系統安全及應用
1. 將用戶的shell設置爲/sbin/nologin。usermod -s /sbin/nologin lalala
2. 鎖定用戶。usermod -L lalala 或者passwd -l lalala
3. 查看賬號狀態。 passwd -S lalala
4. 解鎖用戶。 usermod -U lalala 或者 passwd -u lalala
5. 刪除賬號。 userdel -r lalala
6. 鎖定賬號文件(root也不能修改,解鎖時-i)。 chattr +i /etc/passwd /etc/shadow
7. 查看文件鎖定狀態(特殊權限)。 lsattr /etc/passwd /etc/shadow
8. 設置已存在用戶的密碼有效期。 chage -M 30 lalala
9. 設置後續新加用戶的密碼有效期。 vim /etc/login.defs 修改PASS_MAX_DAYS
10.設置下次登錄時修改密碼:chage -d 0 lalala
history命令能查看歷史命令,默認爲1000條,限制歷史命令:
11.減少記錄的命令條數。 /etc/profile 修改HISTSIZE=___
修改之後 source /etc/profile 使文件生效。
如果只是想要一次性的修改當前環境的歷史命令數: exportHISTSIZE=100
12.註銷時自動清空命令歷史:用vi打開用戶家目錄裏的“.bash_logout”寫入“history -c”、“clear”兩行命令。
注意!清空歷史命令之後,.bash_history文件中的記錄,會在輸入history之後還出現,所以還需要把.bash_history文件的內容清空。
13.終端閒置一定時間後自動註銷。閒置時間修改:vim /etc/profile 在最後加上“export TMOUT=600”(時間默認爲秒,表示終端閒置600s不操作,自動註銷)
14.使用su命令切換用戶。su –目標用戶
查看su操作記錄在安全日誌文件中:/var/log/secure
root切換到普通用戶不需要密碼,普通用戶切換到其他用戶需要目標用戶的密碼。
15.啓用 /etc/pam.d/su配置文件的pam_wheel模塊,只有在wheel組中的用於才能夠使用su命令切換用戶。(添加組成員:gpasswd –a lisi wheel)
16.使用sudo提升權限:
配置sudo授權:visudo 或者 vi /etc/sudoers
記錄格式:用戶 主機名列表=命令程序列表
eg: zhangsan lianjixi=/sbin/*, !/sbin/reboot (注意逗號,歎號爲排除的意思,NOPASSWD可以設置使用sudo命令無需密碼驗證。不設置情況下使用sudoers的命令每5分鐘需要密碼驗證一次。)
17.配置能看到sudo操作記錄:在visudo配置文件最後加上:Defaults logfile=/var/log/sudo.(如上)
之後就能在日誌文件/var/log/sudo裏看到sudo的操作了。
18.查詢授權的sudo操作:sudo–l
19.禁用重啓熱鍵Ctrl+Alt+Del。 vim /etc/init/control-alt-delete.conf,註釋掉後兩行。
20.爲grub引導菜單設置密碼
明文密碼:vim /boot/grub/grub.conf 第一個title上面加一行:password 123123(注意不是passwd,是全拼)
密文密碼:命令行輸入“grub-md5-crypt”然後輸入兩次密碼,密文密碼會顯示出來,同樣vim /boot/grub/grub.conf 第一個title上面加一行:password –md5 密文密碼。
重啓系統:
21.限制root只在安全終端登錄。vim/etc/securetty 不讓root登錄的終端註釋掉。
22.減少終端開放個數:vim /etc/sysconfig/init 和 /etc/init/start-ttys.conf.修改ACTIVE_CONSOLES=/dev/tty[ ] (中括號裏寫開放的終端數,默認爲[1-6]。
注:一般情況下兩個配置文件的開放終端要設置成一樣的,如果設置不一樣,主要以/etc/sysconfig/init文件配置爲準。
23.禁止普通用戶登錄。建立/etc/nologin文件(touch /etc/nologin)。
取消操作:刪除nologin文件或重啓即可恢復。
24網絡端口掃描:NMAP(光盤中有nmap的rpm的軟件包)
nmap的掃描語法:nmap [掃描類型][選項] <掃描目標>
常用的掃描類型 -sS ,TCP SYN掃描(半開) -sT,TCP連接掃描(全開)
-sF ,TCP FIN掃描 -sU,UDP掃描
-sP ,ICMP掃描 -P0,跳過ping檢測
-p 指定端口 查看網段內21號端口啓動的主機:nmap-p 21 10.1.1.0/24
-n 禁止DNS反向解析 掃描網段內存活主機:nmap-n -sP 10.1.1.0/24