十一章.系统安全及应用

十一章.系统安全及应用

文章目录

目录:

账号安全控制
系统引导和登录控制
弱口令检测
端口扫描

一:账号安全控制

1.1系统账号清理

将非登录的用户的shell设为/sbin/nologin
undefined 复制代码
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd,shadow

1.2密码安全控制

设置密码有效期
要求用户下次登录时修改密码
chage -M 日期 用户   【设置用户密码有效期】
 
chage -E xxxx-xx-xx 用户   【设置用户过期时间】

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

vi /etc/login.defs   【修改密码配置文件】

二、使用su命令切换用户2-1

2.1用途以及方法

用途:Substitute User,切换用户

格式:

su -目标用户
密码验证
root 用户到任意用户,不同验证密码
普通用户到任意 用户,验证目标用户,验证目标用户的密码

2.2限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块
su命令具有安全隐患
su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
在/etc/ pam.d/su文件里设置禁止用户使用su命令

vim /etc/pam.d/ su

#auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use__uid 
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令

示例:

将suangcaiyu用户加入wheel组中
进入vi /etc/pam.d/su
将这条命令前面的#号删除启动

账号安全基本措施3-1

系统账号清理
将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd、shadow
账号安全基本措施3-2
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
账号安全基本措施3-3
命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
###### 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

四、PAM认证原理及构成

4.1PAM认证的原理

一般遵循的顺序:

Service (服务) -->PAM (配置文件) --> pam_ *.so;

首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d 下),最后调用认证模块(位于/lib64/ security/下)进行安全认证。

3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

4.2PAM认证的构成

查看某个程序是否支持PAM认证,可以用ls命令

ls /etc/pam.d | grep su

查看su的PAM配置文件:cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以区分为三个字段

认证类型

控制类型

PAM模块及其参数

限制su命令

把可以使用su的用户加入 wheel 组
去掉注释则表示启用
使用sudo机制提升权限3-1
su命令的缺点
sudo命令的用途及用法
###### 用途:以其他用户身份(如root)执行授权的命令
###### 用法:

    sudo 授权命令
使用sudo机制提升权限3-2
配置sudo授权
visudo或者vi /etc/sudoers
记录格式
配置sudo授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.2

普通用户默认是无法执行shutdown的
对普通用户授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.3

查看自己被授予的权限


配置sudo授权

执行命令

使用sudo机制提升权限3-3

查看sudo操作记录

需启用 Defaults logfile
配置默认日志文件:/var/log/sudo

开关机安全控制

调整BIOS引导设置
###### 将第一引导设备设为当前系统所在硬盘
###### 禁止从其他设备(光盘、U盘、网络)引导系统
###### 将安全级别设为setup,并设置管理员密码
GRUB限制
###### 方法1:使用grub2-mkpasswd 生成密钥
###### 方法2:使用grub2-mkpasswd-pbkdf2 生成密钥
命令grub2-setpasssword

终端登录安全控制

限制root只在安全终端登录

###### 安全终端配置:/etc/securetty

禁止普通用户登录

##### 建立/etc/nologin文件
##### 删除nologin文件或重启后即恢复正常

系统弱口令检测2-1

Joth the Ripper,简称为 JR
一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度

官方网站:http://www.openwall.com/john/

系统弱口令检测2-2

安装JR工具
##### 安装方法make clean 系统类型
##### 主程序文件为 john
检测弱口令账号
##### 获得Linux/Unix服务器的shadow文件
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
###### 准备好密码字典文件,默认为password.lst
###### 执行john程序,结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码

为 john

检测弱口令账号
##### 获得Linux/Unix服务器的shadow文件
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
###### 准备好密码字典文件,默认为password.lst
###### 执行john程序,结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码

相关推荐
筑梦之月1 小时前
一文读懂系列:SSL加密流量检测技术详解
网络·安全
bluechips·zhao1 小时前
协议栈攻击分类(CISP-PTE笔记)
笔记·安全·网络安全
知孤云出岫2 小时前
网络安全渗透实际案例
安全·web安全
AORO_BEIDOU2 小时前
热成像手机VS传统热成像仪:AORO A23为何更胜一筹?
人工智能·5g·安全·智能手机·信息与通信
文人sec4 小时前
泷羽sec学习打卡-shodan扫描4
网络·学习·安全·web安全
渗透测试老鸟-九青9 小时前
【$15000】 通过监控调试模式实现RCE
安全·web安全·网络安全·渗透·漏洞
数据要素X13 小时前
【数据仓库】Hive 拉链表实践
大数据·数据库·数据仓库·人工智能·hive·hadoop·安全
溯Sec15 小时前
shodan(五)连接Mongodb数据库&Jenkins&org、net、查看waf命令
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构