Linux基本防护措施
1.修改用户的账号属性,设置为有效期日失效(禁止登录)
1)正常情况下,未过期的账号可以正常登录,使用chage可以修改账户有效期
chage命令的语法格式: chage -l 账户名称 #查看账户信息 chage -E 时间 账户名称 #修改账户有效期2)失效的用户将无法登录
使用chage命令将用户的账户设为当前已失效(比如已经过去的某个时间)
[root@proxy ~]# useradd zhangsan #创建账户 [root@proxy ~]# passwd zhangsan #设置密码 [root@proxy ~]# chage -E 2017-12-31 zhangsan #设置账户过期时间尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。
3)重设用户的属性,将失效时间设为2019-12-31
[root@proxy ~]# chage -E 2019-12-31 zhangsan #修改失效日期 [root@proxy ~]# chage -l zhangsan #查看账户年龄信息 Last password change : May 15, 2017 Password expires : never Password inactive : never Account expires : Dec 31, 2019 Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 74)重设用户zhangsan的属性,将失效时间设为永不过期
[root@proxy ~]# chage -E -1 zhangsan #设置账户永不过期5)定义默认有效期
/etc/login.defs这个配置文件,决定了账户密码的默认有效期
[root@proxy ~]# cat /etc/login.defs PASS_MAX_DAYS 99999 #密码最长有效期 PASS_MIN_DAYS 0 #密码最短有效期(root可以随便改,0:当天随便改,1:一天之后才能改) PASS_MIN_LEN 5 #密码最短长度 PASS_WARN_AGE 7 #密码过期前几天提示警告信息 UID_MIN 1000 #UID最小值 UID_MAX 60000 #UID最大值
2.临时锁定用户的账户,使其无法登录,验证效果后解除锁定
1)锁定用户账号
使用passwd或usermod命令将用户zhangsan的账户锁定
[root@proxy ~]# passwd -l zhangsan #锁定用户账号(lock) 锁定用户 zhangsan 的密码。 passwd: 操作成功 [root@proxy ~]# passwd -S zhangsan #查看状态(status) zhangsan LK 2018-02-22 0 99999 7 -1 (密码已被锁定。)2)验证用户zhangsan已无法登录,说明锁定生效
输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。3)解除对用户zhangsan的锁定
root@proxy ~]# passwd -u zhangsan #解锁用户账号(unlock) 解锁用户 zhangsan 的密码 。 passwd: 操作成功[root@proxy ~]# passwd -S zhangsan #查看状态 zhangsan PS 2018-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)
3.修改tty终端提示,使得登录前看到的第一行文本为“............",第二行文本为".......”
1)账户在登录Linux系统时,默认会显示登陆信息(包括操作系统内核信息)
/etc/issue这个配置文件里保存的就是这些登陆信息,修改该文件防止内核信息泄露。
[root@proxy ~]# cat /etc/issue #确认原始文件 Red Hat Enterprise Linux Server release 7.5 Kernel \r on an \m[root@proxy ~]# cp /etc/issue /etc/issue.origin #备份文件[root@proxy ~]# vim /etc/issue #修改文件内容 Windows Server 2012 Enterprise R2 NT 6.2 Hybrid2)测试版本伪装效果 退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容
4.锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改
1)语法格式
# chattr +i 文件名 #锁定文件(无法修改、删除、追加等)(包括root用户) # chattr -i 文件名 #解锁文件 # chattr +a 文件名 #锁定后文件仅可追加 # chattr -a 文件名 #解锁文件 # lsattr 文件名 #查看文件特殊属性
2) 使用+i锁定文件,使用lsattr查看属性
[root@proxy ~]# chattr +i /etc/resolv.conf [root@proxy ~]# lsattr /etc/resolv.conf ----i---------- /etc/resolv.conf3)使用+a锁定文件(仅可追加),使用lsattr查看属性
[root@proxy ~]# chattr +a /etc/hosts [root@proxy ~]# lsattr /etc/hosts -----a---------- /etc/hosts4)测试文件锁定效果
[root@proxy ~]# rm -rf /etc/resolv.conf rm: 无法删除"/etc/resolv.conf": 不允许的操作 [root@proxy ~]# echo xyz > /etc/resolv.conf -bash: resolv.conf: 权限不够[root@proxy ~]# rm -rf /etc/hosts #失败 [root@proxy ~]# echo "192.168.4.1 xyz" > /etc/hosts #失败 [root@proxy ~]# echo "192.168.4.1 xyz" >> /etc/hosts #成功5)恢复这两个文件原有的属性
[root@proxy ~]# chattr -i /etc/resolv.conf [root@proxy ~]# chattr -i /etc/hosts [root@proxy ~]# lsattr /etc/resolv.conf /etc/hosts --------------- /etc/resolv.conf --------------- /etc/hosts
5.关闭不需要的服务
[root@ecs-proxy ~]# systemctl stop postfix atd tuned
[root@ecs-proxy ~]# yum remove -y postfix at audit tuned kexec-tools firewalld-*
[root@ecs-proxy ~]# vim /etc/cloud/cloud.cfg
# manage_etc_hosts: localhost 注释掉这一行
[root@ecs-proxy ~]# reboot
Linux基本防护措施相关推荐
- Linux基本防护措施案例\使用sudo分配管理权限案例\提高SSH服务安全案例\SELinux安全防护\Linux基本防护措施
案例1:Linux基本防护措施 案例2:使用sudo分配管理权限 案例3:提高SSH服务安全 案例4:SELinux安全防护 1 案例1:Linux基本防护措施 1.1 问题 本案例要求练习Linux ...
- selinux + sudo +ssh +passwd
Top NSD SECURITY DAY01 案例1:Linux基本防护措施 案例2:使用sudo分配管理权限 案例3:提高SSH服务安全 案例4:SELinux安全防护 1 案例1:Linux基本防 ...
- 使用Linux进行缓冲区溢出实验的配置记录
在基础的软件安全实验中,缓冲区溢出是一个基础而又经典的问题.最基本的缓冲区溢出即通过合理的构造输入数据,使得输入数据量超过原始缓冲区的大小,从而覆盖数据输入缓冲区之外的数据,达到诸如修改函数返回地址等 ...
- Linux -- 利用IPS(***防御系统) 构建企业Web安全防护网
一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的***进行过滤.这样一个两级的过滤模式,可 ...
- Kali Linux信息收集工具全
可能大部分渗透测试者都想成为网络空间的007,而我个人的目标却是成为Q先生! 看过007系列电影的朋友,应该都还记得那个戏份不多但一直都在的Q先生(由于年级太长目前已经退休).他为007发明了众多神奇 ...
- 转--Linux邮件服务器软件比较
Linux邮件服务器软件比较 出处:www.5dmail.net 作者:5dmail 几年以前,Linux环境下可以选择 的可以免费邮件服务器软件只有Sendmail,但是由于Sendmail的缺陷 ...
- 鸟哥的Linux私房菜(服务器)- 第五章、 Linux 常用网络指令
第五章. Linux 常用网络指令 最近更新日期:2011/07/18 Linux 的网络功能相当的强悍,一时之间我们也无法完全的介绍所有的网络指令,这个章节主要的目的在介绍一些常见的网络指令而已. ...
- 如何选择你最合适的linux系统
当你对别人说,"我要买辆车."他马上就会问你:"什么车?"福特.丰田.还是本田?是双门跑车.小轿车.还是面包车?当然,还有其他类似的问题. 同样,如果你说&qu ...
- linux下网络排错与查看
linux下网络排错与查看 2014-09-25 0个评论 来源:生死看淡,不服就干! 收藏 我要投稿 基本的故障排除错误 故障的排除一定是先简单后复杂的,有的人把上述的文件 ...
最新文章
- 如何让Git适应敏捷开发流程?
- 一起谈.NET技术,在.NET Workflow 3.5中使用多线程提高工作流性能
- 使用mybatis generator 生成annotation形式的mapper
- 如何量化考核技术人的KPI?
- 阶段1 语言基础+高级_1-3-Java语言高级_05-异常与多线程_第6节 Lambda表达式_5_Lambda表达式的无参数无返回值的...
- CSRF和SSRF漏洞
- 淘宝店铺店名起、分类如何定【太原网络营销师】教你
- python职位要求_python 开发工程师职位描述与岗位职责任职要求
- cute-cnblogs 自定义博客园样式美化二期来啦~
- SpringSecurity 密码加密
- 102 613 SWP协议学习笔记--数据链路层
- windos未能链接服务器,提示Windows没法连接到System Event Notification Service服务
- 【JavaScript】 数组 重要方法详解篇(一)
- 社科院与杜兰大学金融管理硕士项目——与优秀的人同行,做更好的自己!
- 企业微信给用户带来的是社交减负还会是社交焦虑?
- PHP 将大量数据导出到 Excel 的方法
- 突发!47岁技术传奇陈皓(左耳朵耗子)去世,叛逆人生不断创业,网友纷纷悼念...
- js 拖拽元素 鼠标速度过快问题
- Linux C/C++ 设置混杂模式的三种方法
- (六)CMake与FFTW