一、系統賬號清理
1.1 將非登錄用戶的shell設爲/sbin/nologin
useradd tom2
passwd tom2
usermod tom2 -s /sbin/nologin
cat /etc/passwd
1.2 鎖定長期不用的賬號
方法一: usermod -L tom2
解鎖賬號
usermod -U tom2
方法二:進入vi /etc/shadow 將tom2的賬號內容前面加!,也能實現不能登錄的效果
1.2 刪除無用的賬號
userdel tom2
1.3 鎖定賬號文件passwd 、shadow
解鎖賬號文件passwd 、shadow
1.3 密碼安全控制
(1)設置密碼有效期
方法一:適用於新建用戶
vi /etc/login.defs
PASS_MAX_DAYS 30
方法二:適用於已有用戶
chage -M 30 tom3 //將用戶tom3賬號密碼有效期設置爲30天
chage -d 0 tom3 //將用戶tom3下一次的登錄需要重新修改密碼
1.4 命令歷史限制
vi /etc/profile
HISTSIZE=200 //限制200條命令跳數
1.5 註銷時自動清空命令歷史
1.6 閒置600秒後自動註銷
二、使用su命令切換用戶
2.1 限制使用su命令的用戶
- 將允許使用su命令的用戶加入wheel組
- 啓用pam_wheel認證模塊
useradd tom1
passwd tom1
gpasswd -a tom1 wheel
vi /ect/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
將這兩句的前面的#去掉
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
2.2 查看su操作記錄
安全日誌文件:/var/log/secure
2.3 PAM認證原理
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
2.2 查看su操作記錄
三、使用sudo機制提升權限
- 配置sudo授權 visudo 或者 vi /etc/sudoers
- 記錄格式 用戶 主機名列表 = 命令程序列表
四、開關機安全控制
4.1 調整BIOS引導設置
- 將第一引導設備設爲當前系統所在硬盤
- 禁止從其他設備(光盤、U盤、網絡)引導系統
- 將安全級別設爲setup,並設置管理員密碼
開機快速按fn+F2,進去BIOS界面,選擇左右鍵移到BOOt修改引導啓動
shift+,- 來調整。
![在這裏插入圖片描述]()
4.2 grub限制
centos7添加grub密碼
4.2 grub限制(1)添加 密碼
[root@localhost ~]# grub2-setpassword
Enter password:
Confirm password:
(2)查看是否添加
[root@localhost /]# cat /boot/grub2/user.cfg
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.9970689C89C0F2207DDD67AFDD309744908B84E5D2D6887F59307E3C9FD529568B8EC123E7CFB9323D7C70922D1258C632931EC38D178EAC3E49B3576858D1AE.DF9497BC3BD8C409CCAD08262A125986554755A02208D89A70F4D327C08848234C7954259950A73790D0F603925A73D5808459EC334C4AEC9A1A41C7F75A0D5D
驗證:
reboot
重啓快速按“e”進入
輸入賬戶密碼即可進入
五、終端控制
Linux的終端就是控制檯,是用戶與內核交互的平臺
Ctrl+Alt+F1組合鍵,可切換到第一個圖形界面
Ctrl+Alt+F2 組合鍵可切換到第一個終端,依次到F6共是6個終端
5.1 禁止Ctrl+Alt+del快捷鍵
方法一: vi /etc/securetty 之後重啓查看嘗試設置
方法二:
六、禁止普通用戶登錄
touch /etc/nologin //禁止普通用戶登錄
rm -rf /etc/nologin //撤銷禁止普通用戶登錄
五、系統弱口令檢測
5.1 安裝JR工具
安裝方法make clean系統類型
5.2 檢測弱口令賬號
獲得Linux/unix服務器的shadow文件
執行John程序,將shadow文件作爲參數
[root@localhost opt]# tar zxvf john-1.8.0.tar.gz -C /opt/john //解壓縮文件
[root@localhost john]# ls -a
. … john-1.8.0
[root@localhost john]# cd john-1.8.0/
[root@localhost john-1.8.0]# ll
總用量 4
drwxr-xr-x. 2 root root 208 6月 22 19:45 doc
lrwxrwxrwx. 1 root root 10 5月 30 2013 README -> doc/README
drwxr-xr-x. 2 root root 143 6月 22 19:45 run
drwxr-xr-x. 2 root root 4096 6月 22 19:45 src
[root@localhost src]# make clean linux-x86-64 //進行編譯
[root@localhost src]# cp /etc/shadow /root/shadow.txt //準備帶破解的密碼文件
[root@localhost john-1.8.0]# cd run/
[root@localhost run]# ./john /root/shadow.txt //執行暴力破解
[root@localhost run]# ./john --show /root/shadow.txt
Session aborted
[root@localhost run]# ./john --show /root/shadow.txt //查看已破解的文件
tom1:123:18435:0:99999:7:::
tom3:123:0:0:9999:7:::
2 password hashes cracked, 2 left
5.3 密碼文件的暴力破解
準備好密碼字典文件,默認爲passwd.lst
執行John程序,結合–Wordlist=字典文件
六、nmap命令
nmap是一個網絡探測和安全掃描程序,系統管理者和個人可以使用這個軟件掃描大型的網絡,獲取那臺主機正在運行以及提供什麼服務等信息。nmap支持很多掃描技術,例如:UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標誌、ICMP、FIN、ACK掃描、聖誕樹(Xmas Tree)、SYN掃描和null掃描。從掃描類型一節可以得到細節。nmap還提供了一些高級的特徵,例如:通過TCP/IP協議棧特徵探測操作系統類型,祕密掃描,動態延時和重傳計算,並行掃描,通過並行ping掃描探測關閉的主機,誘餌掃描,避開端口過濾檢測,直接RPC掃描(無須端口影射),碎片掃描,以及靈活的目標和端口設定.
常用端口掃描選項
-sS:TCP SYN掃描(半開掃描)-nmap默認掃描項,不建立完整連接
-sT:TCP連接掃描-完整連接掃描,和telent端口類似
-sU:UDP掃描
-sY:SCTP INIT掃描-SCTP是TCP和UDP相對較新的替代方案,結合了TCP和UDP大多數特性,是TCP SYN掃描的SCTP等效物。
-sN:-sF:-sX:空掃描、FIN掃描、Xmas掃描
-sA:TCP ACK掃描
-sW:TCP窗口掃描
-sM:TCP Maimom掃描
-sO:IP協議掃描-探測目標支持哪些IP協議
如果yum沒有nmap安裝包,可以部署阿里雲yum源
yum -y install nmap
nmap 192.168.75.134
