案例1:Linux基本防护措施
1.1 问题
本案例要求练习Linux系统的基本防护措施,完成以下任务:
修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录)
临时锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
修改tty终端提示,使得登录前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”
锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改
- 1
- 2
- 3
- 4
1.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:修改用户zhangsan的账户属性,设置为2019-12-31日失效(禁止登录)
1)正常情况下,未过期的账号可以正常登录,使用chage可以修改账户有效期。
chage命令的语法格式:
chage –l 账户名称 //查看账户信息
chage –E 时间 账户名称 //修改账户有效期
- 1
- 2
- 3
2)失效的用户将无法登录
使用chage命令将用户zhangsan的账户设为当前已失效(比如已经过去的某个时间):
[root@svr5 ~]# useradd zhangsan
[root@svr5 ~]# chage -E 2015-05-15 zhangsan
- 1
- 2
尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。
3)重设用户zhangsan的属性,将失效时间设为2015-12-31
[root@svr5 ~]# chage -E 2019-12-31 zhangsan //修改失效日期
[root@svr5 ~]# chage -l zhangsan //查看账户年龄信息
Last password change : May 15, 2017
Password expires : never
Password inactive : never
Account expires : Dec 31, 2019
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
4)定义默认有效期(扩展知识)
/etc/login.defs这个配置文件,决定了账户密码的默认有效期。
[root@svr5 ~]# cat /etc/login.defs
PASS_MAX_DAYS 99999 //密码最长有效期
PASS_MIN_DAYS 0 //密码最短有效期
PASS_MIN_LEN 5 //密码最短长度
PASS_WARN_AGE 7 //密码过期前几天提示警告信息
UID_MIN 1000 //UID最小值
UID_MAX 60000 //UID最大值
- 1
- 2
- 3
- 4
- 5
- 6
- 7
步骤二:临时锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
1)锁定用户账号
使用passwd或usermod命令将用户lisi的账户锁定。
[root@svr5 ~]# passwd -l lisi //锁定用户账号lock
锁定用户 lisi 的密码。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态status
lisi LK 2018-02-22 0 99999 7 -1 (密码已被锁定。)
- 1
- 2
- 3
- 4
- 5
2)验证用户lisi已无法登录,说明锁定生效
输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。
3)解除对用户lisi的锁定
[root@svr5 ~]# passwd -u lisi //解锁用户账号
解锁用户 lisi 的密码 。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态
lisi PS 2018-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)
- 1
- 2
- 3
- 4
- 5
步骤三:修改tty登录的提示信息,隐藏系统版本
1)账户在登录Linux系统时,默认会显示登陆信息(包括操作系统内核信息)
/etc/issue这个配置文件里保存的就是这些登陆信息,修改该文件防止内核信息泄露。
[root@svr5 ~]# cat /etc/issue //确认原始文件
Red Hat Enterprise Linux Server release 6.5 (Santiago)
Kernel \r on an \m
[root@svr5 ~]# cp /etc/issue /etc/issue.origin //备份文件
[root@svr5 ~]# vim /etc/issue //修改文件内容
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
- 1
- 2
- 3
- 4
- 5
- 6
- 7
2)测试版本伪装效果
退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容,如图-1所示。
图-1
步骤四:锁定文件/etc/resolv.conf、/etc/hosts
1)语法格式:
# chattr +i 文件名 //锁定文件(无法修改、删除等)
# chattr -i 文件名 //解锁文件
# chattr +a 文件名 //锁定后文件仅可追加
# chattr -a 文件名 //解锁文件
# lsattr 文件名 //查看文件特殊属性
- 1
- 2
- 3
- 4
- 5
-
使用+i锁定文件,使用lsattr查看属性
[root@svr5 ~]# chattr +i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
----i--------e- /etc/resolv.conf
----i--------e- /etc/hosts
2)测试文件锁定效果
[root@svr5 ~]# rm -rf /etc/resolv.conf
rm: 无法删除"/etc/resolv.conf": 不允许的操作
[root@svr5 ~]# echo "192.168.4.1 gateway.tarena.com" >> /etc/hosts
bash: /etc/hosts: 权限不够
- 1
- 2
- 3
- 4
3)恢复这两个文件原有的属性(避免对后续实验造成影响)
[root@svr5 ~]# chattr -i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
-------------e- /etc/resolv.conf
-------------e- /etc/hosts
- 1
- 2
- 3
- 4
</div>
<link href="https://csdnimg.cn/release/phoenix/mdeditor/markdown_views-b6c3c6d139.css" rel="stylesheet">
<div class="more-toolbox">
<div class="left-toolbox">
<ul class="toolbox-list">
<li class="tool-item tool-active is-like "><a href="javascript:;"><svg class="icon" aria-hidden="true">
<use xlink:href="#csdnc-thumbsup"></use>
</svg><span class="name">点赞</span>
<span class="count"></span>
</a></li>
<li class="tool-item tool-active is-collection "><a href="javascript:;" data-report-click="{"mod":"popu_824"}"><svg class="icon" aria-hidden="true">
<use xlink:href="#icon-csdnc-Collection-G"></use>
</svg><span class="name">收藏</span></a></li>
<li class="tool-item tool-active is-share"><a href="javascript:;" data-report-click="{"mod":"1582594662_002"}"><svg class="icon" aria-hidden="true">
<use xlink:href="#icon-csdnc-fenxiang"></use>
</svg>分享</a></li>
<!--打赏开始-->
<!--打赏结束-->
<li class="tool-item tool-more">
<a>
<svg t="1575545411852" class="icon" viewBox="0 0 1024 1024" version="1.1" xmlns="http://www.w3.org/2000/svg" p-id="5717" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><defs><style type="text/css"></style></defs><path d="M179.176 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5718"></path><path d="M509.684 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5719"></path><path d="M846.175 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5720"></path></svg>
</a>
<ul class="more-box">
<li class="item"><a class="article-report">文章举报</a></li>
</ul>
</li>
</ul>
</div>
</div>
<div class="person-messagebox">
<div class="left-message"><a href="https://blog.csdn.net/xie_qi_chao">
<img src="https://profile.csdnimg.cn/B/F/6/3_xie_qi_chao" class="avatar_pic" username="xie_qi_chao">
<img src="https://g.csdnimg.cn/static/user-reg-year/1x/2.png" class="user-years">
</a></div>
<div class="middle-message">
<div class="title"><span class="tit"><a href="https://blog.csdn.net/xie_qi_chao" data-report-click="{"mod":"popu_379"}" target="_blank">解启超</a></span>
</div>
<div class="text"><span>发布了330 篇原创文章</span> · <span>获赞 52</span> · <span>访问量 3万+</span></div>
</div>
<div class="right-message">
<a href="https://im.csdn.net/im/main.html?userName=xie_qi_chao" target="_blank" class="btn btn-sm btn-red-hollow bt-button personal-letter">私信
</a>
<a class="btn btn-sm attented bt-button personal-watch" data-report-click="{"mod":"popu_379"}">已关注</a>
</div>
</div>
</div>
</article>
案例1:Linux基本防护措施
1.1 问题
本案例要求练习Linux系统的基本防护措施,完成以下任务:
修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录)
临时锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
修改tty终端提示,使得登录前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”
锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改
- 1
- 2
- 3
- 4
1.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:修改用户zhangsan的账户属性,设置为2019-12-31日失效(禁止登录)
1)正常情况下,未过期的账号可以正常登录,使用chage可以修改账户有效期。
chage命令的语法格式:
chage –l 账户名称 //查看账户信息
chage –E 时间 账户名称 //修改账户有效期
- 1
- 2
- 3
2)失效的用户将无法登录
使用chage命令将用户zhangsan的账户设为当前已失效(比如已经过去的某个时间):
[root@svr5 ~]# useradd zhangsan
[root@svr5 ~]# chage -E 2015-05-15 zhangsan
- 1
- 2
尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。
3)重设用户zhangsan的属性,将失效时间设为2015-12-31
[root@svr5 ~]# chage -E 2019-12-31 zhangsan //修改失效日期
[root@svr5 ~]# chage -l zhangsan //查看账户年龄信息
Last password change : May 15, 2017
Password expires : never
Password inactive : never
Account expires : Dec 31, 2019
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
4)定义默认有效期(扩展知识)
/etc/login.defs这个配置文件,决定了账户密码的默认有效期。
[root@svr5 ~]# cat /etc/login.defs
PASS_MAX_DAYS 99999 //密码最长有效期
PASS_MIN_DAYS 0 //密码最短有效期
PASS_MIN_LEN 5 //密码最短长度
PASS_WARN_AGE 7 //密码过期前几天提示警告信息
UID_MIN 1000 //UID最小值
UID_MAX 60000 //UID最大值
- 1
- 2
- 3
- 4
- 5
- 6
- 7
步骤二:临时锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
1)锁定用户账号
使用passwd或usermod命令将用户lisi的账户锁定。
[root@svr5 ~]# passwd -l lisi //锁定用户账号lock
锁定用户 lisi 的密码。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态status
lisi LK 2018-02-22 0 99999 7 -1 (密码已被锁定。)
- 1
- 2
- 3
- 4
- 5
2)验证用户lisi已无法登录,说明锁定生效
输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。
3)解除对用户lisi的锁定
[root@svr5 ~]# passwd -u lisi //解锁用户账号
解锁用户 lisi 的密码 。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态
lisi PS 2018-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)
- 1
- 2
- 3
- 4
- 5
步骤三:修改tty登录的提示信息,隐藏系统版本
1)账户在登录Linux系统时,默认会显示登陆信息(包括操作系统内核信息)
/etc/issue这个配置文件里保存的就是这些登陆信息,修改该文件防止内核信息泄露。
[root@svr5 ~]# cat /etc/issue //确认原始文件
Red Hat Enterprise Linux Server release 6.5 (Santiago)
Kernel \r on an \m
[root@svr5 ~]# cp /etc/issue /etc/issue.origin //备份文件
[root@svr5 ~]# vim /etc/issue //修改文件内容
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
- 1
- 2
- 3
- 4
- 5
- 6
- 7
2)测试版本伪装效果
退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容,如图-1所示。
图-1
步骤四:锁定文件/etc/resolv.conf、/etc/hosts
1)语法格式:
# chattr +i 文件名 //锁定文件(无法修改、删除等)
# chattr -i 文件名 //解锁文件
# chattr +a 文件名 //锁定后文件仅可追加
# chattr -a 文件名 //解锁文件
# lsattr 文件名 //查看文件特殊属性
- 1
- 2
- 3
- 4
- 5
-
使用+i锁定文件,使用lsattr查看属性
[root@svr5 ~]# chattr +i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
----i--------e- /etc/resolv.conf
----i--------e- /etc/hosts
2)测试文件锁定效果
[root@svr5 ~]# rm -rf /etc/resolv.conf
rm: 无法删除"/etc/resolv.conf": 不允许的操作
[root@svr5 ~]# echo "192.168.4.1 gateway.tarena.com" >> /etc/hosts
bash: /etc/hosts: 权限不够
- 1
- 2
- 3
- 4
3)恢复这两个文件原有的属性(避免对后续实验造成影响)
[root@svr5 ~]# chattr -i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
-------------e- /etc/resolv.conf
-------------e- /etc/hosts
- 1
- 2
- 3
- 4
</div>
<link href="https://csdnimg.cn/release/phoenix/mdeditor/markdown_views-b6c3c6d139.css" rel="stylesheet">
<div class="more-toolbox">
<div class="left-toolbox">
<ul class="toolbox-list">
<li class="tool-item tool-active is-like "><a href="javascript:;"><svg class="icon" aria-hidden="true">
<use xlink:href="#csdnc-thumbsup"></use>
</svg><span class="name">点赞</span>
<span class="count"></span>
</a></li>
<li class="tool-item tool-active is-collection "><a href="javascript:;" data-report-click="{"mod":"popu_824"}"><svg class="icon" aria-hidden="true">
<use xlink:href="#icon-csdnc-Collection-G"></use>
</svg><span class="name">收藏</span></a></li>
<li class="tool-item tool-active is-share"><a href="javascript:;" data-report-click="{"mod":"1582594662_002"}"><svg class="icon" aria-hidden="true">
<use xlink:href="#icon-csdnc-fenxiang"></use>
</svg>分享</a></li>
<!--打赏开始-->
<!--打赏结束-->
<li class="tool-item tool-more">
<a>
<svg t="1575545411852" class="icon" viewBox="0 0 1024 1024" version="1.1" xmlns="http://www.w3.org/2000/svg" p-id="5717" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><defs><style type="text/css"></style></defs><path d="M179.176 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5718"></path><path d="M509.684 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5719"></path><path d="M846.175 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5720"></path></svg>
</a>
<ul class="more-box">
<li class="item"><a class="article-report">文章举报</a></li>
</ul>
</li>
</ul>
</div>
</div>
<div class="person-messagebox">
<div class="left-message"><a href="https://blog.csdn.net/xie_qi_chao">
<img src="https://profile.csdnimg.cn/B/F/6/3_xie_qi_chao" class="avatar_pic" username="xie_qi_chao">
<img src="https://g.csdnimg.cn/static/user-reg-year/1x/2.png" class="user-years">
</a></div>
<div class="middle-message">
<div class="title"><span class="tit"><a href="https://blog.csdn.net/xie_qi_chao" data-report-click="{"mod":"popu_379"}" target="_blank">解启超</a></span>
</div>
<div class="text"><span>发布了330 篇原创文章</span> · <span>获赞 52</span> · <span>访问量 3万+</span></div>
</div>
<div class="right-message">
<a href="https://im.csdn.net/im/main.html?userName=xie_qi_chao" target="_blank" class="btn btn-sm btn-red-hollow bt-button personal-letter">私信
</a>
<a class="btn btn-sm attented bt-button personal-watch" data-report-click="{"mod":"popu_379"}">已关注</a>
</div>
</div>
</div>
</article>