-
系统加固基本措施
系统账号清理(无用的、长时间不用的、程序用户)
Userdel/ passwd -l/ usermod -s /sbin/nologin
Userdel –r +用户 删除用户
Userdel +用户名 删除无用的账户,有时候有人离职,可以把用户删除,但是用户里的文件保留下来了,再确认文件没用后再userdel +r 进行删除Passwd -l +用户名 锁定账户 Passwd –u +用户名 解锁账户 Usermod –s /sbin/nologin mysql 程序用户修改它的登录shell Chattr +I /etc/passwd /etc/shadow 锁定文件,不允许修改 Lsattr /etc/passwd /etc/shadow 查看锁定文件状态 Chattr –I /etc/passwd /etc/shadow 允许修改 Vim /etc/login.defs PASS_MAX_DAYS 9999 设定用户有效期,是用户新建的用户,修改配置文件后,以后新建的用户日期都是按照这个数值,如果想变回原来的时间段,可以在此配置文件中改时间段,可以tail /etc/shadow查看用户有效期 Chage –M 90 lisi 适用于已有的账户修改有效期
Chage –d 0 zhangsan 设定某个用户第一次登陆必须改口令
修改文件 /etc/profile 修改命令历史记录查找HISTORY
./etc/prifile执行生效,或者下次启动的时候生效
用户登录在离开后设置超时时间,在超过超时时间后自动注销。
/etc/profile
Export TMOUT=600 (600秒)
修改后执行./etc/profile
Vim /etc/ssh/sshd_config
PermitRootLogin yes改为no 禁止root登录
修改后重新启动服务systemctl restart sshd
注销退出后无法用root登录,只能用普通用户身份登录
为了进一步增加安全性,我们规定只有某些特定的用户才能使用su命令,如果想用su命令登陆必须知道普通用户口令和root管理员用户口令,
/etc/pam.d/su
打开pam_wheel.so模块,在wheel组当中可以使用su命令,不在wheel当中不能使用su命令,打开后退出,将用户添加到wheel当中;
gpasswd –a zhangsan wheel
sudo提权
visudo在配置文件中添加/etc/sudoer,保存的时候必须加wq!
例: lisi localhost=/sbin/useradd,/sbin/userdel,/sbin/usermod,/bin/passwd
用户 主机名=绝对路径命令
允许这个用户执行root下的以上命令
Sudo /sbin/useradd user111 注意:要写上sudo和绝对路径,下一次进行sudo提权,在五分钟之内可以不用验证输入口令
Lisi locolhost=/sbin*,!/sbin/ifconfig,!/sbin/route
除了后两个命令,其他命令都可以使用
用户登录日志在tail /var/log/sudo
开关机安全设置:开机之前计入固件-security-设置超级密码,再次重启想进入救援模式时需要密码
禁止ctl-alt-del三键重启 systemctl mask ctrl-alt-del.target 关闭三键重启服务
Systemctl daemon-reload 重新加载systemd服务
按e
Grub2-mkpasswd-pbkdf2回车,提示输入口令,产生了一个密文
Cat << EOF
Set superusers=”root”
Password_pbkdf2+密文
Vim /etc/grub.d/00_header将密文添加到文件最后
Touch /etc/nologin 禁止普通用户登录
Rm –rf /etc/nologin 删除后允许普通用户登录
弱口令检测:john the ripper
cd /usr/src
首先解包:tar zxf john-1.9.0.tar.gz
Cd john-1.9.0/
cd /src
make clean linux-x86-64
cp /etc/shadow /root/shadow.txt
cd …/run 进到上一级目录run
./john /root/shadow.txt 检测这个文件中有哪些弱口令
端口扫描:查看主机开启了哪些不必要的服务
yum install nmap –y
nmap 127.0.0.1扫描本机有哪些tcp端口和服务
namp –sU 127.0.0.1扫描本机udp端口和服务
namp –p 21 192.168.88.0/24 查看某一个网段的特定端口
namp –n –s P 192.168.88.0/24 查看某个网段有哪些存活主机
nmap-p 139,445 192.168.88.100-200 检测100-200这个网段是否开启共享文件服务
关闭无用端口,先检查一遍netstat –tunlp |grep :+端口
Killall 进程 关闭进程
可以用namp远程检测其他主机开启哪些端口和服务,假如有服务不想开启,可以远程登录然后杀死服务进程