1、系统账号清理
指定用户的登录shell
grep "/sbin/nologin$" /etc/passwd
usermod -s /sbin/nologin lisi //用户lisi不可登录
usermod -s /bin/bash lisi //用户lisi可以登录
1.1 账号锁住
usermod -L zhangsan //锁定账号
passwd -S zhangsan //查看账号状态
passwd -l zhangsan //锁定用户账户
1.2 解锁账号
usermod -U zhangsan //解锁账号
passwd -u zhangsan //解锁账号
1.3 删除无用账号
userdel -r 用户名
1.4 锁定文件、解锁文件
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法.使用 chattr 命令,分别结合“+i”“-i”选项来锁定、解锁文件,使用 lsattr 命令可以查看文件锁定情况
chattr +i /etc/passwd /etc/shadow //锁定文件(锁住passwd无法创建用户)
lsattr /etc/passwd /etc/shadow //查看为锁定的状
chattr -i /etc/passwd /etc/shadow //解锁文件
lsattr /etc/passwd /etc/shadow //查看为解锁的状态
2、密码安全控制
2.1 设置密码有效期
vim /etc/login.defs //适用于新建的用户
PASS_MAX_DAYS 30 //设置密码有效期30天 (默认99999)
PASS_MIN_DAYS 0 //表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是 0
PASS_MIN_LEN 5 //密码最小长度,对于root无效 18位包含密码复杂性 大写 、小写、字符、数字(指定密码的最小长度,默认不小于 5 位,但是现在用户登录时验证已经被 PAM 模块取代,所以这个选项并不生效。)
chage 命令用于设置密码时限
用法:chage [选项] 登录
-d, --lastday 最近日期 将最近一次密码设置时间设为“最近日期”
-E, --expiredate 过期日期 将帐户过期时间设为“过期日期”
-I, --inactive INACITVE 过期 INACTIVE 天数后,设定密码为失效状态
-l, --list 显示帐户年龄信息
-m, --mindays 最小天数 将两次改变密码之间相距的最小天数设为“最小天数”
-M, --maxdays 最大天数 将两次改变密码之间相距的最大天数设为“最大天数”
-R, --root CHROOT_DIR chroot 到的目录
-W, --warndays 警告天数 将过期警告天数设为“警告天数”
chage -M 30 lisi //适用于已有的 lisi 用
chage -l lisi //查看
cat /etc/shadow | grep lisi
2.2要求用户下次登录时修改密码
chage -d 0 lisi //强制要求用户zhangsan下次登录时重设密码
cat /etc/shadow | grep lisi
chage -d 99999 lisi //不被强制要求修改密码
3、 命令历史限制
终端自动注销
闲置600s后自动注销
3.1 减少记录的命令条数
vim /etc/profile
HISTSIZE=10 //直接把history条数改为10(默认1000) #适用于新登录用户
或
export HISTSIZE=10 //在最后添加(登入时显示10条历史) #适用于当前用户
source /etc/profile //刷新history
3.2注销时自动清空命令历史
永久清空history
1、
echo " " > /root/.bash_history
2、
vim /root/.bashrc
echo " " > /root/.bash_history //G到行尾,添加
3、
vim /root/.bash_logout //(登出时执行)
history -c //G到行尾,添加
临时清除
history -c
每个用户登出时都清除输入的命令历史记录
vim /etc/skel/.bash_logout
rm -f $HOME/.bash_histor //G到行尾,添加
3.3终端自动退出
1、
vim /etc/profile (登录时执行)
export TMOUNT=30 //30秒没动,自动登出 #(适用于新登录用户)
2、
export TMOUT=30 //30秒没动,自动登出 #(适用于当前用户)
export TMOUT=0 //取消自动登出
.bash_profile”文件中的命令将在该用户每次登录时被执行
4、限制su命令用户
默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root) 的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel 认证模块,只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
4.1禁止用户使用su命令
vim /etc/pam.d/su
auth sufficient pam_ rootok.so
#auth required pam_ wheel.so use_ _uid
1、以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
2、两行都注释也是运行所有用户都能使用su命令,但root’下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
3、如果开启第一行第二行,表示只有root用户和wheel组内的用户才可以使用su命令
4、如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
例:
只允许root和wheel组内用户使用su命令
gpasswd -a zhangsan wheel //添加授权用户 zhangsan到wheel组
grep wheel /etc/group //确认 wheel 组成员
vim /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid //去掉此行开头的 # 号
普通用户切换登录测试验证
使用 su 命令切换用户的操作将会记录到安全日志/var/log/secure 文件中,可以根据需要进行查看。
tail -f /var/log/secure
4.2 PAM安全认证
Linux-PAM,是linux可插拔认证模块,是一套可定制、 可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。
PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/1ib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的。(通过配置文件调用动态函数库)
ls /lib64/security
PAM认证原理:
1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so;
2.PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于
/lib64/security/下)进行安全认证。
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM 认证,可以用ls命令进行查看/etc/pam.d/
例:查看su是否支持PAM模块认证
ls /ect/pam.d |grep su //查看su是否支持PAM模块认证
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用,一共有四列 vim /etc/pam.d/su
第一列代表PAM认证模块类型
auth: 对用户身份进行识别,如提示输入密码,判断是否为root。
account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。
password: 使用用户信息来更新数据,如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个,之间用空格分隔开
控制标记的补充说明:
required:表示该行以及所涉及模块的成功是用户通过鉴别的[必要条件]。换句话说,只有当对应于应用程序的所有带
required:标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带requi red标记的模块出现了错误,PAM并不立
刻将错误消息返回给应用程序,而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。反正说白了,就是必须将所有的此类型模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop-样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与 required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败 就不再执行堆中后面的其他模块,并且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一些。
sufficient:表示该行以及所涉及模块验证成功是用户通过鉴别的[充分条件]。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite或者required控制标志也是一 样。当标记为sufficient的模块失败时,sufficient模块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不会导致整个验证失败,但执行验证成功之时则大门敞开。所以该控制位的使用务必慎重。
optional:他表示即便该行所涉及的模块验证失败用户仍能通过认证。在PAM体系中,带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败,也允许用户享受应用程序提供的服务。使用该标志,PAM框架会忽略这个模块产生的验证错误,继续顺序执行下一个层叠模块。
每一行都是一个独立的认证过程;
每一行可以区分为三个字段: 认证类型 ; 控制类型 ; PAM 模块及其参数
PAM 认证类型包括四种:
认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过 期,帐号的登录是否有时间段的限制等;
密码管理(password management):主要是用来修改用户的密码;
会话管理(session management):主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1)required 验证失败时仍然继续,但返回 Fail
2)requisite 验证失败则立即结束整个验证过程,返回 Fail
3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
4)optional 不用于验证,只是显示信息(通常用于 session 类型)
面试案例
required:前面回答的不好,面试官说没关系,你继续回答,最后面试官回答,不好意思你不适合我们这里工作
requisite:你在我这边不通过,只要有一个回答不上来,你就不通过
sufficient:我后面有关系,如果回答上来就直接通过,如果回答不上来,没关系,后面继续找人回答,只要我答出来,就让我过
PAM实例:
用户1 用户2 用户3 用户4
auth required 模块1 pass fail pass pass //第一个成功与否都会忽略,继续进行
auth sufficient 模块2 pass pass fail pass
auth required 模块3 pass pass pass fail //第一个成功就成功; 第一个失败就失败
结果 pass fail pass pass
5、sudo机制提升权限
系统管理员可以为用户分配执行特定命令的权限,而无需直接给出root密码,这增强了系统的安全性和审计能力。 (管理员给什么权限,你就有什么权限)
使用sudo机制提升
visudo
vim /etc/sudoers (此文件的默认权限为440, 保存退出时必须执行" :wq! "命令来强制操作)
语法格式:
用户 主机名 = 命令程序列表
用户 主机名 = (用户)命令程序列表
用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令.
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“ , "进行分隔。ALL则代表系统中的所有命令
示例
Tom ALL=/sbin/ifconfig (ALL代表所有主机)
Jerry localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff
#通配符“*"表示所有、取反符号“!”表示排除 优先级最高的是取反符号 “!”
%wheel ALL=NOPASSWD: ALL
#表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL= (root) NOPASSWD: /bin/ki1l, /usr/bin/killall
gpasswd -M lisi wheel //李四加入wheel组
sudo [参数选项] 命令
-l 列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;
-v 验证用户的时间戳;如果用户运行sudo 后,输入用户的密码后,在短时间内可以不用输入口令来直接进行sudo 操作;用-v 可以跟踪最新的时间戳;
-u 指定以以某个用户执行特定操作;
-k 删除时间戳,下一个sudo 命令要求用求提供密码;
案列一:lisi 用户可以使用useradd usermod
需求:lisi root用户下的权限 useradd usermod
visudo
lisi ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel
lisi ALL=(root) NOPASSWD: /usr/sbin/useradd,PASSWD: /usr/sbin/userdel
#前面不需要输入密码 ,后面需要输入密码
测试:
su - lisi
sudo /usr/sbin/useradd zhangsan //在lisi下创建新用户zhangsan
lisi 的密码:
tail -2 /etc/passwd
zhangsan:x:1005:1005::/home/zhangsan:/bin/bash
lisi:x:1006:1006::/home/lisi:/bin/bash
sudo -l #查看当前用户获得哪些sudo授权
案列二: 用户可以临时创建网卡
visudo
yu Centos7-1=(root) NOPASSWD: /usr/sbin/ifconfig
测试
su - yu
sudo ifconfig ens33:0 192.168.190.11/24 //创建网卡ens33:0
sudo - l //查看当前用户获得哪些sudo授权
#初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期间不再重复验证密码。
6、用户别名
当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、 主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。
grep "wheel" /etc/group //查看组下面的用户
6.1用户别名语法格式及案例
用户别名的语法格式:
1)User_Alias 用户别名:包含用户、用户组(%组名(使用%引导))、还可以包含其他已经用户的别名
User_Alias OPERATORS=zhangsan,tom,lisi
2)Host_Alias
主机别名:主机名、IP、网络地址、其他主机别名 ( !取反)
Host_Alias MAILSVRS=smtp,pop
3)Cmnd_Alias
命令路径、目录(此目录内的所有命令)、其他事先定义过的命令别名
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum
案例一 :用户别名
使用关键字User_ Alias、 Host_ Alias、 Cmnd Alias 来进行设置别名(别名必须为大写)(名字随便取)
1、
visudo
Host_Alias MYHOSTS =localhost,Centos7-1
User_Alias MYUSERS = yu,lisi
Cmnd_Alias MYCMNDS =/sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/yum
MYUSERS MYHOSTS=NOPASSWD: MYCMNDS //映射
不加NOPASSWD也行
2、
User_Alias USERS=Tom, Jerry,Mike
Host_Alias HOSTS=localhost, bogon
Cmnd_Alias CMNDS=/sbin/ifconfig, /usr/sbin/useradd, /usr/sbin/userdel
USERS HOSTS=CMNDS //映射
案列二 :用户别名
通过别名方式来添加授权记录,允许用户wangliu、 wangliu组、useradmin组 并且定义命令别名。
在主机 smtp、pop 中执行 rpm、yum 命令
User_Alias USERS = wangliu,%wangliu ,%useradmin
Cmnd_Alias CMNDS =/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd,!/usr/bin/passwd root #前面的优先级最高
USERS ALL=(root) NOPASSWD: CMNDS
验证别名以及命令路径
注bug
sudo passwd root 测试
解决方法
Cmnd_Alias CMND =/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,! /usr/bin/passwd root
6.2 启用sudo操作日志
visudo
Defaults logfile = "/var/log/sudo" //启用日志
sudo日志记录以备管理员查看,应在/etc/sudoers 文件中增加“Defaults logfile”设置
如果已经启用 sudo 日志,则可以从/var/log/sudo 文件中看到用户的 sudo 操作记录。
注:启用日志:Defaults logfile=/var/log/sudo
另外一个方法是/var/log/secure 日志可查看到sudo操作用户步骤
sudo -l //查看当前用户获得哪些sudo授权
7、限制更改GRUB 引导参数
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
7.1 给GREB菜单设置密码案例
方法一:
1、
grub2-mkpasswd-pbkdf2 //根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub . pbkd.... //省略部分内容为经过加密生成的密码字符串
2、备份配置文件
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
3、配置设置用户和密码文件
vim /etc/grub.d/00_header
4、在行尾添加
set superusers="root" //设置用户名为root
password_pbkdf2 root grub.pbkd2..... //设置密码,省略部分内容为经过加密生成的密码字符串
5、生成新的grub.cfg 文件
grub2-mkconfig -o /boot/grub2/grub.cfg
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
方法二:一步到位
grub2-setpassword
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
8、终端登录安全控制
限制root只在安全终端登录
禁止普通用户登录 当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。这时 候,只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在, 如果存在,则拒绝普通用户登录系统(root 用户不受限制)。
touch /etc/nologin #除root以外的用户不能登录了。
此方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时 使用。当手动删除/etc/nologin 文件或者重新启动主机以后,即可恢复正常。
last //显示用户或终端登录情况
vim /etc/securetty //修改用户或终端登录
虚拟机内 远程不可
虚拟控制台的选择可以通过按下Ctrl+Alt键和功能键Fn(n=1~6)来实现(tty1-tty6) tty1 图形界面 tty2-6 字符界面
注释 tty4 root 就不能登录
把tty2注释掉,就在tty2前面加#
9、系统弱口令检测
9.1 Joth the Ripper密码检测
1.上传包或下载
2.解包压工具包
cd /opt/
tar zxvf john-1.8.0.tar.gz
或
tar zxvf john-1.8.0.tar.gz -C /opt/
进入到解包后的目录下
[root@192 john-1.8.0]# ls
doc(手册文档) README(链接的说明文件) run(运行程序) src(源码文件)
其中 doc 目录下包括 README、INSTALL、EXAMPLES 等多个文档,提供了较全面的使用指导
切换到 src 子目录并执行“make clean linux-x86-64”命令,即可执行编译过程。若单独 执行 make 命令,将列出可用的编译操作、支持的系统类型。编译完成以后,run 子目录下 会生成一个名为 john 的可执行程序。
3、安装软件编译环境
cd /opt/john-1.8.0/src
yum install gcc gcc-c++ -y
4、安装
make clean linux-x86-64
5、添加测试用户
useradd zhangsan
passwd zhangsan
cp /etc/shadow /opt/shadow.txt //备份
6、测试
cd /opt/john-1.8.0/run
7、查看john存在并执行
./john /opt/shadow.txt
或
./john --show /opt/shadow.txt
9.2 使用字典文件破解密码
:>john.pot //清空已破解出的账户列表
./john --wordlist=./password.lst /opt/shadow.txt
ln -S /opt/john-1.8.0/run/john/ usr/local/sbin/ //指定命令在系统任何地方都能执行
10、网络端口扫描nmap
10.1 NMAP扫描
SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急) Sequence number(顺序号码) Acknowledge number(确认号码)
端口的取值范围是:0-65535
rpm -qa |grep nmap
nmap-6.40-7.el7.x86_64.rpm
yum install -y nmap
其中,扫描目标可以是主机名、IP 地址或网络地址等,多个目标以空格分隔;
常用的 选项有-p:分别用来指定扫描的端口、
-n:禁用反向 DNS 解析(以加快扫描速度);
扫描 类型决定着检测的方式,也直接影响扫描的结果。
有的时候开启dns解析 通过该域名 回的是反向解析 把IP解析成域名 我禁止反向解析可以加快速度
比较常用的几种扫描类型如下。
-sS,TCP SYN 扫描(半开扫描):只向目标发出 SYN 数据包,如果收到 SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
tcp确定三次握手
-sT,TCP 连接扫描:这是完整的 TCP 扫描方式,用来建立一个 TCP 连接,如果 成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF,TCP FIN 扫描:开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对 SYN 数据包进行简单过滤,而忽略了其他形式的 TCP 攻 击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU,UDP 扫描:探测目标主机提供哪些 UDP 服务,UDP扫描的速度会比较慢。
-sP,ICMP 扫描:类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描。
-P0,跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应 ICMP 请求时,使用这种方式可以避免因无法 ping 通而放弃扫描。
nmap -sn 192.168.190.0/24 //查看网段中有几台机器存活
nmap -p- 192.168.190.10 //扫描当前端口
案列一: 分别查看本机开放TCP端口、UDP端口
nmap -sT 127.0.0.1 //扫描常用的 TCP 端口
nmap -sU 127.0.0.1 //扫描常用的 UTP 端口
nmap -sP 127.0.0.1 //ICMP 扫描
nmap -PO 192.168.10.0/24
10.2禁ping
临时禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all //禁ping临时
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all //启用ping
永久禁 ping
vim /etc/sysctl.conf //编辑配置
net.ipv4.icmp_echo_ignore_all = 1 //设置禁ping(如果有此配置就无需重复添加,仅更新值即可)
sysctl -p //刷新配置
启用ping
net.ipv4.icmp_echo_ignore_all = 0
nmap -p 139,445 192.168.4.100-200 //检测 IP 地址位于 192.168.4.100~200 的主机是否开启文件共享服务
扩展
通过pam 模块来防止暴力破解ssh
[root@benet ~]# vim /etc/pam.d/sshd
在第一行下面添加一行:
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
说明:尝试登陆失败超过3次,普通用户600秒解锁,root用户1200秒解锁
注解:
deny 指定最大几次认证错误,如果超出此错误,将执行后面的策略。如锁定N秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁。
lock_time 锁定多长时间,按秒为单位;
unlock_time 指定认证被锁后,多长时间自动解锁用户;
even_deny_root root用户在认证出错时,一样被锁定
root_unlock_time root用户在登录失败时,锁定多长时间。该选项一般是配合even_deny_root 一起使用的。
手动解除锁定:
查看某一用户错误登陆次数:
pam_tally2 –-user
例如,查看work用户的错误登陆次数:
pam_tally2 –-user root
清空某一用户错误登陆次数:
pam_tally2 –-user –-reset
例如,清空 work 用户的错误登陆次数,
pam_tally2 –-user work –-reset
pam 认证的服务配置文件目录 /etc/pam.d
pam_tally2 --user=root 查看当前用户登陆失败的次数
pam_tally2 --user=sshuser --reset 解锁用户
/etc/pam.d/login中配置只在本地文本终端上做限制;
/etc/pam.d/kde在配置时在kde图形界面调用时限制;
/etc/pam.d/sshd中配置时在通过ssh连接时做限制;
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效。
netstat -natp #查看正在运行的使用TCP协议的网络状态信息
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
netstat命令 | 查看当前操作系统的网络连接状态、路由表、接口统计等信息,它是了解网络状态及排除网络服务故障的有效工具 |
---|---|
-n | 以数字的形式显示相关的主机地址、端口等信息 |
-r | 显示路由表信息 |
-a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口) |
-l | 显示处于监听(Listening)状态的网络连接及端口信息。 |
-t | 查看 TCP(Transmission Control Protocol,传输控制协议)相关的信息。 |
-u | 显示 UDP(User Datagram Protocol,用户数据报协议)协议相关的信息。 |
-p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要 root 权限 |
Proto显示连接使用的协议,
RefCnt表示连接到本套接口上的进程数量,
Types显示套接口的类型,
State显示套接口当前的状态,
Path表示连接到套接口的其它进程使用的路径名
用法:①通常使用“-anpt”组合选项,以数字形式显示当前系统中所有的 TCP 连接信息,同时显示对应的进程信息
②配合管道符grep过滤出特定的记录