Linux系统安全及应用

1、账号安全

系统账号清理

1）将非登录用户shell设为/sbin/nologin

2）锁定长期不使用的账号

3）删除无用的账号

4）锁定账号文件passwd、shadow

锁定：chattr +I /etc/passwd /etc/shadow

解锁：chattr -I /etc/passwd /etc/shadow

查看：lsattr /etc/passwd /etc/shadow

密码安全：

设置密码有效期：2种方式：

1）对新建用户设置：vim /etc/login.defs

PASS_MAX_DAYS 30

2）对已创建的用户：chage -M 30 用户名

用户下次登录时修改密码：chage -d 0 用户名

历史命令限制：

1）减少命令历史数量：HISTSIZE=200

2）自动清空历史命令：history -c

终端自动注销：TMOUT=10（秒）

2、su命令安全

Su：切换用户

两种格式：su 用户名：切换用户但不更改环境变量

Su - 用户名：完整切换

普通用户切换其他用户需要对方密码

Root用户切换无需密码

限制用户使用su命令：启用pam_whell模块，只允许whell组使用su命令

Vim /etc/pam.d/su

#auth required pam_whell.so use_uid （删除#号）

gpasswd -a 用户名 whell （将用户加入组）

日志文件：/var/log/secure

3、sudo：提升权限

语法：sudo 授权命令的绝对路径

需要输入本人密码

Sudo配置文件：/etc/sudoers

打开方式：visudo

Vim /etc/sudoers

格式：用户列表 主机名列表=权限列表

列：hanming ALL=/usr/sbin/useradd

%组名：代表组 ALL代表所用 *匹配任意

NOPASSWD：命令：无需密码就可执行

列表设置为别名：User_alias

Host_alias

Cmnd_alias

Sudo -l：查看sudo命令权限

Sudo -k：清除密码缓存，默认缓存5分钟

日志文件：/var/log/sudo

需要Defaults logfile配置

（Defaults logfile=/var/log/sudo）

4、开关机安全

1）调整Bios设置：

禁止从其他设备引导

设置Bios密码

2）禁用Ctrl+Alt+Del重启

Vim /etc/init/control-alt-delete.conf

3）grub菜单限制：

在title前设置密码：禁止更改参数

在title后设置密码：禁止进入系统

密码方式：明文：passwd密码

密文：用grub-md5-crypt生成

Vim /boot/grub/grub.conf

Password -md5 密码字串

5、终端安全登录：

1）减少开放的终端数：/etc/init/start-ttys.conf

/etc/sysconfig/init

ACTIVE_CONSOLES=/dev/tty[456]

2) 限制root用户使用的终端：/etc/securetty

3) 禁止普通用户登录：建立/etc/nologin文件 touch /etc/nologin

删除即可恢复登录 rm -f /etc/nologin

6、系统弱口令检测：Joth the Pipper 简称JR

开源软件：支持字典式的暴力破解，支持des和md5的加密破解

命令名为：john

破解命令：./john --wordist=password.lst /etc/shadow

--wordist（指定密码文件）

Password.lst（默认字典文件）

破解后密码保存在john.pot文件中，可用./john --show /etc/shadow查看

7、NMAP：网络端口扫描

是一款强大的网络扫描安全检测工具，可扫描TCP/UDP的端口

扫描类型：

-sS：SYN扫描 -St：TCP扫描

-sF：FIN扫描 -sU：UDP扫描

-sP：ICMP扫描 -P0：跳过ping检测

-n：禁用反向解析