- 账号安全控制
- 系统引导和登录控制
- 弱口令检测
- 端口扫描
- 总结
1.账号安全控制
[root@localhost ~]# chattr +i /etc/passwd ###锁定
[root@localhost ~]# lsattr /etc/passwd ###查看状态
[root@localhost ~]# chattr -i /etc/passwd ###解锁
[root@localhost ~]# vim /etc/login.defs ###进入修改PASS_MAX_DAYS 为30
再新建用户查看俩次修改密码最大间隔
[root@localhost ~]# chage -M 30 zhangsan ###修改用户修改密码俩次最大间隔
命令历史限制
Linux系统当你再shell(控制台)中输入并执行命令时,shell会自动把你的命令记录到历史列表中,一般保持再用户目录下的.bash_history文件中。迷人保存1000条,你也可以更改这个值
[root@localhost ~]# source /etc/profile ###更改过后需用刷新
[root@localhost ~]# . /etc/profile ###另一种刷新方式
[root@localhost ~]# vim ~/.bash_history ###历史命令记录存储在.bash_history里
[root@localhost ~]# echo " " > .bash_history ###情况历史命令记录 .bash_history
[root@localhost ~]# history -c ###临时删除
[root@localhost ~]# vi /etc/profile
###进入写入 export TMOUT=600
保存退出
[root@localhost ~]# . /etc/profile ###刷新这个文件
2.系统引导和登录控制
使用su命令切换用户
默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登陆密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许及个别用户使用su命令进行切换
在/etc/pam.d/su文件李设置禁止用户使用的su命令
[root@localhost ~]# vim /etc/pam.d/su
###默认状态
将第二行和第六行都注释,也是允许所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第二行不注释,则切换不需要密码。(pam rootok,so模块的主要作用时使uid为0的用户,即root用户能够直接通过认证而不需要输入密码)
如果开启第六行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第二行,开启第六行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令
普通用户切换登录测试验证
使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看
PAM认证原理
PAM认证一般遵循的顺序:Service(服务)--->PAM(配置文件)--->pam_*.so
pam认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。
不同的应用程序所对应的PAM模块也是不同的
PAM的配置文件中的每一行都是一个独立的认证过程,他们按从上往下的顺序一次由PAM模块调用
第一列代表PAM认证模块类型
auth:对用户身份进行识别,如提示输入密码,判断是否为root
account:对账号各项属性进行检查,如是否允许登陆系统,账号是否过期,是否达到最大用户数等
password:使用用户信息来更新数据,如修改用户密码
session:定义登录前以及退出后索要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,二十继续进行同类型的下一验证,所有此类型的模块都执行完成后,在返回失败
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值
optional:不进行成功与否返回,一般不用于验证,知识显示信息(通常用于session类型)
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登陆系统的认证工作)来实现认证而不需要重新逐一去写配置项
第三列代表PAM模块。默认在/lib64/security/目录下,如果不在默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数
第四类代表PAM模块的参数,这个需要根据所使用的模块来添加
传递给模块的参数。参数可以有多个,之间用空格隔开
用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)
主机名:使用此规则的主机名,没配置过主机名时可用localhost,有配置过主机名则用实际的主机名,ALL则代表所有主机
(用户):用户能够以何种身份来执行命令。可省略
命令程序列表:允许授权的用户通过sudo方式执行的特殊命令,需天写命令程序的完整路径,多个命令之间用逗号进行分隔。ALL则代表系统中的所有命令
[root@localhost ~]# visudo ###进入设置
User_Alias MYUSERS = dmy
Host_Alias MYHOSTS = ALL
Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,/bin/passwd
MYUSERS MYHOSTS=NOPASSWD:MYCMNDS
保存退出
[root@localhost ~]# su - dmy ###切换到用户界面
测试普通用户是否有权限使用命令
### /sbin/下的命令都可以使用,reboot命令设置未取反,所以无法使用,passwd命令设置为可以使用。
Defaults logfile = /var/log/sudo ###visudo写入开启日志文件,可查看记录
限制更改GRUB引导参数
通常情况下再系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器时是一个很大的威胁
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
[root@localhost ~]# grub2-mkpasswd-pbkdf2 ###设置引导带单密码
设置完成后
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
###给这俩个文件做一个备份
[root@localhost ~]# vim /etc/grub.d/00_header
###进入设置文本
cat << EOF
set superusers="root"
password_pbkdf2 root gurb.pbkdf2.sha512.10000.E0BA8F4C5891EAF02A69CAB9910D4F38BB895E99211230D290B70E6701E27A1913D7ED858F0929C97F6D014B1C25CF25311729E6888441B3924A33BEA65D5AEE.819D347B444053E908B6975A6889308E469507569B0A0AE2EBEA5954D35CF2EBE2DCB5F3BDAC667A7B2679790E9171FE272B1CF3DA63097388535FF130F66CE9
EOF
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
###生成新的grub.cfg文件
init 6 #重启
按E进入
先输入用户名root
再输入密码
即可进入
快捷方式:grub2-setpassword
3.弱口令检测
[root@localhost ~]# rz -E ###导入文件
[root@localhost ~]# tar -zxvf john-1.8.0.tar.gz -C /opt/ ###解压文件到/opt目录下
[root@localhost john-1.8.0]# yum install gcc ggc-c++ make ###安装编译软件
[root@localhost ~]# cd /opt/john-1.8.0/ ###进入这个目录
[root@localhost src]# make clean linux-x86-64 ###准备待破解的密码文件
[root@localhost src]# cp /etc/shadow /opt/shadow.txt ###复制shadow到/opt/shadow.txt
[root@localhost john-1.8.0]# cd run/ ###切换目录
[root@localhost run]# ./john /opt/shadow.txt ###进行破译密码
[root@localhost run]# ./john --show /opt/shadow.txt ###看看破译密码
4.端口扫描
网络端口扫描
控制位
SYN 建立连接
ACK 确认
FIN 结束断开
PSH 传送
RST 重置
URG 紧急
nmap命令常用的选项和扫描类型
-p:指定扫描的端口
-n:禁用反向DNS解析(以加快扫描速度)
-sS:TCP的SYMN扫描
(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACk相应包就认为目标端口正在监听,并立即断开连接;否则认为目标并未开放
-sT:TCP连接扫描,这是完整的TCp扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包,许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包,这种类型的扫描可间接检测防火墙的健壮性
-sU:UDP扫描,探测mu'b奥主机提供哪些UDP服务,UDP扫描的速度会比较慢
-sP:ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-PO:跳过ping检测
这种方式认为所有的目标主机是存货的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通二放弃扫描
例
[root@localhost run]# yum install nmap -y ###安装nmap
[root@localhost run]# nmap -p 80 192.168.174.22/24 ###扫描其他机器的端口
[root@localhost run]# nmap -n -sP 192.168.174.0/24 ###扫描一整个网段的主机是否存活
拓展
通过pam模块来防止暴力破解ssh
[root@localhost run]# vim /etc/pam.d/sshd
再第一行下面添加一行
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time1200
###保存退出
说明:尝试登陆失败超过三次,普通用户600秒解锁,root用户1200秒解锁
手动解除锁定
查看某一用户的错误登陆次数
pam_tally2 --user
查看work用户的错误登陆次数
pam_tally2 --user root
清空所有用户的错误登陆次数
pam_tally2 --user --reset
清空work用户的错误登录次数
pam_tally2 --user root --reset
5.总结
账号基本安全措施(系统账号清理、密码安全控制、命令历史清理、自动注销)
用户切换与提权(su、sudo)
开关机安全控制(BIOS引导设置、进制Ctrl+Alt+Del快捷键、GRUB菜单设置密码)
终端控制
John the Ripper工具
namp命令