10.1 账号安全控制
10.1.1基本安全措施
|--------|---------|---------------------------------------------------|
| 类别 | 子项 | 描述与操作 |
| 账号安全控制 | 基本安全措施 | |
| | 禁止登录终端 | 设置登录 shell 为 /sbin/nologin |
| | 锁定账号 | 使用 usermod -L 用户名 锁定账号, usermod -U 用户名 解锁账号 |
| | 锁定文件 | 使用 chattr +i 锁定 /etc/passwd 和 /etc/shadow 文件,防止修改 |
| | | 使用 lsattr 查看文件隐藏属性 |
| 密码安全控制 | 密码有效期设置 | 查看 /etc/shadow 文件中用户密码的详细信息 |
| | | 修改 /etc/login.defs 文件中的 PASS_MAX_DAYS 设置密码最长过期天数 |
- chattr 命令用于设置文件的隐藏属性,其中 +i 表示设置不可修改和删除的属性。
- lsattr 命令用于显示文件的隐藏属性。
- /etc/passwd 和 /etc/shadow 是存储用户账号和密码的文件,需要保护其安全。
- /etc/login.defs 文件定义了系统级的账号和密码策略。
(1)chatter文件隐藏属性参数说明:
- A: 访问时间不被修改
- S: 同步写入磁盘
- a: 文件只能增加数据,不能删除或修改
- c: 自动压缩文件
- d: 不被 dump 备份
- i: 文件不能被删除、改名,不能写入或添加数据
- s: 文件被删除后彻底删除
- u: 文件删除后数据内容仍存在于磁盘
(2)lsattr显示隐藏文件属性参数说明
- -a:将隐藏文件的属性也显示出来
- -d:如果接的是目录,仅列出目录本身的属性而不是目录内的文件名
- -R:连同子目录的数据也显示出来
10.1.2:密码安全控制
在 /etc/shadow 文件中,每个用户账号的密码信息都存储为一行,并且使用冒号()分隔成多个字段
[root@localhost ~]# cat /etc/shadow
root:$6$zFZ8kavFcjTKEq9v$3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./::0:99999:7:::下面对每组的解释:
|-------------|----------------------------|------------------------------------------------------------------------------------------------------------|
| 字段 | 含义 | 示例值 |
| 用户名 | 用户的登录名 | root |
| 加密后的密码 | 使用 idsalthashed 格式加密的密码 | 6zFZ8kavFcjTKEq9v3eEDeLV42bSDjRvflGFRdXs23LjMbzHLJRxtjXFpAKlBBTKv2rg3mxmkgZSxhaxGx.W9k2xQFKRhxDyazVaP./ |
| 密码最后一次更改日期 | 从1970年1月1日算起的天数 | :: (这里为占位符,实际值应为一个数字) |
| 密码最小年龄 | 密码更改后必须保持的最小天数 | 0 |
| 密码最大年龄 | 密码到期前的天数(密码有效期) | 99999 (通常表示密码永不过期) |
| 密码到期前的警告天数 | 密码到期前多少天开始警告用户 | 7 |
| 密码到期后账号的宽限期 | 密码过期后用户还可以登录的天数 | :: (这里为占位符,实际值应为一个数字) |
| 账号失效日期 | 账号过期的日期(从1970年1月1日算起的天数) | :: (这里为占位符,实际值应为一个数字) |
| 保留字段 | 保留给未来使用 | :: (通常为空或占位符) |
(1)密码有效期的设置
新建用户可以通过修改login.defs文件修改密码有效期
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7- PASS_MAX_DAYS 99999
- 这个参数定义了密码的最大有效期(天数)。在此例中,密码的最大有效期被设置为 99999 天,这通常意味着密码永不过期(除非手动更改)。
- PASS_MIN_DAYS 0
- 这个参数定义了用户更改密码后必须等待的最小天数。在此例中,设置为 0 意味着用户可以随时更改他们的密码,没有等待期。
- PASS_MIN_LEN 5
- 这个参数定义了密码的最小长度。在此例中,用户设置的密码长度必须至少为 5 个字符。这有助于提高密码的安全性,因为较短的密码更容易被猜测或暴力破解。
- PASS_WARN_AGE 7
- 这个参数定义了从密码到期日开始,系统开始警告用户密码即将过期的天数。在此例中,如果用户的密码设置了有效期(尽管在上面的 PASS_MAX_DAYS 中设置为 99999),那么系统会在用户密码到期前 7 天开始发出警告。
PASS_MIN_LEN的值需要在/etc/pam.d/system-auth文件中设置,此处设置是不生效的,此参数由pam认证机制决定。
以下方式设置用户最短密码策略
root@localhost \~# vim /etc/pam.d/system-auth
添加:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12
10.1.3 命令历史,自动注销的步骤
|----|-----------------|-------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 序号 | 操作目标 | 命令或配置 | 解释 |
| 1 | 为新登录的用户设置命令历史 | vi /etc/profile ,添加 HISTSIZE=20 | 修改 /etc/profile 文件,为新登录用户设置命令历史记录的最大数量为20条。 |
| 2 | 为已登录的当前用户设置命令历史 | export HISTSIZE=200 | 为当前已登录的shell会话设置命令历史记录的最大数量为200条。 |
| 3 | 清空历史命令 | vi ~/.bash_logout ,添加 history -c 和 clear | 在用户的 ~/.bash_logout 文件中添加 history -c 命令以清空历史记录, clear 命令用于清除屏幕内容。但这并不是真正在注销时清空历史记录的正确方法,因为 history -c 通常在当前shell会话中有效,并不会影响已保存的历史文件(如 ~/.bash_history )。 |
| 4 | 检查命令历史的清除效果 | logout 后重新登录, history 查看 | 在终端中输入 logout 注销用户,然后重新登录并使用 history 命令查看历史记录是否被清空。但如前所述, history -c 的效果可能不会在重新登录时体现。 |
| 5 | 新登录用户设置空闲自动注销 | vi /etc/profile ,添加 export TMOUT=600 | 修改 /etc/profile 文件,为新登录用户设置空闲时间达到600秒(10分钟)后自动注销。 |
| 6 | 当前已登录用户设置空闲自动注销 | export TMOUT=600 | 为当前已登录的shell会话设置空闲时间达到600秒(10分钟)后自动注销。 |
10.2用户切换与提权
10.2.1.su命令
(1)su切换用户
[root@localhost ~]# su lisi
[lisi@localhost root]$ (2)只允许指定的用户使用su进行切换
[root@localhost ~]# gpasswd -a zhangsan wheel
正在将用户"zhangsan"加入到"wheel"组中
[root@localhost ~]#
[root@localhost ~]# vim /etc/pam.d/su
#auth required pam_wheel.so use_uid
把这一行#去掉3:sudo命令提权
(1)在配置文件/etc/sudoers中添加授权
[root@localhost ~]# visudo
root ALL=(ALL) ALL
zhangsan ALL=(ALL) ALL10.3:系统引导和登录控制
10.3.1:开关机安全控制
1:调整 BIOS 引导设置
2:限制更改 GRUB 引导参数(为GRUB添加密码)
(1)生成密文密码
[root@localhost ~]# grub2-mkpasswd-pbkdf2
输入口令:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
[root@localhost ~]#
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/01_users /etc/grub.d/01_users.bak
[root@localhost ~]# vim /etc/grub.d/01_users
cat << EOF
set superusers="root"
export superusers
password_pbkdf2 root grub.pbkdf2.sha512.10000.6DB0943C2C7BDC916F4E86031380162FEC7C49BE39712405E74DC3F63A819DC032CA7B72C8908962C6ACE3B8DC0F757106A13FC7C39015DE2A76134C1763F68B.0E8C4E317C1835166C7B146923B4BA7AA5F3524D22FDE50A79E7F5190D0457D8077F771387CEB5DF8CA543B4CE7EAEB9210F8390AF1438A0129FC8DF0B1F926B
EOF
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
重启进入GRUB测试密码
在GRUB菜单处第一行按下字母e,提示输入账号和密码10.3.2:弱口令检测,端口扫描
1:弱口令检测-John the Ripper
在GRUB菜单处第一行按下字母e,提示输入账号和密码
三:弱口令检测,端口扫描
3.1:弱口令检测-John the Ripper
# 安装 John the Ripper
tar zxf john-1.8.0.tar.gz
cd john-1.8.0/src/
yum -y install gcc libssl-devel libunistring-devel
make clean linux-x86-64
# 复制 shadow 文件(注意:此操作可能存在安全风险,请确保你有权限这样做)
cp /etc/shadow /root/shadow.txt
# 检测弱口令
cd /root/john-1.8.0/run/
./john /root/shadow.txt
# 查看检测结果
./john --show /root/shadow.txt
# 使用密码字典检测
vim /root/pass.list
./john --wordlist=/root/pass.list /root/shadow.txt
./john --show /root/shadow.txt2:网络扫描NMAP
# 安装 NMAP
yum install -y nmap
# 扫描本机
nmap 127.0.0.1
# 扫描常用 UDP 端口
nmap -sU 127.0.0.1
# 显示网络接口(仅为了确认IP地址)
ifconfig
# 扫描网段中启用 21 端口的主机
nmap -p 21 192.168.10.0/24
# 扫描存活主机
nmap -sn 192.168.10.0/24
# 扫描主机是否开启 SMB 共享(139, 445 端口)
nmap -p 139,445 192.168.10.10-20
# 扫描类型示例
# TCP SYN 扫描
nmap -sS 192.168.10.10
# TCP 连接扫描
nmap -sT 192.168.10.10
# TCP FIN 扫描
nmap -sF 192.168.10.10
# UDP 扫描
nmap -sU 192.168.10.10
# ICMP 扫描
nmap -sn 192.168.10.10
# 跳过 ping 检测
nmap -Pn 192.168.10.103