linux&&系统安全
账号安全控制
非登录用户 : 如mysql,apache等
usermod -s u1 :
锁定账号文件passwd、shadow
#查看文件是否被锁定
lsattr /etc/passwd /etc/shadow
#锁定文件/etc/passwd
chattr +i /etc/passwd /etc/shadow
#此时可以正常更改口令,无法创建新用户。
lsattr /etc/passwd /etc/shadow
密码安全控制
#设置新建用户的密码有效期
vim /etc/login.defs
PASS_MAX_DAYS 30
#设置已有用户的密码有效期
chage -M 30 u1
命令历史限制和终端自动注销
#清空命令历史
history -c
#添加账号退出自动清空命令历史
history -c
vim ~/.bash_logout
# ~/.bash_logout
history -c
#保留固定数量的命令历史
vim /etc/profile
HISTSIZE=10
#设定账号自动注销时间
vim /etc/profile
TMOUT=10
export TMOUT
允许普通用户登录、禁止root登录
允许普通用户登录、禁止root登录,防止有人恶意抓包抓到root密码。需要管理员权限时再切换到root用户即可。
限制root用户远程登录
限制可以使用su命令的用户
限制使用su命令的用户
vim /etc/pam.d/su
#启用su命令控制功能。具备su权限的用户才可以在登录服务器后任意切换用户。如果用户加入到wheel组中,可以使用su命令。防止当前用户自由切换为其他用户。
auth required pam_wheel.so use_uid
#过滤wheel组
grep wheel /etc/group
wheel:x:10:
#加入wheel组
gpasswd -a u1 wheel
su - u1 : 切换为目标用户身份并切换到用户宿主目录。
su u1 : 切换为目标用户身份。
sudo机制
作用:不同用户可以具备root用户的不同权限,但是不知道root口令。即可以为用户提升部分root权限,但不知道root口令。
vim /etc/sudoers
#配置授权列表
#用户 主机名=命令绝对路径(此处为添加用户的权限)
u1 localhost=/usr/sbin/useradd
#最后必须":wq!"强制保存退出
#查看命令绝对路径
which useradd
/usr/sbin/useradd
#查看主机名
hostname
#此时用户u1具备添加用户权限
su - u1
sudo /usr/sbin/useradd uu1
#输入用户u1密码核对用户u1身份
PKGTOOLS=/bin/rpm,/usr/bin/yum : 对多个命令定义别名为PKGTOOLS。
localhost=PKGTOOLS : 并调用命令别名PKGTOOLS
系统引导和登录控制
调整BIOS引导设置
此时,再次进入BIOS时需要输入口令,如果输入普通用户口令,仅可以观看;如果输入管理员口令,才可以修改。
Password on boot : 进入bios时需要输入口令,启动系统时需要输入口令。
添加grub口令,为单用户模式设置密码
vim /boot/grub/grub.conf
#启动grub的口令
password 123
title CentOS (2.6.32-431.el6.x86_64)
#加载系统前的口令
password 456
#生成MD5加密的grub命令
grub-md5-crypt
$1$YgiVAhdfjdfHHJHjhjhHki/
vim /boot/grub/grub.conf
#启动grub的口令
password --md5 $1$YgiVAhdfjdfHHJHjhjhHki/
title CentOS (2.6.32-431.el6.x86_64)
#加载系统前的口令
password 456
禁用重启热键Ctrl+Alt+Del
减少开放终端个数
限制root只在安全终端登录
禁止普通用户登录
口令检测、端口扫描
系统弱口令检测
#解压john
tar zxf john-1.8.0.tar.gz
cd john-1.8.0/src/
#make clean 系统类型
make clean linux-x86-64
cd ../run/
./john /etc/shadow
./john --show /etc/shadow
网络端口扫描
#安装nmap
yum clean all
yum -y install nmap
#运行nmap
nmap 127.0.0.1
半开 : 发送请求并回包即可。
全开 : 三次握手
631 : 打印服务
111 : 远程共享服务