系统安全及应用

发布于:2024-06-11 ⋅ 阅读:(38) ⋅ 点赞:(0)
微信交流群:https://732903.hlcode.cn/?id=NK1fWUR

10.1  账号安全控制

10.1.1基本安全措施

类别

子项

描述与操作

账号安全控制

基本安全措施

  
 

禁止登录终端

设置登录 shell 为

/sbin/nologin
 

锁定账号

使用

usermod -L 用户名

锁定账号,

usermod -U 用户名

解锁账号
 

锁定文件

使用

chattr +i

锁定

/etc/passwd

/etc/shadow

文件,防止修改
   

使用

lsattr

查看文件隐藏属性

密码安全控制

密码有效期设置

查看

/etc/shadow

文件中用户密码的详细信息
   

修改

/etc/login.defs

文件中的

PASS_MAX_DAYS

设置密码最长过期天数
  • chattr 命令用于设置文件的隐藏属性,其中 +i 表示设置不可修改和删除的属性。
  • lsattr 命令用于显示文件的隐藏属性。
  • /etc/passwd 和 /etc/shadow 是存储用户账号和密码的文件,需要保护其安全。
  • /etc/login.defs 文件定义了系统级的账号和密码策略。

(1)chatter文件隐藏属性参数说明:

  • A: 访问时间不被修改
  • S: 同步写入磁盘
  • a: 文件只能增加数据,不能删除或修改
  • c: 自动压缩文件
  • d: 不被 dump 备份
  • i: 文件不能被删除、改名,不能写入或添加数据
  • s: 文件被删除后彻底删除
  • u: 文件删除后数据内容仍存在于磁盘

(2)lsattr显示隐藏文件属性参数说明

  • -a:将隐藏文件的属性也显示出来
  • -d:如果接的是目录,仅列出目录本身的属性而不是目录内的文件名
  • -R:连同子目录的数据也显示出来

10.1.2:密码安全控制

在 /etc/shadow 文件中,每个用户账号的密码信息都存储为一行,并且使用冒号()分隔成多个字段

[root@localhost ~]# cat /etc/shadow
root:$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./::0:99999:7:::

下面对每组的解释:

字段

含义

示例值

用户名

用户的登录名

root

加密后的密码

使用

$id$salt$hashed

格式加密的密码

$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./

密码最后一次更改日期

从1970年1月1日算起的天数

::

(这里为占位符,实际值应为一个数字)

密码最小年龄

密码更改后必须保持的最小天数

0

密码最大年龄

密码到期前的天数(密码有效期)

99999

(通常表示密码永不过期)

密码到期前的警告天数

密码到期前多少天开始警告用户

7

密码到期后账号的宽限期

密码过期后用户还可以登录的天数

::

(这里为占位符,实际值应为一个数字)

账号失效日期

账号过期的日期(从1970年1月1日算起的天数)

::

(这里为占位符,实际值应为一个数字)

保留字段

保留给未来使用

::

(通常为空或占位符)

(1)密码有效期的设置

新建用户可以通过修改login.defs文件修改密码有效期

PASS_MAX_DAYS   99999  
PASS_MIN_DAYS   0  
PASS_MIN_LEN    5  
PASS_WARN_AGE   7
  • PASS_MAX_DAYS 99999
    • 这个参数定义了密码的最大有效期(天数)。在此例中,密码的最大有效期被设置为 99999 天,这通常意味着密码永不过期(除非手动更改)。
  • PASS_MIN_DAYS 0
    • 这个参数定义了用户更改密码后必须等待的最小天数。在此例中,设置为 0 意味着用户可以随时更改他们的密码,没有等待期。
  • PASS_MIN_LEN 5
    • 这个参数定义了密码的最小长度。在此例中,用户设置的密码长度必须至少为 5 个字符。这有助于提高密码的安全性,因为较短的密码更容易被猜测或暴力破解。
  • PASS_WARN_AGE 7
    • 这个参数定义了从密码到期日开始,系统开始警告用户密码即将过期的天数。在此例中,如果用户的密码设置了有效期(尽管在上面的 PASS_MAX_DAYS 中设置为 99999),那么系统会在用户密码到期前 7 天开始发出警告。

PASS_MIN_LEN的值需要在/etc/pam.d/system-auth文件中设置,此处设置是不生效的,此参数由pam认证机制决定。

以下方式设置用户最短密码策略

[root@localhost ~]# vim /etc/pam.d/system-auth

添加:

password requisite pam_cracklib.so try_first_pass retry=3 minlen=12

10.1.3 命令历史,自动注销的步骤

序号

操作目标

命令或配置

解释

1

为新登录的用户设置命令历史

vi /etc/profile

,添加

HISTSIZE=20

修改

/etc/profile

文件,为新登录用户设置命令历史记录的最大数量为20条。

2

为已登录的当前用户设置命令历史

export HISTSIZE=200

为当前已登录的shell会话设置命令历史记录的最大数量为200条。

3

清空历史命令

vi ~/.bash_logout

,添加

history -c

clear

在用户的

~/.bash_logout

文件中添加

history -c

命令以清空历史记录,

clear

命令用于清除屏幕内容。但这并不是真正在注销时清空历史记录的正确方法,因为

history -c

通常在当前shell会话中有效,并不会影响已保存的历史文件(如

~/.bash_history

)。

4

检查命令历史的清除效果

logout

后重新登录,

history

查看

在终端中输入

logout

注销用户,然后重新登录并使用

history

命令查看历史记录是否被清空。但如前所述,

history -c

的效果可能不会在重新登录时体现。

5

新登录用户设置空闲自动注销

vi /etc/profile

,添加

export TMOUT=600

修改

/etc/profile

文件,为新登录用户设置空闲时间达到600秒(10分钟)后自动注销。

6

当前已登录用户设置空闲自动注销

export TMOUT=600

为当前已登录的shell会话设置空闲时间达到600秒(10分钟)后自动注销。

10.2用户切换与提权

10.2.1.su命令

(1)su切换用户

[root@localhost ~]# su lisi
[lisi@localhost root]$

(2)只允许指定的用户使用su进行切换

[root@localhost ~]# gpasswd -a zhangsan wheel
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# 
[root@localhost ~]# vim /etc/pam.d/su
#auth            required        pam_wheel.so use_uid
把这一行#去掉

3:sudo命令提权

(1)在配置文件/etc/sudoers中添加授权

[root@localhost ~]# visudo 
root    ALL=(ALL)       ALL
zhangsan ALL=(ALL)     ALL

 

10.3:系统引导和登录控制

10.3.1:开关机安全控制

1:调整 BIOS 引导设置

2:限制更改 GRUB 引导参数(为GRUB添加密码)

(1)生成密文密码

[root@localhost ~]# grub2-mkpasswd-pbkdf2 
输入口令:
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
[root@localhost ~]# 
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
[root@localhost ~]# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
export superusers
password_pbkdf2 root grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
 EOF
 [root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
 重启进入GRUB测试密码
 在GRUB菜单处第一行按下字母e,提示输入账号和密码

10.3.2:弱口令检测,端口扫描

1:弱口令检测-John the Ripper

 在GRUB菜单处第一行按下字母e,提示输入账号和密码

三:弱口令检测,端口扫描
3.1:弱口令检测-John the Ripper 
# 安装 John the Ripper  
tar zxf john-1.8.0.tar.gz  
cd john-1.8.0/src/  
yum -y install gcc libssl-devel libunistring-devel  
make clean linux-x86-64  
  
# 复制 shadow 文件(注意:此操作可能存在安全风险,请确保你有权限这样做)  
cp /etc/shadow /root/shadow.txt  
  
# 检测弱口令  
cd /root/john-1.8.0/run/  
./john /root/shadow.txt  
  
# 查看检测结果  
./john --show /root/shadow.txt  
  
# 使用密码字典检测  
vim /root/pass.list  
./john --wordlist=/root/pass.list /root/shadow.txt  
./john --show /root/shadow.txt

2:网络扫描NMAP

# 安装 NMAP  
yum install -y nmap  
  
# 扫描本机  
nmap 127.0.0.1  
  
# 扫描常用 UDP 端口  
nmap -sU 127.0.0.1  
  
# 显示网络接口(仅为了确认IP地址)  
ifconfig  
  
# 扫描网段中启用 21 端口的主机  
nmap -p 21 192.168.10.0/24  
  
# 扫描存活主机  
nmap -sn 192.168.10.0/24  
  
# 扫描主机是否开启 SMB 共享(139, 445 端口)  
nmap -p 139,445 192.168.10.10-20  
  
# 扫描类型示例  
# TCP SYN 扫描  
nmap -sS 192.168.10.10  
  
# TCP 连接扫描  
nmap -sT 192.168.10.10  
  
# TCP FIN 扫描  
nmap -sF 192.168.10.10  
  
# UDP 扫描  
nmap -sU 192.168.10.10  
  
# ICMP 扫描  
nmap -sn 192.168.10.10  
  
# 跳过 ping 检测  
nmap -Pn 192.168.10.103

 

 

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布