一、账号安全控制
账号安全基本措施
1、系统账号清理
Useradd�Cs/sbin/nologin Usermod-s
-锁定长期不使用的账号
Passwd�Cl Passwd-u
-删除无用的账号
Userdel-r
-锁定账号文件passwd、shadow
[root@localhost~]#chattr+i/etc/passwd/etc/shadow [root@localhost~]#lsattr/etc/passwd/etc/shadow\\锁定文件并查看状态 ----i-------e-/etc/passwd ----i-------e-/etc/shadow [root@localhost~]#chattr-i/etc/passwd/etc/shadow [root@localhost~]#lsattr/etc/passwd/etc/shadow//解锁文件并查看状态 ------------e-/etc/passwd ------------e-/etc/shadow
2、密码安全控制
-设置密码有效期
Useradd-e
[root@localhost~]#vi/etc/login.defs//适用于新建用户 …… PASS_MAX_DAYS30 [root@localhost~]#chage-M30lisi//适用于已有用户 [root@localhost~]#chage-d0zhangsan//强制在下次登录时更改密码
3、命令历史限制
-减少记录的命令条数
[root@localhost~]#vi/etc/profile …… HISTSIZE=200
-注销时自动清空命令历史
[root@localhost~]#vi~/.bash_logout …… history-c clear
4、终端自动注销
-闲置600秒后自动注销
[root@localhost~]#vi~/.bash_profile …… exportTMOUT=600
5、使用su命令切换用户
用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户
-限制使用su命令的用户
-启用pam_wheel认证模块
[root@localhost~]#vi/etc/pam.d/su #%PAM-1.0 authsufficientpam_rootok.so authrequiredpam_wheel.souse_uid
--将允许使用su命令的用户加入wheel组
[root@localhost~]#gpasswd-atsengyiawheel tsengyia 正在将用户“tsengyia”加入到“wheel”组中
6、使用sudo机制提升权限
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
-配置sudo授权
visudo或者 vi/etc/sudoers
记录格式:用户 主机名列表=命令程序列表
[root@localhost~]#visudo …… %wheelALL=NOPASSWD:ALL jerrylocalhost=/sbin/ifconfig syrianerlocalhost=/sbin/*,!/sbin/ifconfig,!/sbin/route//可以使用通配符*、取反符号! Cmnd_AliasPKGTOOLS=/bin/rpm,/usr/bin/yum//类似别名还包括: User_Alias、Host_Alias mikelocalhost=PKGTOOLS
7、修改ssh端口号,禁止root远程登录
二、系统引导和登录控制
1、开关机安全控制
-调整BIOS引导设置
--将第一引导设备设为当前系统所在硬盘
--禁止从其他设备(光盘、U盘、网络)引导系统
--将安全级别设为setup,并设置管理员密码
-禁用重启热键Ctrl+Alt+Del
[root@localhost~]#vi/etc/init/control-alt-delete.conf …… #startoncontrol-alt-delete #exec/sbin/shutdown-rnow“Control-Alt-Deletepressed” [root@localhost~]#reboot
-GRUB限制的实现
使用grub-md5-crypt获得加密字串
[root@localhost~]#grub-md5-crypt Password: Retypepassword://重复指定密码 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
[root@localhost~]#vi/boot/grub/grub.conf ……//添加到第1个title之前 password--md5$1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/ titleRedHatEnterpriseLinux(2.6.32-431.el6.x86_64)
2、终端登录安全控制
-减少开放终端个数
[root@localhost~]#vi/etc/init/start-ttys.conf ……//省略部分内容 envACTIVE_CONSOLES=/dev/tty[456]//禁用三个终端:tty1、tty2、tty3 [root@localhost~]#vi/etc/sysconfig/init ……//省略部分内容 ACTIVE_CONSOLES=/dev/tty[456] [root@localhost~]#reboot
-限制root只在安全终端登录
安全终端配置:/etc/securetty
[root@localhost~]#vi/etc/securetty …… tty1 tty2 tty3 tty4 #tty5 #tty6
--建立/etc/nologin文件
[root@localhost~]#touch/etc/nologin//禁止普通用户登录 [root@localhost~]#rm-rf/etc/nologin//取消上述登录限制
三、口令检测、端口扫描
1、系统弱口令检测
Joth the Ripper,简称为 JR
一款密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
官方网站:http://www.openwall.com/john/
安装JR工具
make clean 系统类型
主程序文件为 john
[root@localhost~]#tarzxfjohn-1.7.8.tar.gz [root@localhost~]#cdjohn-1.7.8/src [root@localhostsrc]#makecleanlinux-x86-64 …… [root@localhostsrc]#ls../run/john ../run/john
检测弱口令账号
-- 获得Linux/Unix服务器的shadow文件
--执行john程序,将shadow文件作为参数
密码文件的暴力破解
--准备好密码字典文件,默认为password.lst
--执行john程序,结合--wordlist=字典文件
2、网络端口扫描
NMAP的扫描语法
nmap[扫描类型] [选项] <扫描目标 ...>
常用的扫描类型
-sS,TCPSYN扫描(半开) -sT,TCP连接扫描(全开) -sF,TCPFIN扫描 -sU,UDP扫描 -sP,ICMP扫描 -P0,跳过ping检测 -p端口号