系统安全及应用知识简介
1、 Linxu查看进程的方式有哪些?
命令:ps aux
命令:pgrep
命令:Pstree
命令:top
2、 Linux下实现定时任务的方法有哪些?
命令:at
命令:crontab
基本安全措施
1、 系统账号清理
将非登陆用户的shell改为/sbin/nologin
命令:usermod -s /sbin/nologin 用户名
如果要将/sbin/nologin的用户让他能登陆就要使用
命令:usermod -s /bin/bash 用户名
锁定长期不使用的账号
命令:usermod -L 用户名 ##锁定用户
命令:usermod -U 用户名 ##解开锁定
删除无用的账号
命令:userdel -r 用户名
锁定账号文件passwd、shadow
添加隐藏属性
命令:chattr +i 文件路径或文件名 ##该文件不能进行修改
命令:chattr -i 文件路径或文件名 ##取消隐藏属性
命令:lsattr 文件路径或文件名 ##查看设置的隐藏属性
2、 密码安全控制
设置密码有效期
命令:chage -M 60 用户名 ##设置密码有效期
方法二:这种方式是改配置文件,指定创建的用户密码默认时间是多长时间
命令:vim /etc/login.defs
修改以下文件中的内容,后面的99999表示的是时间
PASS_MAX_DAYS 99999
要求用户下次登陆时修改密码
命令:chage -d 0 用户名 ##强制用户登录时修改密码
3、 命令历史限制
减少记录的命令条数
命令:vim /etc/profile
修改以下文件中的内容,将1000可以设置你想记录历史命令的条数
HISTSIZE=1000
命令:source /etc/profile ##让他生效
命令:export HISTSIZE=记录条数
注销时自动清空命令历史
注意:如果想对那个用户生效就必须在那个用户的家目录中去设置
命令:vim .bash_logout
在以下文件中添加的内容
history -c
clear
4、 终端自动注销
限制600秒后自动注销
命令:vim /etc/profile
在文件最后面加入以下内容
TMOUT=600
export TMOUT=600
命令:source /etc/profile #让他生效
命令:export TMOUT=600 #让他当前就生效
使用su命令切换用户
1、 用途及用法
用途:su,切换用户
格式:su - 目标用户
理论:su去切换普通用户不需要输入密码,但是普通用户切换到root用户需要输入root密码
2、 查看su操作记录
命令:tail /var/log/secure
3、 使用sudo机制提升权限
sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
4、 配置sudo授权
命令:visudo 或者vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
这里的表示所有,但是加上(,!)就是排除
示例:duzhengbin test=/sbin/,!/sbin/reboot
对多用户设置
命令:visudo
在文件中找到wheel组,在wheel组下添加以下内容
wheel test=ALL
5、 踢用户
命令:pkill -kill -t 终端号
Linux中的PAM安全认证
1、 su命令的安全隐患
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登陆密码,带来安全风险
为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM可插拔式认证模块,它是一种高效而且灵活便利的用户级别认证方式,它也是当前Linux服务器普遍使用认证方式
PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录,su等应用程序中
系统管理员通过PAM配置文件来限制不同应用程序的不同认证策略
2、 PAM认证原理
PAM认证一般尊遁的顺序:service(服务)PAM(配置文件)pam_*.so
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证,不同的应用程序所对应的PAM模块也是不同的
如果想查看某个程序是否支持PAM认证,可以使用ls命令进行查看,
系统引导和登陆控制及开关机安全控制
1、 调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
2、 禁用重启热键Ctrl+Ait+Del
避免因用户误操作导致重启
命令:vim /etc/init/control-alt-delete.conf
将一下内容注释掉:
#start on control-alt-delete
#exec /sbin/shutdown -r now “Control-Alt-Delete pressed”
3、 GRUB菜单限制
未经授权禁止修改启动参数
未经授权禁止进入指定系统
4、 密码设置方式(grub.conf)
password 明文密码串
password --md5 加密密码串
5、 密码记录的位置
全局部分(第一个“title”之前
系统引导部分(每个“title”部分之后)
6、 GRUB限制的实现
使用grub-md5-crypt获得加密字串
修改grub.conf文件,添加密码记录
命令:grub-md5-crypt
当输入以上命令就会让你输入设置密码的密码,然后就会出现一个加密的密文,就加密的密文复制
命令:vim /boot/grub.conf ##如果在boot目录下没有grub.conf就在grub目录就会有
将密文添加到hiddenmenu内容下
password --md5
1
1
1bOfAo/$w.3QtODsMW0hq1wCKBLbJ1 这个是密文
当设置完了后重启系统的时候进去单用户模式按e的时候就会出现让你输入密码
终端登录安全控制
1、 减少开发终端个数
2、 限制root只在安全终端登录
安全终端配置:/etc/securetty
命令:vim /etc/init/start-ttys.conf
在文件中修改找到env ACTIVE_CONSOLES=添加以下内容
env ACTIVE_CONSOLES=/dev/tty[456] ##这里终端数
命令:vim /etc/sysconfig/init
在文件中找到ACTIVE_CONSOLES=/dev/tty[1-6]修改里面的数字保证和以上的数字一样
ACTIVE_CONSOLES=/dev/tty[456] ##这里和上面的一致
3、 禁止普通用户登陆
建立/etc/nologin文件
执行完以上操作,然后touch一个文件普通用户就不能登陆了
命令:touch /etc/nologin
删除nologin文件或重启后即恢复正常
命令:rm -rf nologin
弱口令检测和端口扫描
1、 Joth the Ripper,简称为JR
一款密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
官方网站:http://www.openwall.com/john/
2、 安装JR工具
make clean 系统类型
主程序文件为john
3、 检测弱口令账号
获取Linux/unix服务器的shadow文件
执行john程序,将shadow文件作为参数
4、 密码文件的暴力破解
准备好的密码字典文件,默认为Password.lst
执行john程序,结合—wordlist=字典文件
部署环境:
1、 将源码包存放在/opt目录中
2、 准备环境
命令:rpm -q gcc gcc-c++ make
3、 解压
命令:tar xf john-1.8.0.tar.gz -C /usr/src/
命令:cd /usr/src/john-1.8.0/src/
命令:make clean linux-x86-64
命令:ls …/run/john ##确认已生成可执行程序john
4、 检测弱口令
命令:cp /etc/shadow /root/shadow.txt ##准备破解密码的文件
命令:cd …/run/
命令:./john /root/shadow.txt ##执行暴力破解
5、 第一次暴力执行完成后就可以进行清空暴力破解账户列表
命令::>john.pot ##清空列表
命令:./john --wordlist=./password.lst /root/shadow.txt ##指定密码字典位置
参数:–wordlist ## ./password.lst文件中包含3000多个常用的弱口令
注意:如果需要更多的组合使用,可以在文件中添加
网络端口扫描
1、 NMAP
一款强大的网络扫描、安全检测工具
官方网站:http://nmap.org/
可以从光盘中安装nmap-5.51-3.el6.x86_64
2、 NMAP的扫描语法
nmap [扫描类型] [选项] <扫描目标………>
3、 常用的扫描类型
-sS,TCP SYN扫描(半开)
-sT,TCP连接扫描(全开)
sF,TCP FIN扫描
sU,UDP扫描
sP,ICMP扫描
PO,跳过ping检测
4、网络端口扫描应用
针对本机进行扫描,检查开放了那些常用的TCP端口、UDP端口
命令:nmap 192.168.200.120 ##扫描常用的TCP端口
命令:nmap -sU 192.168.200.120 ##扫描常用的UDP端口
检查192.168.200.0/24网段中那些主机提供FTP服务
命令:nmap -p 21 192.168.200.120
快速检测192.168.200.0/24网段中那些存活主机(能ping通)
命令:nmap -n -sP 192.168.200.120 ##(-n)是禁止反向解析
检测IP地址位于192.168.200.100~200的主机是否开启文件共享服务
命令:nmap -p 139,445 192.168.100-200
系统安全及应用
最新推荐文章于 2023-06-26 10:25:30 发布