Linux系统安全及应用

1、账号安全

系统账号清理

1)将非登录用户shell设为/sbin/nologin

2)锁定长期不使用的账号

3)删除无用的账号

4)锁定账号文件passwd、shadow

锁定:chattr +I /etc/passwd /etc/shadow

解锁:chattr -I /etc/passwd /etc/shadow

查看:lsattr /etc/passwd /etc/shadow

密码安全:

设置密码有效期:2种方式:

1)对新建用户设置:vim /etc/login.defs

PASS_MAX_DAYS 30

2)对已创建的用户:chage -M 30 用户名

用户下次登录时修改密码:chage -d 0 用户名

历史命令限制:

1)减少命令历史数量:HISTSIZE=200

2)自动清空历史命令:history -c

终端自动注销:TMOUT=10(秒)

2、su命令安全

Su:切换用户

两种格式:su 用户名:切换用户但不更改环境变量

Su - 用户名:完整切换

普通用户切换其他用户需要对方密码

Root用户切换无需密码

限制用户使用su命令:启用pam_whell模块,只允许whell组使用su命令

Vim /etc/pam.d/su

#auth required pam_whell.so use_uid (删除#号)

gpasswd -a 用户名 whell (将用户加入组)

日志文件:/var/log/secure

3、sudo:提升权限

语法:sudo 授权命令的绝对路径

需要输入本人密码

Sudo配置文件:/etc/sudoers

打开方式:visudo

Vim /etc/sudoers

格式:用户列表 主机名列表=权限列表

列:hanming ALL=/usr/sbin/useradd

%组名:代表组 ALL代表所用 *匹配任意

NOPASSWD:命令:无需密码就可执行

列表设置为别名:User_alias

Host_alias

Cmnd_alias

Sudo -l:查看sudo命令权限

Sudo -k:清除密码缓存,默认缓存5分钟

日志文件:/var/log/sudo

需要Defaults logfile配置

(Defaults logfile=/var/log/sudo)

4、开关机安全

1)调整Bios设置:

禁止从其他设备引导

设置Bios密码

2)禁用Ctrl+Alt+Del重启

Vim /etc/init/control-alt-delete.conf

3)grub菜单限制:

在title前设置密码:禁止更改参数

在title后设置密码:禁止进入系统

密码方式:明文:passwd密码

密文:用grub-md5-crypt生成

Vim /boot/grub/grub.conf

Password -md5 密码字串

5、终端安全登录:

1)减少开放的终端数:/etc/init/start-ttys.conf

/etc/sysconfig/init

ACTIVE_CONSOLES=/dev/tty[456]

2) 限制root用户使用的终端:/etc/securetty

3) 禁止普通用户登录:建立/etc/nologin文件 touch /etc/nologin

删除即可恢复登录 rm -f /etc/nologin

6、系统弱口令检测:Joth the Pipper 简称JR

开源软件:支持字典式的暴力破解,支持des和md5的加密破解

命令名为:john

破解命令:./john --wordist=password.lst /etc/shadow

--wordist(指定密码文件)

Password.lst(默认字典文件)

破解后密码保存在john.pot文件中,可用./john --show /etc/shadow查看

7、NMAP:网络端口扫描

是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口

扫描类型:

-sS:SYN扫描 -St:TCP扫描

-sF:FIN扫描 -sU:UDP扫描

-sP:ICMP扫描 -P0:跳过ping检测

-n:禁用反向解析

原文发布于微信公众号 - L宝宝聊IT(gh_b0e552aa80db)

原文发表时间:2018-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算教程系列

如何在Ubuntu 14.04中使用NodeJS,SailsJS和DustJS构建SPA(单页应用程序)

Node.js®是一个基于Chrome JavaScript运行时的平台,可轻松构建快速,可扩展的网络应用程序。Node.js使用事件驱动的非阻塞I / O模型...

1100
来自专栏FreeBuf

利用白文件打造超级渗透测试后门程序的思路分享

计算机中的后门程序,品种多样。有Telnet、IFEO 、WebShell、注册表、Radmin等。大部分后门都会在一段时间内被AV检测到,并清除。通过修改木马...

901
来自专栏IT民工生存指南

从0开始Vue.js 和 Webpack 4 [2]

原因:当配置index.html时,指定了javascript的具体路径,为了使热模块重新加载工作,需要允许注入此路径,这样就可以实时更新html了。

2032
来自专栏糊一笑

webpack入门指南

1. 导语 github仓库 https://github.com/Rynxiao/webpack-test 1.1 什么叫做webpack webpack ...

2104
来自专栏FreeBuf

WordPress曝未经授权的密码重置漏洞(CVE-2017-8295 )

漏洞提交者:Dawid Golunski 漏洞编号:CVE-2017-8295 发布日期:2017-05-03 修订版本:1.0 漏洞危害:中/高 I. 漏洞 ...

20310
来自专栏前端说吧

Fiddler - 工具配置及在ios抓取不了https的解决方法

3125
来自专栏智能合约

centos之SSH安装

1783
来自专栏互扯程序

跨域请求方案 终极版

现在是资源共享的时代,同样也是知识分享的时代,如果你觉得本文能学到知识,请把知识与别人分享。

2593
来自专栏BIT泽清

React Native应用部署/马甲包热更新-CodePush最新集成总结(2018年最新)

React Native支持大家用React Native技术开发APP,并打包生成一个APP。在动态更新方面React Native只是提供了动态更新的基础,...

2110
来自专栏Laoqi's Linux运维专列

Jenkins 邮件配置管理

1296

扫码关注云+社区