Linux系统安全及应用

Linux系统安全及应用

1、账号安全
系统账号清理
1)将非登录用户shell设为/sbin/nologin
2)锁定长期不使用的账号
3)删除无用的账号
4)锁定账号文件passwd、shadow
锁定:chattr +I /etc/passwd /etc/shadow
解锁:chattr -I /etc/passwd /etc/shadow
查看:lsattr /etc/passwd /etc/shadow
密码安全:
设置密码有效期:2种方式:
1)对新建用户设置:vim /etc/login.defs
PASS_MAX_DAYS 30
2)对已创建的用户:chage -M 30 用户名
用户下次登录时修改密码:chage -d 0 用户名
历史命令限制:
1)减少命令历史数量:HISTSIZE=200
2)自动清空历史命令:history -c
终端自动注销:TMOUT=10(秒)
2、su命令安全
Su:切换用户
两种格式:su 用户名:切换用户但不更改环境变量
Su - 用户名:完整切换
普通用户切换其他用户需要对方密码
Root用户切换无需密码
限制用户使用su命令:启用pam_whell模块,只允许whell组使用su命令
Vim /etc/pam.d/su
#auth required pam_whell.so use_uid (删除#号)
gpasswd -a 用户名 whell (将用户加入组)
日志文件:/var/log/secure
3、sudo:提升权限
语法:sudo 授权命令的绝对路径
需要输入本人密码
Sudo配置文件:/etc/sudoers
打开方式:visudo
Vim /etc/sudoers
格式:用户列表 主机名列表=权限列表
列:hanming ALL=/usr/sbin/useradd
%组名:代表组 ALL代表所用 *匹配任意
NOPASSWD:命令:无需密码就可执行
列表设置为别名:User_alias
Host_alias
Cmnd_alias
Sudo -l:查看sudo命令权限
Sudo -k:清除密码缓存,默认缓存5分钟
日志文件:/var/log/sudo
需要Defaults logfile配置
(Defaults logfile=/var/log/sudo)
4、开关机安全
1)调整Bios设置:
禁止从其他设备引导
设置Bios密码
2)禁用Ctrl+Alt+Del重启
Vim /etc/init/control-alt-delete.conf
3)grub菜单限制:
在title前设置密码:禁止更改参数
在title后设置密码:禁止进入系统
密码方式:明文:passwd密码
密文:用grub-md5-crypt生成
Vim /boot/grub/grub.conf
Password -md5 密码字串
5、终端安全登录:
1)减少开放的终端数:/etc/init/start-ttys.conf
/etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[456]
2) 限制root用户使用的终端:/etc/securetty
3) 禁止普通用户登录:建立/etc/nologin文件 touch /etc/nologin
删除即可恢复登录 rm -f /etc/nologin
6、系统弱口令检测:Joth the Pipper 简称JR
开源软件:支持字典式的暴力破解,支持des和md5的加密破解
命令名为:john
破解命令:./john --wordist=password.lst /etc/shadow
--wordist(指定密码文件)
Password.lst(默认字典文件)
破解后密码保存在john.pot文件中,可用./john --show /etc/shadow查看
7、NMAP:网络端口扫描
是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口
扫描类型:
-sS:SYN扫描 -St:TCP扫描
-sF:FIN扫描 -sU:UDP扫描
-sP:ICMP扫描 -P0:跳过ping检测
-n :禁用反向解析

posted on 2019-01-29 10:23  TDM  阅读(155)  评论(0编辑  收藏  举报

导航