目录
一、账号安全控制
1.1基本安全措施
1.1.1系统账号的清理
1.1.2密码安全控制
1.1.3命令历史、自动注销
1.2用户切换与提权(加入wheel组)
1.2.1su命令—切换用户
1.2.2sudo命令—提升执行权限
1.3PAM安全认证
二、系统引导和登录控制
2.1开关机安全控制
2.1.1调整BIOS引导设置原则
2.1.2GRUB菜单设置
2.1.3GRUB限制的实现
2.2终端及登录控制
2.2.1限制root用户只在安全终端登录
2.2.2禁止普通用户登录
三、弱口令检测、端口扫描
3.1弱口令检测—Joth the Ripper
3.1.1Joth the Ripper实例
3.2网络扫描—NMAP
一、账号安全控制
1.1基本安全措施
1.1.1系统账号的清理
1.1.1.1将非登录用户的Shell设为/sbin/nologin
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
usermod -s /sbin/nologin 用户名
1.1.1.2锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二
1.1.1.3删除无用账号
[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2
1.1.1.4锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
1.1.2密码安全控制
1.1.2.1设置密码有效期
1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1
2.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户,
PASS_MAX_DAYS 30
1.
1.1.2.2要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
1.1.3命令历史、自动注销