Linux系统安全应用
目录
一、账号安全控制
基本安全措施
系统账号清理
密码安全控制
清空历史命令
终端自动注销
切换用户与权限提升
su命令----切换用户
sudo命令----提升执行权限
PAM安全认证
二、系统引导和登录控制
开关机安全控制
终端及登录控制
三、弱口令检测
四、端口扫描
一、账号安全控制
基本安全措施
系统账号清理
1、将用户的Shell设置为不可登录/sbin/nologin
cat /etc/passwd | grep "/sbin/nologin" //查看到非登录的用户
usermod -s /sbin/nologin 用户名 //设置为非登录用户,查看最后三行
usermod -s /bin/bash 用户名 //设置回可登录
2、 锁定无用账号
usermod -l mm //锁定
usermod -U mm //解锁
passwd -l mm //锁定
passwd -u mm //解锁
3、删除无用账号
userdel 用户名
userdel -r 用户名
加-r 可以把加目录下用户目录也一起删除
前面博客有
4、锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改 //锁定后查看会有i
chattr -i /etc/passwd /etc/shadow 解锁文件
lsattr /etc/passwd /etc/shadow查看文件状态属性
密码安全控制
设置密码有效期
chage -M 60 mm //适用于已经存在的用户 改为60天,可以看到9999改为了60
vim /etc/login.defs 进入编译器 修改 PASS_MAX_DAYS 430
后面再创建新用户密码有效期就是430天
在创建的新用户密码有效期
设置用户下次登录时修改密码
chage -d 0 test1 设置下次登录修改密码后 可以看到19213变为了0
清空历史命令
减少记录命令的条数
新用户:
vim /etc/profile //进入配置文件
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile source /etc/ 刷新配置文件,使文件立即生效
当前用户:
export HISTSIZE=200
source /etc/profile
source /etc/profile 刷新配置文件,使文件立即生效
注销时自动清空
vim ~/.bashrc
echo " " > ~/.bash_history
修改新用户
1000可以进行修改
修改后退出去刷新
修改当前用户
注销时自动清空
终端自动注销
vim .bash_profile //进入配置文件
export TMOUT=600 //全局声明超过600秒闲置后自动注销终端
source .bash_profile
echo $TMOUT
export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效
[root@localhost ~]#vim .bash_profile
# export TMOUT=60 注释掉这条命令,就不会自动注销了history临时清空 -c
永久清空vi ~
设置自动注销时间
刷新文件,查看
设置对当前用户生效
切换用户与权限提升
系统配置文件:/etc/profile 系统环境变量配置文件对全局有效,开机时,用户首次登录会自动加载只登陆一次
/etc/bashrc全局有效 用户在切换shell环境时也会自动加载此文件
~/.bash_profile 开机时,用户首次登录会自动加载只登陆一次
~/.bashrc家目录只对当前用户有效 用户在切换shell环境时也会自动加载此文件
su命令----切换用户
(1)su -目标用户 //代横杠切换到家目录
su 目标用户 //如下图(1)
root用户可以任意切换用户
普通用户切换到其他用户需要输入目标用户密码
(2)查看su操作记录
安全日志文件:/var/log/secure
(3)whoami 确定当前用户是谁
(4)gpasswd -a mm wheel //将可以使用su命令的用户加入wheel组
vim /etc/pam.d/su //进入编译器进行配置
#auth required pam_wheel.so use_uid
将此行的注释取消表示在wheel组的成员可以使用su命令,其他成员则不能使用su命令
(1)su和su-
(2)查看最后五行操作记录
(3)whoami
(4)
可以从mm切换到root,如果不给mm设置wheel组,将卡在mm用户下
sudo命令----提升执行权限
配置sudo授权
sudo:以其他用户身份执行授权命令
visudo 或者 vim /etc/sudoers (这个文件是只读文件,wq!保存退出)
用户名 主机列表名=命令程序列表
可以使用一些符号*通配符!取反,见下图例题
第一次执行sudo需要密码验证,有操作的五分钟内不需要再输入密码
设置mm可以执行/sbin目录下出了reboot的所有命令
普通用户有些命令是不能使用的,设置之后则可以
授权多个用户
配置/etc/sudoers文件
Host_Alias MYHOST= localhost //设置主机别名主机名
User_Alias MYUSER = yxp,zhangsan,lisi //设置用户别名
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd //设置授权,命令别名
MYUSER MYHOST = NOPASSWD : MYCMD //调用生效 格式(用户别名 主机别名=命令别名)(NOPASSWD执行sudo命令时不需要输入密码)注:设置的别名要大写,后面用逗号隔开
配置好后mm拥有创建用户权限
查看sudo操作记录
需要启用Defaults logfile
配置默认·文件/var/log/sudo
vim /etc/sudoers
Defaults logfile="/var/log/sudo"
sudo ifconfig ens33:0 192.168.98.105
cat /var/log/sudo
在/etc/sudoers下加入这一行,创建日志文件,用来存储用户使用的sudo命令记录
在用户mm下新建一个网卡,再用cat命令查看
扩展
PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
PAM的概念
PAM(Pluggable Authentication Modules)可插拔式认证模块,是一种高效而且灵活便利的用户级别的认证方式;也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/(ls /etc/pam.d/ | grep su)
sufficient:这类验证成功则向程序返回成功,若失败,别的都成功,则也返回成功
二、系统引导和登录控制
开关机安全控制
调整BIOS引导设置原则
禁止从其他设备(光盘、 U盘、网络)引导系统;
将安全级别设为setup,并设置管理员密码。
将第一引导设备设为当前系统所在硬盘
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
GRUB菜单设置
未经授权禁止修改启动参数
未经授权禁止进入指定系统
GRUB限制的实现
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
两种方法
法一
使用grub2-mkpasswd-pdkdf2获得加密字符串并复制,然后备份两个配置文件
修改/etc/grub.d/00_header文件中,添加密码记录
grub2-mkpasswd-pdkdf2 //生成密钥命令
cp /boot/grub2/grub.cfg /boot/grub2/grub2.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak //备份两个文件
ls /boot/grub2/查看到00_header.bak
vim /etc/grub.d/00_header
添加
cat << EOF
set superuser="root"
见下图
法二
直接设置grub2_setpasswd 设置grub密码
系统开机时按e进入GRUB菜单,这里可以直接修改
再进入就需要输入账户名和密码了
法二
终端及登录控制
限制root用户只在安全终端登录
安全终端配置:/etc/securetty
步骤:
更改相关配置文件
切换至指定终端进行测试
切换至其他终端进行测试
禁止普通用户登录
建立/etc/nologin
删除nologin文件或者重启后恢复正常
三、弱口令检测
弱口令检测—Joth the Ripper
一款密码分析工具,支持字典式的暴力破解;
通过对shadow文件的口令分析,可以检测密码强度;
Joth the Ripper实例
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):
[root@localhost ~]#cd /opt
[root@localhost ~]#rz //也可以直接把压缩包拖进来
[root@localhost opt]#ls
john-1.8.0.tar.gz
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y[root@localhost opt]# ls
john-1.8.0 john-1.8.0.tar.gz john-1.8.0.tar.gz.0 rr
[root@localhost opt]# cd john-1.8.0/
[root@localhost john-1.8.0]# ls
doc README run src
[root@localhost john-1.8.0]# cd src/
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
5. 准备待破解的密码文件
[root@localhost src]#cd .. 切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件
6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt
四、端口扫描—NMAP
一款强大的网络扫描、安全 检测工具
官方网站:Nmap: the Network Mapper - Free Security Scanner
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
常用格式
nmap [扫描类型] [选项] <扫描目标>
netstat natp //查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd //实际操作(httpd换成80也可以)
netstat -naup //查看正在运行的使用UDP协议的网络状态信息
[root@localhost run]#rpm -qa|grep nmap //查看nmap
[root@localhost run]#yum install -y nmap //安装nmap
控制位
常见选项
natstst命令常用选项
rpm -q nmap // 先查询是否有nmap
yum install -y nmap //没有就安装
rpm -q httpd
yum install -y httpd
systemctl start httpd //开启httpd
systemctl status httpd //查看状态
nmap -sT 127.0.0.1 //查询主机开启端口
nmap -sU 127.0.0.1
nmap -n -sP 192.168.98.0/24 //检测192.168.98.0/24网段有哪些存活的主机
netstst ss -natp
Linux系统安全应用相关推荐
- 【Linux系统】基础总结
我不太清楚运维部门具体是做什么的,就接触过一点点运维部门! 也就是是知道他们负责管理服务器,管理网络,管理项目部署 偶尔自己需要部署,不得不接触一些linux命令.简单总结一些基础 linux系统发展 ...
- Linux系统中创建大文件,并作为文件系统使用
在LInux系统的使用过程中,有时候会遇到诸如某个磁盘分区的大小不够用了,导致其下的文件系统不能正常写入数据.亦或者是系统swap分区太小,不够用或者不满足条件而导致的其他一系列问题.如果我们系统上挂 ...
- Linux系统开发之路-中
4.Linux的安装(Windows环境下): 1)Windows环境需要借助虚拟机来安装Linux系统,这个推荐使用的软件是VMWare,官网能下载到的最新版本是Workstation Pro15. ...
- Linux学习之三-Linux系统的一些重要配置文件
Linux学习之三-Linux系统的一些重要配置文件 1.网卡配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0 说明: DEVICE=eth0 ...
- 关于内网linux系统如果安装nodejs,npm,express,mongodb,forever等
内网的linux系统要安装nodejs以及express等系列的框架,因为系统是局域网和互联网是物理隔离的,所以,没法像官网的安装教程那样直接install了,只能手动安装,这里已经我们自己的linu ...
- linux源码安装浏览器,Linux系统手动安装Firefox浏览器
大多数Linux发行版都以Firefox作为默认的浏览器,并可以轻松地从软件库中安装.例如: Debian/Ubuntu: sudo apt-get install firefox Fedora: s ...
- 计划任务执行php文件,linux系统下添加计划任务执行php文件方法
在web开发过程中,经常需要设定一些定期执行的任务,比如商品定时上下架.我们以php文件为例,讲解linux下的计划任务. 方法/步骤 1.打开linux系统命令行界面. 在命令行界面中输入如下命令: ...
- .tar.gz mysql 安装_mysql tar.gz 版本 linux系统的安装-Go语言中文社区
mysql下载地址: https://dev.mysql.com/downloads/mysql/ 1. 上传下载的tar.gz文件发送到linux 上传的路径: /usr/local/mysql/ ...
- qt工程在linux系统里颜色显示错误_【飞凌嵌入式RK3399开发板试用体验】+QT开发环境搭建测试(二)...
作者:飞扬的青春 在拿到开发板之后,已经体验了Android操作系统,接下来就是体验Linux下的开发,本次以QT的一个小案例来测试下. 首先是自己先搭建了一个Ubuntu18.04的虚拟机,使用真机 ...
- 外网访问arm嵌入式linux_嵌入式Linux系统编程——文件读写访问、属性、描述符、API
Linux 的文件模型是从 Unix 的继承而来,所以 Linux 继承了 UNIX 本身的大部分特性,然后加以扩展,本章从 UNIX 系统接口来描述 Linux 系统结构的特性. 操作系统是通过一系 ...
最新文章
- C++核心编程(三)
- 十二、springboot 详解RestControllerAdvice(ControllerAdvice)
- 设计模式 — 行为型模式 — 解释器模式
- boost::fusion::filter用法的测试程序
- 1059. Prime Factors (25)
- fedora 16 x64 安装gnustep object-c开发环境
- 设计模式之美:Bridge(桥接)
- php中字符串与数组的相互转化explode(separator,$str)与implode(separator,$arr)
- React组件之间的通信
- JavaScript的预编译过程分析
- NVIDIA显卡驱动更新方法
- centos7开启网卡功能
- 思科交换机工作模式及基本命令
- 技能梳理24@stm32+阿里云+nbiot+dht11+bh1750+土壤湿度传感器+oled
- 咱们老百姓,今儿个真高兴
- 作业~嗖嗖移动业务大厅
- php中文数字转阿拉伯数字,中文数字转阿拉伯数字
- 微信小程序:超强大微信小程序源码下载内含几十款功能王者战力查询,游戏扫码登录,王者巅峰信息查询等等支持流量主收益和CPS收益
- Windows查看最近访问的文件目录或文件夹
- 深圳大学计算机考研报名人数,深圳大学2021考研报考人数