Linux系统安全及应用示例

实验要求：

1、允许用户radmin使用su命令进行切换，其他用户一律禁止切换身份。

授权用户zhngsan管理所有员工的账号，但禁止其修改root用户的信息。

授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令，不需要密码验证。

所有的su、sudo、操作，必须在系统日志文件中进行记录。

禁止使用ctrl+alt+del快捷键，只开放tty3、tty5终端，为GRUB引导菜单设置密码。

步骤：

1）创建并将radmin用户加入到wheel

限制使用su命令，修改认证文件/etc/pam.d/su，启用pam_whell.so认证模块。

验证除了root、radmin用户以外，其他用户均不能使用su命令进行切换。（此前已有zhangsan和lisi用户，密码分别是2008.com和123456）.如下图所示：root和radmin都可以切换为lisi用户，但lisi用户不能切换其他用户。

2）设置sudo授权

通过visudo命令，授权用户zhangsan使用useradd、userdel、passwd、usermod命令，但禁止其执行“passwd root” 、 “usermod * root”操作。

授权lisi用户使用/sbin/* 、 /usr/sbin/*命令，添加NOPASSWD，以取消验证。

添加“Defaults logfile”配置行，以启用sudo日志。

分别以zhangsan、lisi用户登录验证sudo操作。

如下图：zhangsan用户可以修改lisi密码（需要验证zhangsan密码），但不能修改root密码

如下图：lisi用户使用sudo命令创建用户时不需要验证lisi密码

3）限制引导及登录过程

Vim /etc/init/control-alt-delete.conf禁用ctrl+alt+del快捷键，reboot重启生效。

分别进入/etc/init/start-ttys.conf和 /etc/sysconfig/init 禁用tty1、tty2、tty4、tty6四个终端

使用grub-md5-crypt命令获取加密的密码字符串，然后进入/boot/grub/grub.conf在第一个title行之前添加密码配置

重启进入GRUB菜单界面，验证直接按E键无法编辑引导参数，需要先按P键输入密码再按E键

2、安装john软件，检测本机的弱口令。

解压进入后并编译

编译后会在run目录下生成john程序，准备待破解的密码文件，然后执行

3、安装NMAP软件，扫描网络上tcp和udp端口。

两台linux计算机，配置ip为192.168.1.0网段。（分别时1.10和1.20）一台安装NMAP扫描软件，另外一台安装ftp和http服务，并启动服务。

先扫描一下本机开放那些端口。再扫描另一台主机开放了那些端口。

查看本机tcp端口

查看本机udp端口

查看192.168.1.20主机tcp端口