 export  TMOUT=600