Linux系统安全和应用
一、账号安全控制
1.基本安全措施
系统账号的清理
1. 将非登录用户的Shell设为/sbin/nologin
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
usermod -s /sbin/nologin 用户名
2.锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二
3删除无用账号
[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2
4锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
2密码安全控制
1.设置密码有效期
[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1
[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户,
PASS_MAX_DAYS 3
2.要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
3命令历史、自动注销
1命令历史限制
减少记录命令的条数
注销时自动情况命令历史
减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效
2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
3. 注销时自动清空命令:
1.[root@localhost ~]# vim ~/.bashrc
echo "" > ~/.bash_history
2.终端自动注销
闲置600秒后自动注销:
[root@localhost ~]#vim .bash_profile 进入配置文件
export TMOUT=60 全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile
[root@localhost ~]# echo $TMOUT
[root@localhost ~]# export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效
[root@localhost ~]#vim .bash_profile
# export TMOUT=60 注释掉这条命令,就不会自动注销了
1.2用户切换与提权(加入wheel组)
1.2.1su命令—切换用户
1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)
root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境
2.查看su操作记录
安全日志文件:/var/log/secure
3.whoami确定当前用户是谁
4. vim /etc/pam.d/su
把第六行注释去掉保存退出
默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码
.
1.2.2sudo命令—提升执行权限
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.
配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件,可以授权用户较多的时使用
Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
1.3PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
什么是PAM?
PAM(Pluggable Authentication Modules)可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式;
也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
ls /etc/pam.d/ | grep su
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。
二、系统引导和登录控制
2.1开关机安全控制
2.1.1调整BIOS引导设置原则
将第一引导设备设为当前系统所在硬盘;
禁止从其他设备(光盘、 U盘、网络)引导系统;
将安全级别设为setup,并设置管理员密码。
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
2.1.2GRUB菜单设置
未经授权禁止修改启动参数
未经授权禁止进入指定系统
2.1.3GRUB限制的实现
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
使用grub2-mkpasswd-pbkdf2获得加密字符串;
修改/etc/grub.d/00_ header文件中, 添加密码记录;
生成新的grub.cfg配置文件。
法一:
1. 使用grub2-mkpasswd-pbkdf2生成密钥并复制,然后备份两个配置文件。
2. 修改/etc/grub.d/00_ header文件中, 添加密码记录,并存并退出
法二:
直接设置grub2—setpasswd 设置grub密码
生成新的grub.cfg文件,然后重启系统
2.2终端及登录控制
2.2.1限制root用户只在安全终端登录
安全终端配置:/etc/securetty
步骤:
更改相关配置文件
切换至指定终端进行测试
切换至其他终端进行测试
2.2.2禁止普通用户登录
建立/etc/nologin文件
删除nologin文件或者重启后即恢复正常
三、弱口令检测、端口扫描
3.1弱口令检测—Joth the Ripper
一款密码分析工具,支持字典式的暴力破解;
通过对shadow文件的口令分析,可以检测密码强度;
官方网站:John the Ripper password cracker
3.1.1Joth the Ripper实例
安装方法 make clean 系统类型
主程序文件为john
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):
[root@localhost ~]#cd /opt
[root@localhost ~]#rz
[root@localhost opt]#ls
john-1.8.0.tar.gz
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
5. 准备待破解的密码文件
[root@localhost src]#cd .. 切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件
6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt
3.2网络扫描—NMAP
一款强大的网络扫描、安全 检测工具
官方网站:Nmap: the Network Mapper - Free Security Scanner
CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
控制位:
控制位
SYN 建立链接
ACK 确认
FIN 结束断开
PSH 传送 0 数据缓存 上层应用协议
RST 重置
URG 紧急
常用格式:
nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
[root@localhost run]#rpm -qa|grep nmap 查看nmap
[root@localhost run]#yum install -y nmap 安装nmap
常见 的选 项 选项的作用
-p 指定扫描的端口。
-n 禁用反向DNS解析(以加快扫描速度)
-sS TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYNACK响应包就认为目标端口正在监听,并立即断开连接; 否则认为目标端口并未开放。
-sT TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否 则认为目标端口并未开放。
-sF TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放 弃扫描。
natstat常用选项 作用
-a 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。
-n 以数字的形式显示相关的主机地址、端1等信息。
-t 查看TCP相关的信息。
-u 显示UDP协议相关的信息。
-p 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r 显示路由表信息。
-l 显示处于监听状态的网络连接及端口信息。
示例:
分别查看本机开放的TCP端口、UDP端口
检测192.168.59.0/24网段有哪些存活主机
Linux系统安全和应用相关推荐
- 【Linux系统】基础总结
我不太清楚运维部门具体是做什么的,就接触过一点点运维部门! 也就是是知道他们负责管理服务器,管理网络,管理项目部署 偶尔自己需要部署,不得不接触一些linux命令.简单总结一些基础 linux系统发展 ...
- Linux系统中创建大文件,并作为文件系统使用
在LInux系统的使用过程中,有时候会遇到诸如某个磁盘分区的大小不够用了,导致其下的文件系统不能正常写入数据.亦或者是系统swap分区太小,不够用或者不满足条件而导致的其他一系列问题.如果我们系统上挂 ...
- Linux系统开发之路-中
4.Linux的安装(Windows环境下): 1)Windows环境需要借助虚拟机来安装Linux系统,这个推荐使用的软件是VMWare,官网能下载到的最新版本是Workstation Pro15. ...
- Linux学习之三-Linux系统的一些重要配置文件
Linux学习之三-Linux系统的一些重要配置文件 1.网卡配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0 说明: DEVICE=eth0 ...
- 关于内网linux系统如果安装nodejs,npm,express,mongodb,forever等
内网的linux系统要安装nodejs以及express等系列的框架,因为系统是局域网和互联网是物理隔离的,所以,没法像官网的安装教程那样直接install了,只能手动安装,这里已经我们自己的linu ...
- linux源码安装浏览器,Linux系统手动安装Firefox浏览器
大多数Linux发行版都以Firefox作为默认的浏览器,并可以轻松地从软件库中安装.例如: Debian/Ubuntu: sudo apt-get install firefox Fedora: s ...
- 计划任务执行php文件,linux系统下添加计划任务执行php文件方法
在web开发过程中,经常需要设定一些定期执行的任务,比如商品定时上下架.我们以php文件为例,讲解linux下的计划任务. 方法/步骤 1.打开linux系统命令行界面. 在命令行界面中输入如下命令: ...
- .tar.gz mysql 安装_mysql tar.gz 版本 linux系统的安装-Go语言中文社区
mysql下载地址: https://dev.mysql.com/downloads/mysql/ 1. 上传下载的tar.gz文件发送到linux 上传的路径: /usr/local/mysql/ ...
- qt工程在linux系统里颜色显示错误_【飞凌嵌入式RK3399开发板试用体验】+QT开发环境搭建测试(二)...
作者:飞扬的青春 在拿到开发板之后,已经体验了Android操作系统,接下来就是体验Linux下的开发,本次以QT的一个小案例来测试下. 首先是自己先搭建了一个Ubuntu18.04的虚拟机,使用真机 ...
- 外网访问arm嵌入式linux_嵌入式Linux系统编程——文件读写访问、属性、描述符、API
Linux 的文件模型是从 Unix 的继承而来,所以 Linux 继承了 UNIX 本身的大部分特性,然后加以扩展,本章从 UNIX 系统接口来描述 Linux 系统结构的特性. 操作系统是通过一系 ...
最新文章
- User Profile Service 服务未能登录转载自(sailing的新浪博客)
- [一文一命令]head命令详解
- STM32F4 HAL库开发 -- 温度传感器(DS18B20)
- oracle 根据spid查sql,探讨:Oracle数据库查看一个进程是如何执行相关的实际SQL语句...
- linux之shell编程基本语法
- JavaWeb 项目启动时,后台开启一个线程的方法
- jzoj4598. 【NOIP2016模拟7.9】准备食物
- react学习(5)----通过设置初始值控制页面render渲染
- C#窗体间的数据传值(转)
- C++中类成员函数作为多线程的入口
- 图像匹配得到精确的旋转角度
- 用Java实现文本编辑器:创建、浏览、编辑文件;剪贴、复制、粘贴;保存、另存为;字符统计;自动换行
- Fisher精确检验【转载】
- 家庭整理-《家庭断舍离》书中的精髓:如何通过家庭断舍离,来消除家居环境和家庭关系间的堆积物,从而拥有自由舒适的家庭关系。
- ad17编辑界面怎么检查未连线_EZCast“未发现装置,请检查网路连线状态”解决办法是什么?EZCast提示“未发现装置,请检查网路连线状态”如何解决?...
- MAC显示屏的网页图片兼容方案
- org.xml.sax.SAXParseException: 在实体引用中, 实体名称必须紧跟在 '' 后面
- 扩大文字a链接的可点击区域
- 加油站APP开发定制功能
- python切面异常处理_node端统一错误处理
热门文章
- 小试ildasm,ilasm,ilspy
- brew的MAC安装
- 毕业论文管理系统用例图和活动图
- 数位DP 学习笔记1(数位DP入门)
- OpenCascade源码分析之BRepMesh_IncrementalMesh(网格离散化操作)
- git fatal: cannot lock ref ‘HEAD‘:unable to resolve reference‘refs/heads/main‘:reference broken
- C语言——冒泡排序(分析详解)
- mysql重启后数据库消失_linux重启后mysql数据库文件全部丢失mysql无法启动
- c语言标识符的开头字母能不能大写,C语言-标识符
- DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATION error