系统安全及应用

目录

一、账号安全控制

1)系统账号清理

2)密码安全控制

chage命令

示例

3)命令历史限制

4)终端自动注销

总结

账号安全

密码安全                

二、系统引导和登录控制

1)使用su命令切换用户

用途及用法

密码验证

限制使用su命令的用户

2)Linux中的PAM安全认证

su命令的安全隐患

PAM(Pluggable Authentication Modules)可拔插式认证模块

PAM认证原理

PAM安全认证流程

3)使用sudo机制提升权限

示例

​编辑

4)配置sudo授权

别名创建

 示例

使用别名进行授权

普通用户使用授权命令

查看当前用户拥有哪些操作权限​编辑

启用sudo操作日志

5)安全控制

①开关机安全控制

示例: 

​编辑

②终端登录安全控制

三、弱口令检测

1)Joth the Ripper,简称为JR

安装JR工具

检测弱口令账号

密码文件的暴力破解

示例

​编辑​

四、网络端口扫描

1)NMAP

检查并安装 namp工具

使用格式

常用的扫描类型

2)ss与netstat

总结


一、账号安全控制

1)系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
  • 锁定长期不使用的账号
usermod -L 用户名

passwd -l 用户名

passwd -S 用户名
  • 删除无用的账号
userdel [-r] 用户名
  • 锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow

lsattr /etc/passwd /etc/shadow        //锁定文件并查看状态

chattr -i /etc/passwd /etc/shadow    //解锁文件

md5sum /etc/password 校验和

2)密码安全控制

chage命令

常用选项 

参数说明
-m密码可更改的最小天数,为0时代表任何时候
-M密码保持有效的最大天数
-w用户密码到期前,提前收到警告信息的天数
-E账号到期的日期
-d上一次更改的日期
-i停滞时期。如果一个密码已过期这些天,那么此账号将不可用
-l列出当前的设置。由非特权用户来确定他们的密码或账号何时过期
  • 设置密码有效期
  • 要求用户下次登录时修改密码
[root@localhost ~]# vi /etc/login.defs         //修改密码配置文件(适用于新建用户)

 ……

PASS_MAX_DAYS     30

[root@localhost ~]# chage -M 30 lisi            //适用于已有用户

[root@localhost ~]# cat /etc/shadow | grep lisi

示例

[root@localhost ~]# chage -d 0 zhangsan                //强制在下次登录时更改密码

[root@localhost ~]# cat /etc/shadow | grep zhangsan    //shadown文件中的第三个字段被修改为0

3)命令历史限制

  • 减少记录的命令条数
  • 登陆时自动清空命令历史
[root@localhost ~]# vi /etc/profile

export HISTSIZE=200

[root@localhost ~]# source /etc/profile


[root@localhost ~]# vi ~/.bashrc

echo "" > ~/.bash_history

永久生效

4)终端自动注销

  • 限制600秒后自动注销
[root@localhost ~]# vi /etc/profile

……

export TMOUT=600

[root@localhost ~]# source /etc/profile
  • 开机永久清空历史命令 

  • 设置每60秒清空一次历史命令

总结

账号安全

禁止用户登录系统 usermod -s /sbin/nologin

锁定用户        usermod -L 用户名            解锁 -U

                passwd -l  用户名                -u

                passwd -s 

删除用户        userdel -r 用户名

锁定账号文件     chattr +i /etc/{passwd,shadow}        解锁  -i

                lsattr

密码安全                

设置密码有效期     /etc/login.defs ——> PASS MAX DAYS 针对新建用户

                  chage -M 天数 用户                   

针对已存在的用户   99999代表密码永不过期

登录立即修改密码   chage -d 0 用户名

历史命令           history

限制历史命令数     /etc/profile ——>export HISTSIZE= ——>source /etc/profile

清空历史命令       history -c

                  > -/.bash_history


二、系统引导和登录控制

1)使用su命令切换用户

用途及用法

用途:Substitiute User,切换用户

格式

su -目标用户

密码验证

root——>任意用户,不验证密码

普通用户——>其他用户,验证目标用户的密码

[jerry@localhost ~]$ su -root  //带-选项表示将使用目标用户的登录Shell环境

口令:

[root@localhost ~]# whoami

root

示例

限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
  • 启用pam_wheel认证模块
[root@localhost ~]#vi /etc/pam.d/su

#@PAM-1.0

auth sufficient pam_rootok.so

auth required pam_wheel.so use_uid

……

2)Linux中的PAM安全认证

su命令的安全隐患

  • 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
  • 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换

PAM(Pluggable Authentication Modules)可拔插式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式
  • 也是当前Linux服务器普遍使用的认证方式

PAM认证原理

  • 一般遵循的顺序

                  service(服务)->PAM(配置文件)->pam_*.so

  • 首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
  • 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序所对应的PAM模块是不同的

PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用 cat /etc/pam.d/system-auth

第一列代表PAM认证模块类型

1.auth: 对用户身份进行识别,如提示输入密码,判断是否为root。

2.account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。

3.password: 使用用户信息来更新数据,如修改用户密码。

4.session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统,能连接几个终端

第二列代表PAM控制标记

1.required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。

2.requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。

3.sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。

4.optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型), 5.include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块

默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块的参数

这个需要根据所使用的模块来添加。传递给模块的参数,参数可以有多个,之间用空格分隔开

查看某个程序是否支持PAM认证,可以用ls命令 

  • 示例:查看su是否支持PAM模板认证
    ls /etc/pam.d | grep su 
  • 查看su的PAM配置文件:cat /etc/pam.d/su

        每一行都是一个独立的认证过程

        每一行可以区分为三个字段

                认证类型

                控制类型

                PAM模块及其参数

PAM安全认证流程

控制类型也称做Control Flags,用于PAM验证类型的返回结果

1.required验证失败时仍然继续,但是返回Fail

2.requisite验证失败则立即结束整个验证过程,返回Fail

3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

4.optional不用于验证,只显示信息(通常用于session类型)

示例

例:安全日志文件/var/log/secure

3)使用sudo机制提升权限

用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

示例

4)配置sudo授权

  • visudo或者vi /etc/sudoers
  • 记录格式
用户 主机名=命令程序列表    //可以使用通配符*全部,!取反符号

别名创建

  • User_Alias 大写别名=用户1,用户2,……
  • Host_Alias 大写别名=主机名1,主机名2,……
  • Cmnd_Alias 大写别名=程序1,程序2,……

 示例

使用别名进行授权

#用户/组授权

用户名/用户别名 主机名/别名 =(用户)程序列表/别名

%组名 主机名 程序列表

用户名 主机名 = [(用户)NOPASSWD:] 程序列表

普通用户使用授权命令

mkdir ~/guazhai    //通过wangwu用户在家目录下创建一个 guazhai的空文件
 
sudo  mount /dev/sr0   ~/guazhai  //sudo  加配置的命令表中的命令,以root的身份去运行该授权命令

ps:第一次执行需要验证密码,默认超时时长为5分钟,在此期间不再重复验证密码

查看当前用户拥有哪些操作权限

启用sudo操作日志

visudo

Defaults logfile = “/var/log/sudo”

su切换

将信任的普通用户加入到wheel组中    gpasswd -a 用户 wheel

修改su的PAM认证文件配置 

 /etc/pam.d/su 将2,6行注释取消

5)安全控制

①开关机安全控制

调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为setup,并设置管理员密码

GRUB限制

  • 使用grub2-mkpasswd-pdkdf2生成密钥
  • 修改/etc/grub.d/00_header文件中,添加密码记录
  • 生成新的grub.cfg配置文件

通常情况下在系统开机进入GRUB菜单时,按e可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB设置一个密码,只有提供正确的密码才能被允许修改参数

grub2-mkpasswd-pbkdf2                               #根据提示设置GRUB 菜单的密码
PBKDF2 hash of your password is grub.pbkdf2...      #省略部分内容为经过加密生成的密码字符串


cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

vim /etc/grub.d/00_header
cat << EOF
set superusers="root"                         #设置用户名为root
password_pbkdf2 root grub.pbkdf2.....         #设置密码,省略部分内容为经过加密生成的密码字符串
EOF

grub2-mkconfig -o /boot/grub2/grub.cfg        # 生成新的grub.cfg文件

重启系统进入 GRUB 菜单时,按 e  键将需要输入账号密码才能修改引导参数

示例: 

②终端登录安全控制

  • 限制root只在安全终端登录

               安全终端配置:/etc/securetty

[root@localhost ~]#vi /etc/securetty

……

#tty5

#tty6         //禁止root用户从终端tty5、tty6登录
  • 禁止普通用户登录
  1. 建立/etc/nologin文件
  2. 删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin    //禁止普通用户登录

[root@localhost ~]# rm -rf /etc/nologin   //取消上述登录限制

三、弱口令检测

1)Joth the Ripper,简称为JR

  • 一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度
  • 官方网站:http://www.openwall.com/john/

安装JR工具

  • 安装方式
make clean 系统类型
  • 主程序文件为john

检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序,将shadow文件作为参数

密码文件的暴力破解

  • 准备好密码字典文件,默认为password.lst
  • 执行john程序,结合--wordlist=字典文件

示例

①安装软件包

②准备破译的文件

cp /etc/shadow   /app/shadow.txt

③使用JR软件进行破译 

[root@localhost src]#cd /app/john-1.8.0/run
[root@localhost run]#./john /app/shadow.txt 

⑤使用其他密码字典进行破译

[root@localhost run]#>john.pot     //清空已破译的密码列表


四、网络端口扫描

1)NMAP

  • 一款强大的网络端口扫描、安全、检测工具
  • 官方网站:http://nmap.org/
  • CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

检查并安装 namp工具

[root@localhost ~]# rpm -qa|grep nmap      //查看nmap

[root@localhost ~]# yum install -y nmap    //安装nmap

使用格式

nmap    [扫描类型]    [选项]      <扫描目标>

常用的扫描类型

-p指定扫描的端口
-n禁用反向DNS解析(以加快扫描速度)
-sSTCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接,否则认为目标端口并未开放
-sTTCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
-sFTCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sUUDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢
-sPICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-P0跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
分别查看本机开放的TCP端口、UDP端口

nmap -sT127.0.0.1

nmap -sU 127.0.0.1

检测192.168.4.0/24网段有哪些主机提供FTP服务

nmap -p 21 192.168.4.0/24

检测192.168.4.0/24网段有哪些存活主机

nmap -n -sP 192.168.4.0/24

2)ss与netstat

n以数值形式显示IP
l只查看监听状态的网络信息(LISTEN)
t查看TCP协议相关的信息
p显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
a显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
u显示UDP协议相关的信息
r显示路由表信息


总结

1. 用户账号的锁定和解锁。通过创建/etc/nologin  文件使普通用户无法登录

2.通过修改/etc/profile  文件来限制命令条数,以及用户退出时间

3.su命令的切换与sudo  对用户进行提权

4.pam.d /su 建立wheel组,使普通用户无法任意切花

5.ss 和nestat 产看本机具体信息,namp 查看网络端口具体信息

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/12431.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

生产管理系统是什么?它有哪些功能模块?

阅读本文您将了解&#xff1a;1.企业生产管理的问题&#xff1b;2.生产管理系统模块有哪些&#xff1b;3.如何利用生产管理系统模块解决问题。 一、企业生产管理会遇到哪些问题&#xff1f; 生产管理是有计划、组织、指挥、监督调节的生产活动。以最少的资源损耗&#xff0c;…

风电的Weibull分布及光电的Beta分布组合研究(Matlab代码实现)

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…

九龙证券|服务器龙头获资金连续抢筹,尾盘主力抢筹前期大热门股

今天&#xff0c;核算机职业取得主力大手笔抢筹。 今天主力资金净流出53.89亿元&#xff0c;其间创业板净流出3.19亿元&#xff0c;沪深300成份股净流出7.61亿元。 申万一级职业中&#xff0c;今天有19个职业上涨&#xff0c;传媒职业接连两日均涨近5%&#xff0c;居首位&…

OA系统的功能和作用是什么(OA系统百科)

OA系统的功能和作用是什么&#xff08;OA系统百科&#xff09;。OA系统是一种非常实用的企业内部管理系统&#xff0c;它可以帮助公司实现各项管理工作&#xff0c;可以说是整个公司和团队的纽带&#xff0c;有助于提高工作效率和管理水平。 具体来说&#xff0c;OA系统的作用…

换电脑 NoteExpress 数据备份迁移

前言 主要操作是跟着这篇博客做的&#xff1a;NoteExpress数据库备份和转移。但也有一些不一样的地方 旧电脑NoteExpress(NE)版本3.7&#xff0c;新电脑版本3.8 旧电脑 导出配置文件 桌面找到图标&#xff0c;打开位置&#xff0c;点击配置备份&#xff08;绿色的图标&#…

wordpres漏洞扫描器——wpscan

WordPress 使用PHP语言开发的博客平台 WordPress是使用PHP语言开发的博客平台&#xff0c;用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统&#xff08;CMS&#xff09;来使用。 WordPress是一款个人博客系统&#xff0c…

SpringBoot 整合 RabbitMQ (四十一)

二八佳人体似酥&#xff0c;腰间仗剑斩愚夫。虽然不见人头落&#xff0c;暗里教君骨髓枯。 上一章简单介绍了SpringBoot 实现 Web 版本控制 (四十),如果没有看过,请观看上一章 关于消息中间件 RabbitMQ, 可以看老蝴蝶之前的文章: https://blog.csdn.net/yjltx1234csdn/categor…

小红书热词速看 | 古茗有何营销动作?

【导语】 据古茗官方数据&#xff0c;新系列推出当日即售空&#xff0c;单店最高出杯420杯&#xff0c;最快24小时内卖断货&#xff1b;上架3天&#xff0c;销量突破100万杯&#xff1b;10天&#xff0c;就售出了343万杯&#xff0c;其中2款牛油果奶昔用掉了40万斤牛油果&…

【Java基础】迷宫问题的Java代码实现

迷宫问题通常是指在给定的迷宫中&#xff0c;找到从起点到终点的路径的问题。迷宫通常由障碍物和自由空间组成&#xff0c;其中障碍物是不可穿越的区域&#xff0c;自由空间可以穿越。解决迷宫问题的方法有很多种&#xff0c;本文使用递归算法来解决迷宫问题。 一、使用递归算法…

vLive带你走进虚拟直播世界

虚拟直播是什么&#xff1f; 虚拟直播是基于5G实时渲染技术&#xff0c;在绿幕环境下拍摄画面&#xff0c;通过实时抠像、渲染与合成&#xff0c;再推流到直播平台的一种直播技术。尽管这种技术早已被影视工业所采用&#xff0c;但在全民化进程中却是困难重重&#xff0c;面临…

【状态估计】基于增强数值稳定性的无迹卡尔曼滤波多机电力系统动态状态估计(Matlab代码实现)

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…

TeeChart Pro ActiveX 2023.3.20 Crack

TeeChart Pro ActiveX 图表组件库提供数百种 2D 和 3D 图形样式、56 种数学和统计函数供您选择&#xff0c;以及无限数量的轴和 14 个工具箱组件。图表控件可以有效地用于创建多任务仪表板。 插件的多功能性 ActiveX 图表控件作为服务器端库中的 Web 图表、脚本化 ASP 图表或桌…

Docker应用部署

文章目录 Docker 应用部署一、部署MySQL二、部署Tomcat三、部署Nginx四、部署Redis Docker 应用部署 一、部署MySQL 搜索mysql镜像 docker search mysql拉取mysql镜像 docker pull mysql:5.6创建容器&#xff0c;设置端口映射、目录映射 # 在/root目录下创建mysql目录用于…

缩短客户响应时间的 5 种方法

在当今竞争激烈的世界中&#xff0c;客户服务就是确保卓越的客户体验。这意味着顶级品牌必须竞争为客户提供最好的客户服务&#xff0c;而且提供最快的响应时间。 改善客户服务响应时间的 5种方法 1.使用正确的客户服务软件 客户服务软件是您可以为提高客户服务而进行的最佳…

【JVM】常量池

常量池&#xff08;Runtime Constant Poo&#xff09; 常量池Java中可以分为三种&#xff1a;字符串常量池&#xff08;堆&#xff09;、Class文件常量池、运行时常量池&#xff08;堆&#xff09;。 1.字符串常量池&#xff08;String Pool&#xff09; 为了提升性能和减少…

C++ 23 实用工具(二)绑定工具

C 23 实用工具&#xff08;二&#xff09;绑定工具 Adaptors for Functions std::bind、std::bind_front、std::bind_back和std::function这四个函数非常适合一起使用。 其中&#xff0c;std::bind、std::bind_front和std::bind_back可以让您即时创建新的函数对象&#xff0c…

protobuf编码格式解析

示例 假如定义一个如下的protobuf类型 message Person {required string user_name 1;optional int64 favorite_number 2;repeated string interests 3; }将其赋值为: user_name : "Martin" favorite_number : 1337 interests:"daydrea…

(PCB系列三)AD六层板布线经验累积

目录 1、布局&#xff1a; 2、创建电源类PWR 3、高速部分可以加屏蔽罩&#xff0c; 4、EMMC和NANDFLASH采取兼容放置&#xff08;创建联合&#xff09; 5、HDMI设计 6、就近原则摆放 7、AV端口 8、模拟信号&#xff08;1字型或L型走线&#xff09; 9、WIFI模块 10、局…

【精华】表格结构识别模型研究进展

表格结构识别模型研究进展 合合信息&#xff1a;表格识别与内容提炼技术理解及研发趋势 OCR之表格结构识别综述 表格识别技术综述 用于表检测和结构识别的深度学习&#xff1a;综述 &#xff08;1&#xff09;PP-Structure 速度提升11倍&#xff0c;一键PDF转Word PP-St…

【软考备战·希赛网每日一练】2023年4月12日

文章目录 一、今日成绩二、错题总结第一题 三、知识查缺 题目及解析来源&#xff1a;2023年04月12日软件设计师每日一练 一、今日成绩 二、错题总结 第一题 解析&#xff1a; 依据题目画出PERT图如下&#xff1a; 关键路径长度&#xff08;从起点到终点的路径中最长的一条&…