系统安全及应用-CSDN博客

本文链接：https://blog.csdn.net/du_linux/article/details/84190448

系统安全及应用知识简介
1、 Linxu查看进程的方式有哪些？
命令：ps aux
命令：pgrep
命令：Pstree
命令：top
2、 Linux下实现定时任务的方法有哪些？
命令：at
命令：crontab
基本安全措施
1、系统账号清理
 将非登陆用户的shell改为/sbin/nologin
命令：usermod -s /sbin/nologin 用户名
如果要将/sbin/nologin的用户让他能登陆就要使用
命令：usermod -s /bin/bash 用户名
 锁定长期不使用的账号
命令：usermod -L 用户名 ##锁定用户
命令：usermod -U 用户名 ##解开锁定
 删除无用的账号
命令：userdel -r 用户名
 锁定账号文件passwd、shadow
 添加隐藏属性
命令：chattr +i 文件路径或文件名 ##该文件不能进行修改
命令：chattr -i 文件路径或文件名 ##取消隐藏属性
命令：lsattr 文件路径或文件名 ##查看设置的隐藏属性
2、密码安全控制
 设置密码有效期
命令：chage -M 60 用户名 ##设置密码有效期
方法二：这种方式是改配置文件，指定创建的用户密码默认时间是多长时间
命令：vim /etc/login.defs
修改以下文件中的内容，后面的99999表示的是时间
PASS_MAX_DAYS 99999
 要求用户下次登陆时修改密码
命令：chage -d 0 用户名 ##强制用户登录时修改密码
3、命令历史限制
 减少记录的命令条数
命令：vim /etc/profile
修改以下文件中的内容，将1000可以设置你想记录历史命令的条数
HISTSIZE=1000
命令：source /etc/profile ##让他生效
命令：export HISTSIZE=记录条数
 注销时自动清空命令历史
注意：如果想对那个用户生效就必须在那个用户的家目录中去设置
命令：vim .bash_logout
在以下文件中添加的内容
history -c
clear
4、终端自动注销
 限制600秒后自动注销
 命令：vim /etc/profile
在文件最后面加入以下内容
TMOUT=600
export TMOUT=600
命令：source /etc/profile #让他生效
命令：export TMOUT=600 #让他当前就生效
使用su命令切换用户
1、用途及用法
用途：su,切换用户
格式：su - 目标用户
理论：su去切换普通用户不需要输入密码，但是普通用户切换到root用户需要输入root密码
2、查看su操作记录
命令：tail /var/log/secure
3、使用sudo机制提升权限
 sudo命令的用途及用法
用途：以其他用户身份（如root）执行授权的命令
用法：sudo 授权命令
4、配置sudo授权
命令：visudo 或者vim /etc/sudoers
记录格式：用户主机名列表=命令程序列表
这里的表示所有，但是加上（，！）就是排除
示例：duzhengbin test=/sbin/,!/sbin/reboot
对多用户设置
命令：visudo
在文件中找到wheel组,在wheel组下添加以下内容
wheel test=ALL
5、踢用户
命令：pkill -kill -t 终端号
Linux中的PAM安全认证
1、 su命令的安全隐患
 默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户（如root）的登陆密码，带来安全风险
 为了加强su命令的使用控制，可以借助于PAM认证模块，只允许极个别用户使用su命令进行切换
 PAM可插拔式认证模块，它是一种高效而且灵活便利的用户级别认证方式，它也是当前Linux服务器普遍使用认证方式
 PAM提供了对所有服务进行认证的中央机制，适用于login，远程登录，su等应用程序中
 系统管理员通过PAM配置文件来限制不同应用程序的不同认证策略
2、 PAM认证原理
 PAM认证一般尊遁的顺序：service（服务）PAM（配置文件）pam_*.so
 PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/lib/security下）进行安全认证
 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证，不同的应用程序所对应的PAM模块也是不同的
 如果想查看某个程序是否支持PAM认证，可以使用ls命令进行查看，
系统引导和登陆控制及开关机安全控制
1、调整BIOS引导设置
 将第一引导设备设为当前系统所在硬盘
 禁止从其他设备（光盘、U盘、网络）引导系统
 将安全级别设为setup，并设置管理员密码
2、禁用重启热键Ctrl+Ait+Del
 避免因用户误操作导致重启
命令：vim /etc/init/control-alt-delete.conf
将一下内容注释掉：
#start on control-alt-delete
#exec /sbin/shutdown -r now “Control-Alt-Delete pressed”
3、 GRUB菜单限制
 未经授权禁止修改启动参数
 未经授权禁止进入指定系统
4、密码设置方式（grub.conf）
 password 明文密码串
 password --md5 加密密码串
5、密码记录的位置
 全局部分（第一个“title”之前
 系统引导部分（每个“title”部分之后）
6、 GRUB限制的实现
 使用grub-md5-crypt获得加密字串
 修改grub.conf文件，添加密码记录
命令：grub-md5-crypt
当输入以上命令就会让你输入设置密码的密码，然后就会出现一个加密的密文，就加密的密文复制
命令：vim /boot/grub.conf ##如果在boot目录下没有grub.conf就在grub目录就会有
将密文添加到hiddenmenu内容下
password --md5 $1$ bOfAo/$w.3QtODsMW0hq1wCKBLbJ1 这个是密文
当设置完了后重启系统的时候进去单用户模式按e的时候就会出现让你输入密码
终端登录安全控制
1、减少开发终端个数
2、限制root只在安全终端登录
 安全终端配置：/etc/securetty
命令：vim /etc/init/start-ttys.conf
在文件中修改找到env ACTIVE_CONSOLES=添加以下内容
env ACTIVE_CONSOLES=/dev/tty[456] ##这里终端数
命令：vim /etc/sysconfig/init
在文件中找到ACTIVE_CONSOLES=/dev/tty[1-6]修改里面的数字保证和以上的数字一样
ACTIVE_CONSOLES=/dev/tty[456] ##这里和上面的一致
3、禁止普通用户登陆
 建立/etc/nologin文件
执行完以上操作，然后touch一个文件普通用户就不能登陆了
命令：touch /etc/nologin
 删除nologin文件或重启后即恢复正常
命令：rm -rf nologin
弱口令检测和端口扫描
1、 Joth the Ripper，简称为JR
 一款密码分析工具，支持字典式的暴力破解
 通过对shadow文件的口令分析，可以检测密码强度
 官方网站：http://www.openwall.com/john/
2、安装JR工具
 make clean 系统类型
 主程序文件为john
3、检测弱口令账号
 获取Linux/unix服务器的shadow文件
 执行john程序，将shadow文件作为参数
4、密码文件的暴力破解
 准备好的密码字典文件，默认为Password.lst
 执行john程序，结合—wordlist=字典文件
部署环境：
1、将源码包存放在/opt目录中
2、准备环境
命令：rpm -q gcc gcc-c++ make
3、解压
命令：tar xf john-1.8.0.tar.gz -C /usr/src/
命令：cd /usr/src/john-1.8.0/src/
命令：make clean linux-x86-64
命令：ls …/run/john ##确认已生成可执行程序john
4、检测弱口令
命令：cp /etc/shadow /root/shadow.txt ##准备破解密码的文件
命令：cd …/run/
命令：./john /root/shadow.txt ##执行暴力破解
5、第一次暴力执行完成后就可以进行清空暴力破解账户列表
命令：:>john.pot ##清空列表
命令：./john --wordlist=./password.lst /root/shadow.txt ##指定密码字典位置
参数：–wordlist ## ./password.lst文件中包含3000多个常用的弱口令
注意：如果需要更多的组合使用，可以在文件中添加
网络端口扫描
1、 NMAP
 一款强大的网络扫描、安全检测工具
 官方网站：http://nmap.org/
 可以从光盘中安装nmap-5.51-3.el6.x86_64
2、 NMAP的扫描语法
 nmap [扫描类型] [选项] <扫描目标………>
3、常用的扫描类型
-sS，TCP SYN扫描（半开）
-sT，TCP连接扫描（全开）
sF，TCP FIN扫描
sU，UDP扫描
sP，ICMP扫描
PO，跳过ping检测
4、网络端口扫描应用
 针对本机进行扫描，检查开放了那些常用的TCP端口、UDP端口
命令：nmap 192.168.200.120 ##扫描常用的TCP端口
命令：nmap -sU 192.168.200.120 ##扫描常用的UDP端口
 检查192.168.200.0/24网段中那些主机提供FTP服务
命令：nmap -p 21 192.168.200.120
 快速检测192.168.200.0/24网段中那些存活主机（能ping通）
命令：nmap -n -sP 192.168.200.120 ##（-n）是禁止反向解析
 检测IP地址位于192.168.200.100~200的主机是否开启文件共享服务
命令：nmap -p 139,445 192.168.100-200