这里写自定义目录标题
本章技能:
学会加强系统账号安全
学会加强系统引导和登录安全
学会检测弱口令账号
学会使用NAMP端口扫描工具
账户安全控制
常见的用户安全措施类型
-
禁止管理服务账户
- 禁止管理服务账户登录计算机
-
禁止不常用账户
- 防止用户身份被冒充
-
避免弱口令
- 密码必须满足四分之三原则,另外长度不低于七位数
- A~Z
- a~z
- 0~9
- 符号
- 密码必须满足四分之三原则,另外长度不低于七位数
-
锁定账户密码文件
- 防止用户创建账户或者修改密码
-
删除无用用户
- 用户离职删除账户
基本安全措施
配置账户安全
禁止用户登录系统
[root@centos01 ~]# usermod -s /sbin/nologin test
[root@centos01 ~]# tail -2 /etc/passwd
test:x:1000:1000: test:/home/test:/sbin/nologin
squid:x:1001:1001::/home/squid:/sbin/nologin
锁定解锁用户
[root@centos01 ~]# usermod -L test //锁定用户
[root@centos01 ~]# passwd -S test //查看锁定状态
test LK 1969-12-31 0 99999 7 -1 (密码已被锁定。)
[root@centos01 ~]# passwd -l test //锁定账户
锁定用户 test 的密码 。
passwd: 操作成功
[root@centos01 ~]# passwd -u test //解锁用户
解锁用户 test 的密码。
passwd: 操作成功
锁定和解锁账户密码文件
[root@centos01 ~]# chattr +i /etc/passwd /etc/shadow //锁定用户密码文件
[root@centos01 ~]# lsattr /etc/passwd /etc/shadow //查看锁定状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@centos01 ~]# chattr -i /etc/passwd /etc/shadow //解锁庄户密码文件
[root@centos01 ~]# lsattr /etc/passwd /etc/shadow //查看锁定状态
---------------- /etc/passwd
---------------- /etc/shadow
账户密码安全控制
设置密码十天后到期
[root@centos01 ~]# chage -M 10 bob
用户下次登录时必须修改密码
[root@centos01 ~]# chage -d 0 bob
修改配置文件设置密码有效期
[root@centos01 ~]# vim /etc/login.defs
PASS_MAX_DAYS 30 //原时效期限为99999,修改为自己所需要的就好
设置历史命令限制(演示代码如下)
修改配置文件设置记录历史命令
[root@centos01 ~]# vim .bash_profile //打开配置文件进行修改
export HISTSIZE=10
[root@centos01 ~]# source .bash_profile //启动修改的文件
退出登录后自动清空历史
[root@centos01 ~]# vim .bash_logout
history -c
clear
[root@centos01 ~]# source .bash_logout
限制记录历史命令
[root@centos01 ~]# vim /etc/profile
HISTSIZE=10
设置长时间不操作终端自动注销
[root@centos01 ~]# vim .bash_profile
export TMOUT=600
需要注意的是,当正在执行程序代码编译,修改系统配置等耗时较长的操作时,应避免设置TMOUT变量。必要时可以执行“unset TMOUT”命令取消TMOUT变量设置。
用户切换与提权
su命令——切换用户
su命令作用和用户之间切换
1)su作用
管理员到普通用户之间相互切换使用
2)su特点
管理员切换到普通用户不需要输入密码
普通用户切换到管理员需要输入密码
sudo 命令——提升执行权限
1)sudo的作用
授权普通用户执行管理员命令
2)sudo特点
授权执行命令
防止发生误操作
su的使用(演示代码,su账户切换使用)
切换账户,不修改宿主目录
[root@centos01 ~]# su bob
切换到普通用户的宿主目录
[root@centos01 ~]# su - bob
切换到管理员账户的宿主目录
[root@centos01 ~]# su -
###演示配额限制指定用户使用su命令切换账户
将允许使用su命令账户添加到wheel组中
[root@centos01 ~]# gpasswd -a bob wheel
配置pam身份验证
[root@centos01 ~]# vim /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
sudo的使用(配置sudo授权bob用户执行管理员命令)
修改sudo配置文件
[root@centos01 ~]# vim /etc/sudoers
bob localhost=/usr/sbin/reboot,/usr/sbin/init 0 //授权用户使用sudo提权
%wheel localhost=/usr/sbin/reboot,/usr/sbin/init 0 //授权组使用sudo提权
将用户加入到组
[root@centos01 ~]# gpasswd -a bob wheel
查看授权命令信息
[root@centos01 ~]# sudo -l
配置禁用ctrl+alt+del
1)禁用
[root@centos01 ~]# systemctl mask ctrl-alt-del.target
2)守护进程运行
[root@centos01 ~]# systemctl daemon-reload
设置grub引导菜单密码
1)生成grub引导菜单密码
[root@centos01 ~]# grub2-mkpasswd-pbkdf2
2)备份引导菜单
[root@centos01 ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@centos01 ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
3)修改grub引导菜单
[root@centos01 ~]# vim /etc/grub.d/00_header
cat <<EOF
set superusers="root" password_pbkdf2 root grub.pbkdf2.算法
EOF
4)重新生成引导菜单
[root@centos01 ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
5)限制终端登录,允许两个终端登录
[root@centos01 ~]# vim /etc/securetty
tty1
tty2
jr弱口令检测
1)安装jr
[root@centos01 ~]# cd /usr/src/john-1.8.0/src/
[root@centos01 src]# make clean linux-x86-64
2)修改用户为弱口令
[root@centos01 ~]# passwd tom
3)复制密码配置文件
[root@centos01 ~]# cp /etc/shadow ./1.txt
4)破解密码配置文件
[root@centos01 ~]# cd /usr/src/john-1.8.0/run/
[root@centos01 run]# ./john /root/1.txt
安装和使用nmap扫描工具
1)安装nmap扫描工具
[root@centos01 ~]# yum -y install nmap
2)扫描类型
-sS:扫描半关闭服务
-sT:扫描TCP协议
-sU:扫描UDP协议
-sP:扫描icmp协议
-p0:跳过ping检测
3)扫描192.168.100.10主机开放的协议和端口
[root@centos01 ~]# nmap 192.168.100.10
4)扫描指定的端口号
[root@centos01 ~]# nmap -p 22 192.168.100.10
5)扫描一个网段
[root@centos01 ~]# nmap 192.168.100.*