Linux系统安全及应用

Linux系统安全及应用

1、账号安全
系统账号清理
1）将非登录用户shell设为/sbin/nologin
2）锁定长期不使用的账号
3）删除无用的账号
4）锁定账号文件passwd、shadow
锁定：chattr +I /etc/passwd /etc/shadow
解锁：chattr -I /etc/passwd /etc/shadow
查看：lsattr /etc/passwd /etc/shadow
密码安全：
设置密码有效期：2种方式：
1）对新建用户设置：vim /etc/login.defs
PASS_MAX_DAYS 30
2）对已创建的用户：chage -M 30 用户名
用户下次登录时修改密码：chage -d 0 用户名
历史命令限制：
1）减少命令历史数量：HISTSIZE=200
2）自动清空历史命令：history -c
终端自动注销：TMOUT=10（秒）
2、su命令安全
Su：切换用户
两种格式：su 用户名：切换用户但不更改环境变量
Su - 用户名：完整切换
普通用户切换其他用户需要对方密码
Root用户切换无需密码
限制用户使用su命令：启用pam_whell模块，只允许whell组使用su命令
Vim /etc/pam.d/su
#auth required pam_whell.so use_uid （删除#号）
gpasswd -a 用户名 whell （将用户加入组）
日志文件：/var/log/secure
3、sudo：提升权限
语法：sudo 授权命令的绝对路径
需要输入本人密码
Sudo配置文件：/etc/sudoers
打开方式：visudo
Vim /etc/sudoers
格式：用户列表 主机名列表=权限列表
列：hanming ALL=/usr/sbin/useradd
%组名：代表组 ALL代表所用 *匹配任意
NOPASSWD：命令：无需密码就可执行
列表设置为别名：User_alias
Host_alias
Cmnd_alias
Sudo -l：查看sudo命令权限
Sudo -k：清除密码缓存，默认缓存5分钟
日志文件：/var/log/sudo
需要Defaults logfile配置
（Defaults logfile=/var/log/sudo）
4、开关机安全
1）调整Bios设置：
禁止从其他设备引导
设置Bios密码
2）禁用Ctrl+Alt+Del重启
Vim /etc/init/control-alt-delete.conf
3）grub菜单限制：
在title前设置密码：禁止更改参数
在title后设置密码：禁止进入系统
密码方式：明文：passwd密码
密文：用grub-md5-crypt生成
Vim /boot/grub/grub.conf
Password -md5 密码字串
5、终端安全登录：
1）减少开放的终端数：/etc/init/start-ttys.conf
/etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[456]
2) 限制root用户使用的终端：/etc/securetty
3) 禁止普通用户登录：建立/etc/nologin文件 touch /etc/nologin
删除即可恢复登录 rm -f /etc/nologin
6、系统弱口令检测：Joth the Pipper 简称JR
开源软件：支持字典式的暴力破解，支持des和md5的加密破解
命令名为：john
破解命令：./john --wordist=password.lst /etc/shadow
--wordist（指定密码文件）
Password.lst（默认字典文件）
破解后密码保存在john.pot文件中，可用./john --show /etc/shadow查看
7、NMAP：网络端口扫描
是一款强大的网络扫描安全检测工具，可扫描TCP/UDP的端口
扫描类型：
-sS：SYN扫描 -St：TCP扫描
-sF：FIN扫描 -sU：UDP扫描
-sP：ICMP扫描 -P0：跳过ping检测
-n ：禁用反向解析