一、账号安全控制
二、系统引导和登录控制
三、弱口令检测
四、端口扫描
一、账号安全基本措施
1.系统账号清理
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用账号
- 锁定账号文件passwd、shadow
2.文件进行加锁、解锁及查看命令 - chattr +i /etc/passwd /etc/shadow
- chattr +i /etc/passwd /etc/shadow
- lssttr /etc/passwd /etc/shadow
密码安全控制
1.设置密码有效期
2.要求用户下次登录时修改密码
- 改密码属性文件:vim /etc/login.defs(创建新用户)
- 修改密码有效期:chage -M 30 lisi(针对已存在用户而言)
- 对于已经存在的用户修改用户登陆密码:chage -d 0 lisi
命令历史限制(/etc/profile系统中的环境变量文件)
- 减少记录的命令条数(默认1000条)
- 注销时自动清空命令历史
- [root@localhost~]#vi/etc/profile
- HISTSIZE=200
终端自动注销
- 闲置600秒后自动注销
- [root@localhost~]#vi~/.bash_profile
- export TMOUT=600
- history查看历史命令记录
- 更改vim etc/profile
- 生效修改:source /etc/profile
- 输入:history再次查看历史
使用su命令切换用户
用途及方法
- 用途:Substitute User,切换用户
- 格式:su -目标用户(bash环境)
- 密码验证
- root→任意用户,不验证密码
- 普通用户→其他用户,验证目标用户的密码
- [jerry@localhost~]$su -root
- 口令:[root@localhost~]#whomi
限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组
Linux中的PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登陆密码,带来安全风险
为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM(Pluggable Authentication Modules)可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。
PAM认证原理
PAM认证一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块也是不同的
PAM认证的构成
查看某个程序是否支持PAM认证,可以使用ls命令
PAM安全认证流程
控制类型也可以称作Control Flags,用于PAM验证类型的返回结果
- 1.required验证失败时仍然继续,但返回Fail
- 2.requisite验证时报则立即结束整个验证过程,返回Fail
- 3.sufficient验证成功则立即返回,不在继续,否则忽略结果并继续
- 4.optional不用于验证,只显示信息(通常用于session类型)
使用sudo机制提升权限
1.su命令的缺点
2.sudo命令的用途及方法
- 用途:以其他用户身份(如root)执行授权的命令
- 用法:sudo授权命令
3.配置sudo授权 - visudo或者vi /etc/sudoers
- 记录格式:用户 主机名列表=命令程序列表br/>[root@localhot~]#visudo
……
%wheel ALL=NOPASSWD:ALL
jerry localhost=/sbin/ifconfig
syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
Cmnd_Alias PKGTOOLS=/bin/rpm,/ysr/bin/yum
mike localhost=PKGTOOLS
%:代表的是组
ALL代表所有
二、开关机安全控制
1.开关机安全控制
调整BIOS引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setop,并设置管理员密码
GRUB限制 - 使用grub2-mkpasswd-pbkdf2生成秘钥
- 修改/etc/grub.d/00_heard文件中,添加秘钥记录
- 生成新的grub.cfg配置文件
三、弱口令检测
1.系统弱口令检测
- Joth the Ripper,简称为JR
- 一款密码分析工具,支持字典式的暴力破解
- 通过shadow文件的口令分析,可以检测密码强度
- 官方网站:http://www.openwall.com/john/
2.安装JR工具
- 安装方法:make clean系统类型
- 主程序文件为john
- 检测弱口令账号
- 获得Linux/Unix服务器的shadow文件
- 执行john程序,将shadow文件作为参数
- 密码文件的暴力破解
- 准备好密码字典文件,默认为password.lst
- 执行john程序,结合--wordlist=字典文件
来源:https://blog.51cto.com/14475593/2432780