一、賬號安全控制
賬號安全基本措施
1、系統賬號清理
-將非登錄用戶的Shell設爲/sbin/nologin
Useradd –s /sbin/nologin Usermod -s
-鎖定長期不使用的賬號
Passwd –l Passwd -u
-刪除無用的賬號
Userdel -r
-鎖定賬號文件passwd、shadow
[root@localhost~]# chattr +i /etc/passwd /etc/shadow [root@localhost~]# lsattr /etc/passwd /etc/shadow \\鎖定文件並查看狀態 ----i-------e-/etc/passwd ----i-------e-/etc/shadow [root@localhost ~]# chattr -i /etc/passwd /etc/shadow [root@localhost ~]# lsattr /etc/passwd /etc/shadow //解鎖文件並查看狀態 ------------e- /etc/passwd ------------e- /etc/shadow
2、密碼安全控制
-設置密碼有效期
Useradd -e
-要求用戶下次登錄時修改密碼
[root@localhost~]# vi /etc/login.defs //適用於新建用戶 …… PASS_MAX_DAYS 30 [root@localhost~]# chage -M 30 lisi //適用於已有用戶 [root@localhost ~]# chage -d 0 zhangsan //強制在下次登錄時更改密碼
3、命令歷史限制
-減少記錄的命令條數
[root@localhost~]# vi /etc/profile …… HISTSIZE=200
-註銷時自動清空命令歷史
[root@localhost~]# vi ~/.bash_logout …… history-c clear
4、終端自動註銷
-閒置600秒後自動註銷
[root@localhost ~]# vi ~/.bash_profile …… export TMOUT=600
5、使用su命令切換用戶
用途及用法
用途:Substitute User,切換用戶
格式:su - 目標用戶
-限制使用su命令的用戶
-啓用pam_wheel認證模塊
[root@localhost~]# vi /etc/pam.d/su #%PAM-1.0 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid
--將允許使用su命令的用戶加入wheel組
[root@localhost ~]# gpasswd -a tsengyia wheel tsengyia 正在將用戶“tsengyia”加入到“wheel”組中
6、使用sudo機制提升權限
用途:以其他用戶身份(如root)執行授權的命令
用法:sudo 授權命令
-配置sudo授權
visudo或者 vi /etc/sudoers
記錄格式:用戶 主機名列表=命令程序列表
[root@localhost~]# visudo …… %wheel ALL=NOPASSWD: ALL jerry localhost=/sbin/ifconfig syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route //可以使用通配符*、取反符號! Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum //類似別名還包括: User_Alias、Host_Alias mike localhost=PKGTOOLS
7、修改ssh端口號,禁止root遠程登錄
二、系統引導和登錄控制
1、開關機安全控制
-調整BIOS引導設置
--將第一引導設備設爲當前系統所在硬盤
--禁止從其他設備(光盤、U盤、網絡)引導系統
--將安全級別設爲setup,並設置管理員密碼
-禁用重啓熱鍵Ctrl+Alt+Del
[root@localhost~]# vi /etc/init/control-alt-delete.conf …… #starton control-alt-delete #exec/sbin/shutdown -r now “Control-Alt-Delete pressed” [root@localhost~]# reboot
-GRUB限制的實現
使用grub-md5-crypt獲得加密字串
修改grub.conf文件,添加密碼記錄
[root@localhost~]# grub-md5-crypt Password: Retypepassword: //重複指定密碼 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
[root@localhost ~]# vi /boot/grub/grub.conf …… //添加到第1個title之前 password --md5 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/ title Red Hat Enterprise Linux (2.6.32-431.el6.x86_64)
2、終端登錄安全控制
-減少開放終端個數
[root@localhost~]# vi /etc/init/start-ttys.conf …… //省略部分內容 envACTIVE_CONSOLES=/dev/tty[456] //禁用三個終端:tty1、tty2、tty3 [root@localhost~]# vi /etc/sysconfig/init …… //省略部分內容 ACTIVE_CONSOLES=/dev/tty[456] [root@localhost~]# reboot
-限制root只在安全終端登錄
安全終端配置:/etc/securetty
[root@localhost~]# vi /etc/securetty …… tty1 tty2 tty3 tty4 #tty5 #tty6
//禁止root用戶從終端tty5、tty6登錄
-禁止普通用戶登錄
--建立/etc/nologin文件
--刪除nologin文件或重啓後即恢復正常
[root@localhost~]# touch /etc/nologin //禁止普通用戶登錄 [root@localhost~]# rm -rf /etc/nologin //取消上述登錄限制
三、口令檢測、端口掃描
1、系統弱口令檢測
Joth the Ripper,簡稱爲 JR
一款密碼分析工具,支持字典式的暴力破解
通過對shadow文件的口令分析,可以檢測密碼強度
官方網站:http://www.openwall.com/john/
安裝JR工具
make clean 系統類型
主程序文件爲 john
[root@localhost~]# tar zxf john-1.7.8.tar.gz [root@localhost~]# cd john-1.7.8/src [root@localhostsrc]# make clean linux-x86-64 …… [root@localhostsrc]# ls ../run/john ../run/john
檢測弱口令賬號
-- 獲得Linux/Unix服務器的shadow文件
--執行john程序,將shadow文件作爲參數
密碼文件的暴力破解
--準備好密碼字典文件,默認爲password.lst
--執行john程序,結合--wordlist=字典文件
2、網絡端口掃描
NMAP的掃描語法
nmap [掃描類型] [選項] <掃描目標 ...>
常用的掃描類型
-sS,TCP SYN掃描(半開) -sT,TCP 連接掃描(全開) -sF,TCP FIN掃描 -sU,UDP掃描 -sP,ICMP掃描 -P0,跳過ping檢測 -p 端口號