防火防盗防闺蜜——linux系统安全及应用
这里写目录标题
- 一、账号安全控制
- 1.1基本安全措施
- 1.1.1系统账号的清理
- 1.1.1.1将非登录用户的Shell设为/sbin/nologin
- 1.1.1.2锁定长期不使用的账号
- 1.1.1.3删除无用账号
- 1.1.1.4锁定账号文件passwd、shadow
- 1.1.2密码安全控制
- 1.1.2.1设置密码有效期
- 1.1.2.2要求用户下次登录时修改密码
- 1.1.3命令历史、自动注销
- 1.1.3.1命令历史限制
- 1.1.3.2终端自动注销
- 1.2用户切换与提权(加入wheel组)
- 1.2.1su命令—切换用户
- 1.2.2sudo命令—提升执行权限
- 1.3PAM安全认证
- 二、系统引导和登录控制
- 2.1开关机安全控制
- 2.1.1调整BIOS引导设置原则
- 2.1.2GRUB菜单设置
- 2.1.3GRUB限制的实现
- 2.2终端及登录控制
- 2.2.1限制root用户只在安全终端登录
- 2.2.2禁止普通用户登录
- 三、弱口令检测、端口扫描
- 3.1弱口令检测—Joth the Ripper
- 3.1.1Joth the Ripper实例
- 3.2网络扫描—NMAP
一、账号安全控制
1.1基本安全措施
1.1.1系统账号的清理
1.1.1.1将非登录用户的Shell设为/sbin/nologin
将非登录用户的Shell设为/sbin/nologin
- 在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,
除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录
,常见的非登录用户有bin、adm、mail、lp、nobody、ftp
等。
- 在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,
usermod -s /sbin/nologin 用户名
1.1.1.2锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二
1.1.1.3删除无用账号
[root@localhost ~]# userdel yr
[root@localhost ~]# userdel -r ys
1.1.1.4锁定账号文件passwd、shadow
[root@localhost ~]# chattr `+i` /etc/passwd /etc/shadow `锁定文件`,包括root也无法修改
[root@localhost ~]# chattr `+i` /etc/passwd **//passwd下存放的是用户信息**
[root@localhost ~]# chattr `+i` /etc/shadow **//shadow下存放的是密码,权限修改都在这里**
[root@localhost ~]# chattr `-i` /etc/passwd /etc/shadow `解锁`文件
[root@localhost ~]# `lsattr` /etc/passwd /etc/shadow`查看文件状态属性`
1.1.2密码安全控制
1.1.2.1设置密码有效期
1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改`已经存在的用户`
2.[root@localhost ~]# vim /etc/login.defs 这种适合以后`添加新用户`PASS_MAX_DAYS 30
- 修改存在用户密码有效期实例
- 新用户的实例
1.1.2.2要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 hxd 强制要求用户下次登陆时修改密码
注意:-d代表密码的最后一次修改
0可以改为具体的时间eg:chage -d 2022-04-07 hxd
1.1.3命令历史、自动注销
1.1.3.1命令历史限制
减少记录命令的条数
注销时自动情况命令历史
减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile [root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户[root@localhost ~]# source /etc/profile [root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效3. 注销时自动清空命令:[root@localhost ~]# vim ~/.bashrcecho "" > ~/.bash_history
案列2:
1.1.3.2终端自动注销
闲置600秒后自动注销:
[root@localhost ~]#vim .bash_profile 进入配置文件export TMOUT=60 全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile
[root@localhost ~]# echo $TMOUT[root@localhost ~]# export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效
[root@localhost ~]#vim .bash_profile # export TMOUT=60 注释掉这条命令,就不会自动注销了
shift+G切换至行尾加入
注销时自动清空历史命令
1.永久清除:
2.临时清除【重启缓存还在】:
1.2用户切换与提权(加入wheel组)
1.2.1su命令—切换用户
1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)- 密码验证:
root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境Root切换 到任意用户 不需要验证密码;而普通用户 切换到 其他用户都需要密码2.查看su操作记录
安全日志文件:/var/log/secure
查看所有su操作记录:vim /var/log/secure
3.whoami确定当前用户是谁
4. vim /etc/pam.d/su把第六行注释去掉保存退出默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码
案列:
1.2.2sudo命令—提升执行权限
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令1.配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件,可以授权用户较多的时使用
Host_Alias MYHOST= localhost 主机名User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
3.
1.3PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
实现过程如下: 将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
在/etc/pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/su
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是运行所有用户都能使用su命令,但root’下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam
rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
[root@localhost ~]# gpasswd -a zhangsan wheel #添加授权用户 zhangsan
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group #确认 wheel 组成员
wheel:x:10:zhangsan
[root@localhost ~]# vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid #去掉此行开头的 # 号
什么是PAM?
PAM(Pluggable Authentication Modules)可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式;
也是当前Linux服务器普遍使用的认证方式。
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
2.PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
4.如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
ls /etc/pam.d/ | grep su
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。
用户登录su --> su服务 ----> 调佣PAM模块中SU---->读取模块中的配置文件--->在读取文件当中又要request认证 --->最后还要读取lib64下的配置文件security
PAM 认证类型包括四种:
认证管理(authentication management): 接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management): 检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
密码管理(password management): 主要是用来修改用户的密码;
会话管理(session management): 主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1)required 验证失败时仍然继续,但返回 Fail
2)requisite 验证失败则立即结束整个验证过程,返回 Fail
3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
4)optional 不用于验证,只是显示信息(通常用于 session 类型)
面试案例
required:前面回答的不好,面试官说没关系,你继续回答,最后面试官回答,不好意思你不适合我们这里工作
requisite:你在我这边不通过,只要有一个回答不上来,你就不通过
sufficient:我后面有关系,如果回答上来就直接通过,如果回答不上来,没关系,后面继续找人回答,只要我答出来,就让我过
二、系统引导和登录控制
2.1开关机安全控制
2.1.1调整BIOS引导设置原则
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、 U盘、网络)引导系统;
- 将安全级别设为setup,并设置管理员密码。
禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启
2.1.2GRUB菜单设置
- 未经授权禁止修改启动参数
- 未经授权禁止进入指定系统
2.1.3GRUB限制的实现
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。- 使用grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码;- 修改/etc/grub.d/00_ header文件中, 添加密码记录;- 生成新的grub.cfg配置文件。法一:
1. 使用grub2-mkpasswd-pbkdf2 生成密钥并复制,然后备份两个配置文件。
2. 修改/etc/grub.d/00_ header文件中, 添加密码记录,并存并退出
法二:
【一步到位】直接设置grub2—setpasswd 设置grub密码1.生成新的grub.cfg文件,然后**重启系统**
2.验证结果
法一:
法二:
2.2终端及登录控制
2.2.1限制root用户只在安全终端登录
安全终端配置:/etc/securetty
步骤:
1.更改相关配置文件
2.切换至指定终端进行测试
3.切换至其他终端进行测试
2.2.2禁止普通用户登录
- 建立/etc/nologin文件
- 删除nologin文件或者重启后即恢复正常
三、弱口令检测、端口扫描
3.1弱口令检测—Joth the Ripper
- 一款密码分析工具,支持字典式的暴力破解;
- 通过对shadow文件的口令分析,可以检测密码强度;
- 官方网站:John the Ripper password cracker
3.1.1Joth the Ripper实例
- 安装方法 :
make clean 系统类型
- 主程序文件为
john
1. 把下载好的安装包用过rz命令下到目录opy下(sz可以把linux系统中的文件传到自己的windows系统中):
[root@localhost ~]#cd /opt
[root@localhost ~]#rz
[root@localhost opt]#ls
john-1.8.0.tar.gz
2. 解压
[root@localhost opt]#tar zxvf john-1.8.0.tar.gz
3. 安装软件编译工具
[root@localhost src]#yum install gcc gcc-c++ make -y
4. 进行编译安装
[root@localhost src]#make clean linux-x86-64
5. 准备待破解的密码文件
[root@localhost src]#cd .. 切换至上级目录
[root@localhost src]#cp /etc/shadow /opt/shadow.txt 准备密码文件6. 执行暴力破解
[root@localhost src]#cd /opt/john-1.8.0/run/
[root@localhost run]#./john /opt/shadow.txt
7.查看已经破解出的密码
[root@localhost run]#./john --show /opt/shadow.txt
3.2网络扫描—NMAP
- 一款强大的网络扫描、安全 检测工具
- 官方网站:http://nmap.org/
- CentOS 7.7光盘中安装包 nmap-6.40-7.el7.x86_64.rpm
控制位:
控制位 | 功能 |
---|---|
SYN | 建立链接 |
ACK | 确认 |
FIN | 结束断开 |
PSH | 传送 0 数据缓存 上层应用协议 |
RST | 重置 |
URG | 紧急 |
**常用格式:**nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
[root@localhost run]#rpm -qa|grep nmap 查看nmap
[root@localhost run]#yum install -y nmap 安装nmap
常见 的选 项 | 选项的作用 |
---|---|
-p | 指定扫描的端口。 |
-n | 禁用反向DNS解析(以加快扫描速度) |
-sS | TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYNACK响应包就认为目标端口正在监听,并立即断开连接; 否则认为目标端口并未开放。 |
-sT | TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否 则认为目标端口并未开放。 |
-sF | TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而 忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 |
-sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。 |
-sP | ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。 |
-P0 | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放 弃扫描。 |
natstat常用选项 | 作用 |
---|---|
-a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。 |
-n | 以数字的形式显示相关的主机地址、端1等信息。 |
-t | 查看TCP相关的信息。 |
-u | 显示UDP协议相关的信息。 |
-p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
-r | 显示路由表信息。 |
-l | 显示处于监听状态的网络连接及端口信息。 |
示例:
1.分别查看本机开放的TCP端口、UDP端口
2.检测192.168.59.0/24网段有哪些存活主机
防火防盗防闺蜜——linux系统安全及应用相关推荐
- 防火防盗防闺蜜之linux的iptables防火墙
文章目录 一.Linux防火墙 1.防火墙的2种称呼 2.防火墙的工作方式 3.配置文件 二.iptables的四表五链 1.规则表-四表 2.规则链-五链 3.四表五链的关系 4.数据包过滤的匹配过 ...
- 透明加密支持linux吗,IP-guard文档透明加密软件|文档防泄密|数据加密|Linux系统加密|Mac苹果系统文档加密...
IP-guard文档透明加密软件|文档防泄密|数据加密|Linux系统加密|Mac苹果系统文档加密 发布日期:2018-06-02 IP-guard全向文档加密,采用高强度的加密算法,将各种格式的电子 ...
- OSChina 娱乐弹弹弹——程序猿如何防火防盗防单身 OR 防败家?
2019独角兽企业重金招聘Python工程师标准>>> 周一啦,明天就是万众瞩目的光棍节,过个光棍节容易嘛我,已经持续一周被各种光棍节信息轰炸,现在中毒已深.听说现在光棍节有两个解释 ...
- linux第三方模块参数,nginx 的第三方模块ngx_http_accesskey_module 来实现下载文件的防盗链步骤(linux系统下)...
nginx 的第三方模块ngx_http_accesskey_module 来实现下载文件的防盗链步骤(linux系统下),安装Nginx和HttpAccessKeyModule模块(参考LNMP环境 ...
- 一款开源免注册的加密工具,防火防盗防泄密~
大家平时使用电脑或云盘时,有没有什么特别重要的文件,需要额外的更安全的保护?以防止被别人盗窃毁坏? 今天呢TJ君就给大家介绍一款开源的文件加密软件工具,Cryptomator. Cryptomator ...
- 防火防盗防辅导作业,“因材施教”的智慧课堂来了
根据近日发布的<中国儿童发展报告(2019)--儿童校外生活状况>显示,我国近8成中小学生睡眠不达标,孩子们校外生活花费时间最多的竟然是--做作业. 开学了,又有一批新的家长遇到了辅导作业 ...
- linux防网络攻击,让Linux系统有效防御ARP攻击
[IT168 专稿]管理员用户登录,打开终端输入 1.#arp -a > /etc/ethers 将ip和mac地址导入ethers 2.#vi /etc/ethers 编辑文件格式,ether ...
- MySQL安全秘籍:守护数据金库,防火防盗防攻击
文章目录 一.简介 1.1 为什么MySQL安全很重要 1.2 MySQL安全的威胁 二.配置安全性 2.1 基本配置 2.2 安全连接 2.3 加密 2.4 身份验证 2.5 日志记录 三.用户管理 ...
- 买g 怀旧 被封号_防火防盗防封号 《魔兽世界》怀旧服自救指南
"<魔兽世界>怀旧服中,一向是谨小慎微,满级之后除了带朋友打打血色刷刷装备下下金团,这次就收了点金,怎么就封号了呢?"很多魔兽玩家尽管已经小心游戏了,但经常一不注意,还 ...
最新文章
- Linux环境下使用dosemu写汇编
- Dubbo架构的特点
- mybatis知识点
- iOS项目之同时点击多个按钮解决方案
- Git 的BUG小结
- cocos2d-x CCArray用法 遍历和删除元素
- 深度学习2.0-29.卷积神经网络
- hadoop shell 详解
- 版本控制工具(GIT)
- Unity使用Animator.CrossFade后,脚本的OnExitState函数还执行吗
- 简单人物画像_简易人物画像图
- Android开发中自定义表情并发送出去之经典的发送表情
- 经典俄罗斯方块游戏手机版
- word2016在方块里打勾
- Java面试宝典2017版
- 基于Wireshark的TCP SACK重传介绍
- 软件工程到底是学啥的?就业前景咋样?
- Linux 的 Parted 指令
- DNF手游多开搬砖赚RMB攻略
- 乐鑫Esp32学习之旅29 安信可 ESP32-Cam 摄像头开发板二次开发 C SDK编程,实现本地视频流监控。(附带源码)