1、账号安全
系统账号清理
1)将非登录用户shell设为/sbin/nologin
2)锁定长期不使用的账号
3)删除无用的账号
4)锁定账号文件passwd、shadow
密码安全:
设置密码有效期:2种方式:
历史命令限制:
1)减少命令历史数量:HISTSIZE=200
终端自动注销:TMOUT=10(秒)
2、su命令安全
Su:切换用户
普通用户切换其他用户需要对方密码
Root用户切换无需密码
限制用户使用su命令:启用pam_whell模块,只允许whell组使用su命令
日志文件:/var/log/secure
3、sudo:提升权限
需要输入本人密码
Sudo配置文件:/etc/sudoers
打开方式:visudo
NOPASSWD:命令:无需密码就可执行
列表设置为别名:User_alias
日志文件:/var/log/sudo
4、开关机安全
1)调整Bios设置:
禁止从其他设备引导
设置Bios密码
2)禁用Ctrl+Alt+Del重启
3)grub菜单限制:
在title前设置密码:禁止更改参数
在title后设置密码:禁止进入系统
密码方式:明文:passwd密码
密文:用grub-md5-crypt生成
5、终端安全登录:
1)减少开放的终端数:/etc/init/start-ttys.conf
2) 限制root用户使用的终端:/etc/securetty
开源软件:支持字典式的暴力破解,支持des和md5的加密破解
命令名为:john
--wordist(指定密码文件)
Password.lst(默认字典文件)
7、NMAP:网络端口扫描
是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口
扫描类型:
Linux系统安全及应用示例
实验要求:
1、允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份。
授权用户zhngsan管理所有员工的账号,但禁止其修改root用户的信息。
授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证。
所有的su、sudo、操作,必须在系统日志文件中进行记录。
禁止使用ctrl+alt+del快捷键,只开放tty3、tty5终端,为GRUB引导菜单设置密码。
步骤:
1)创建并将radmin用户加入到wheel
限制使用su命令,修改认证文件/etc/pam.d/su,启用pam_whell.so认证模块。
验证除了root、radmin用户以外,其他用户均不能使用su命令进行切换。(此前已有zhangsan和lisi用户,密码分别是2008.com和123456).如下图所示:root和radmin都可以切换为lisi用户,但lisi用户不能切换其他用户。
2)设置sudo授权
授权lisi用户使用/sbin/* 、 /usr/sbin/*命令,添加NOPASSWD,以取消验证。
分别以zhangsan、lisi用户登录验证sudo操作。
如下图:zhangsan用户可以修改lisi密码(需要验证zhangsan密码),但不能修改root密码
如下图:lisi用户使用sudo命令创建用户时不需要验证lisi密码
3)限制引导及登录过程
分别进入/etc/init/start-ttys.conf和 /etc/sysconfig/init 禁用tty1、tty2、tty4、tty6四个终端
使用grub-md5-crypt命令获取加密的密码字符串,然后进入/boot/grub/grub.conf在第一个title行之前添加密码配置
重启进入GRUB菜单界面,验证直接按E键无法编辑引导参数,需要先按P键输入密码再按E键
2、安装john软件,检测本机的弱口令。
解压进入后并编译
编译后会在run目录下生成john程序,准备待破解的密码文件,然后执行
3、安装NMAP软件,扫描网络上tcp和udp端口。
两台linux计算机,配置ip为192.168.1.0网段。(分别时1.10和1.20)一台安装NMAP扫描软件,另外一台安装ftp和http服务,并启动服务。
先扫描一下本机开放那些端口。再扫描另一台主机开放了那些端口。
查看本机tcp端口
查看本机udp端口
查看192.168.1.20主机tcp端口
文章参考微信公众号:L宝宝聊IT