Linux系统安全及应用

1、账号安全

系统账号清理

1)将非登录用户shell设为/sbin/nologin

2)锁定长期不使用的账号

3)删除无用的账号

4)锁定账号文件passwd、shadow

锁定:chattr +I /etc/passwd /etc/shadow

解锁:chattr -I /etc/passwd /etc/shadow

查看:lsattr /etc/passwd /etc/shadow

密码安全:

设置密码有效期:2种方式:

1)对新建用户设置:vim /etc/login.defs

PASS_MAX_DAYS 30

2)对已创建的用户:chage -M 30 用户名

用户下次登录时修改密码:chage -d 0 用户名

历史命令限制:

1)减少命令历史数量:HISTSIZE=200

2)自动清空历史命令:history -c

终端自动注销:TMOUT=10(秒)

2、su命令安全

Su:切换用户

两种格式:su 用户名:切换用户但不更改环境变量

Su - 用户名:完整切换

普通用户切换其他用户需要对方密码

Root用户切换无需密码

限制用户使用su命令:启用pam_whell模块,只允许whell组使用su命令

Vim /etc/pam.d/su

#auth required pam_whell.so use_uid (删除#号)

gpasswd -a 用户名 whell (将用户加入组)

日志文件:/var/log/secure

3、sudo:提升权限

语法:sudo 授权命令的绝对路径

需要输入本人密码

Sudo配置文件:/etc/sudoers

打开方式:visudo

Vim /etc/sudoers

格式:用户列表 主机名列表=权限列表

列:hanming ALL=/usr/sbin/useradd

%组名:代表组 ALL代表所用 *匹配任意

NOPASSWD:命令:无需密码就可执行

列表设置为别名:User_alias

Host_alias

Cmnd_alias

Sudo -l:查看sudo命令权限

Sudo -k:清除密码缓存,默认缓存5分钟

日志文件:/var/log/sudo

需要Defaults logfile配置

(Defaults logfile=/var/log/sudo)

4、开关机安全

1)调整Bios设置:

禁止从其他设备引导

设置Bios密码

2)禁用Ctrl+Alt+Del重启

Vim /etc/init/control-alt-delete.conf

3)grub菜单限制:

在title前设置密码:禁止更改参数

在title后设置密码:禁止进入系统

密码方式:明文:passwd密码

密文:用grub-md5-crypt生成

Vim /boot/grub/grub.conf

Password -md5 密码字串

5、终端安全登录:

1)减少开放的终端数:/etc/init/start-ttys.conf

/etc/sysconfig/init

ACTIVE_CONSOLES=/dev/tty[456]

2) 限制root用户使用的终端:/etc/securetty

3) 禁止普通用户登录:建立/etc/nologin文件 touch /etc/nologin

删除即可恢复登录 rm -f /etc/nologin

6、系统弱口令检测:Joth the Pipper 简称JR

开源软件:支持字典式的暴力破解,支持des和md5的加密破解

命令名为:john

破解命令:./john --wordist=password.lst /etc/shadow

--wordist(指定密码文件)

Password.lst(默认字典文件)

破解后密码保存在john.pot文件中,可用./john --show /etc/shadow查看

7、NMAP:网络端口扫描

是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口

扫描类型:

-sS:SYN扫描 -St:TCP扫描

-sF:FIN扫描 -sU:UDP扫描

-sP:ICMP扫描 -P0:跳过ping检测

-n:禁用反向解析

原文发布于微信公众号 - L宝宝聊IT(gh_b0e552aa80db)

原文发表时间:2018-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python、Flask、Django

关于Linux 防火墙关闭的情况下端口开启还是失败的问题做个记录

1113
来自专栏一场梦

网站内容被复制时弹出提示框

1223
来自专栏我的小碗汤

神器 | windows包管理工具

在类Unix系统中,我们可以使用例如port、apt-get、yum此类包管理工具,对应用进行快速便捷的安装。在Windows平台,通过chololate,我们...

623
来自专栏北京马哥教育

黑客常用linux入侵常用命令,有你不知道的没?

[jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval(\$_POST[md5])?>" >rankuplog...

1822
来自专栏云计算教程系列

如何使用fail2ban防御SSH服务器的暴力破解攻击

对于SSH服务的常见的攻击就是暴力破解攻击——远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击,例如公钥验...

1193
来自专栏运维前线

Linux中设置'sudo'的10个小技巧

在Linux和其他类Unix操作系统中,只有root用户可以运行所有命令并在系统上执行某些关键操作,如安装和更新,删除包,创建用户和组,修改重要的系统配置文件...

1906
来自专栏青枫的专栏

粘贴到vi/vim的代码,怎样避免向右不断缩进,保持原来的格式?解决vi/vim在粘贴中会在行首多很多缩进和空格的问题。

SecureCRT会将你原来的文本原封不动的按照字符串的样式发送给服务器。所以当你的服务器上的vi/vim设置为autoindent的话,在 i 模式下,那么它...

802
来自专栏闵开慧

ubuntu命令大全

查看软件xxx安装内容 #dpkg -L xxx 查找软件 #apt-cache search 正则表达式 查找文件属于哪个包 #dpkg -S fil...

3055
来自专栏吴伟祥

Linux 文件与目录管理 转

pwd是Print Working Directory的缩写,也就是显示目前所在目录的命令。

1004
来自专栏Theo Tsao

Vim的基本使用(二)

本文包含Vim的基本使用有: 可视模式、指定计数、重复命令、外部命令、命令行编辑、文件编辑、分割窗口、GUI命令、配置。 另附一张Vim Cheat Sheet...

692

扫码关注云+社区