一、账号安全控制
二、系统引导和登录控制
三、弱口令检测
四、端口扫描—NMAP
一、账号安全基本措施
1.系统账号清理
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用账号
- 锁定账号文件passwd、shadow
2.文件进行加锁、解锁及查看命令 - chattr +i /etc/passwd /etc/shadow
- chattr +i /etc/passwd /etc/shadow
- lssttr /etc/passwd /etc/shadow
密码安全控制
1.设置密码有效期
2.要求用户下次登录时修改密码
- 改密码属性文件:vim /etc/login.defs(创建新用户)
- 修改密码有效期:chage -M 30 lisi(针对已存在用户而言)
- 对于已经存在的用户修改用户登陆密码:chage -d 0 lisi
命令历史限制(/etc/profile系统中的环境变量文件)
- 减少记录的命令条数(默认1000条)
- 注销时自动清空命令历史
- [root@localhost~]#vi/etc/profile
- HISTSIZE=200
终端自动注销 - 闲置600秒后自动注销
- [root@localhost~]#vi~/.bash_profile
- export TMOUT=600
- history查看历史命令记录
- 更改vim etc/profile
- 生效修改:source /etc/profile
- 输入:history再次查看历史
使用su命令切换用户
用途及方法
- 用途:Substitute User,切换用户
- 格式:su -目标用户(bash环境)
- 密码验证
- root→任意用户,不验证密码
- 普通用户→其他用户,验证目标用户的密码
- [jerry@localhost~]$su -root
- 口令:[root@localhost~]#whomi
限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组
Linux中的PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登陆密码,带来安全风险
为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM(Pluggable Authentication Modules)可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。
PAM认证原理
PAM认证一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块也是不同的
PAM认证的构成
查看某个程序是否支持PAM认证,可以使用ls命令
PAM安全认证流程
控制类型也可以称作Control Flags,用于PAM验证类型的返回结果
- 1.required验证失败时仍然继续,但返回Fail
- 2.requisite验证时报则立即结束整个验证过程,返回Fail
- 3.sufficient验证成功则立即返回,不在继续,否则忽略结果并继续
- 4.optional不用于验证,只显示信息(通常用于session类型)
使用sudo机制提升权限
1.su命令的缺点
2.sudo命令的用途及方法
- 用途:以其他用户身份(如root)执行授权的命令
- 用法:sudo授权命令
3.配置sudo授权 - visudo或者vi /etc/sudoers
- 记录格式:用户 主机名列表=命令程序列表
二、开关机安全控制
1.开关机安全控制
调整BIOS
引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为
setop
,并设置管理员密码GRUB
限制 - 使用
grub2-mkpasswd-pbkdf2
生成秘钥 - 修改
/etc/grub.d/00_heard
文件中,添加秘钥记录 - 生成新的
grub.cfg
配置文件
三、弱口令检测
1.系统弱口令检测
Joth the Ripper,简称为JR
一款密码分析工具,支持字典式的暴力破解
通过shadow文件的口令分析,可以检测密码强度
2.安装JR工具
安装方法:make clean系统类型
(1)主程序文件为john
(2)检测弱口令账号
(3)获得Linux/Unix服务器的shadow文件
(4)执行john程序,将shadow文件作为参数
(5)密码文件的暴力破解
(6)准备好密码字典文件,默认为password.lst
(7)执行john程序,结合“wordlist”字典文件
四、端口扫描—NMAP
NMAP的扫描 【扫描类型】 【选项】 <扫描目标>
常用扫描类型:
-sT:TCP连接扫描
-sU:UDP扫描
-sP:ICMP扫描,类似于ping评测,判断目标主机是否存活
TIP:用man NMAP查看更多用法