十一章.系统安全及应用

十一章.系统安全及应用

文章目录

目录:

账号安全控制
系统引导和登录控制
弱口令检测
端口扫描

一:账号安全控制

1.1系统账号清理

复制代码
将非登录的用户的shell设为/sbin/nologin
undefined 复制代码
锁定长期不使用的账号
复制代码
删除无用的账号
复制代码
锁定账号文件passwd,shadow

1.2密码安全控制

设置密码有效期
要求用户下次登录时修改密码
复制代码
chage -M 日期 用户   【设置用户密码有效期】
 
chage -E xxxx-xx-xx 用户   【设置用户过期时间】

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

复制代码
vi /etc/login.defs   【修改密码配置文件】

二、使用su命令切换用户2-1

2.1用途以及方法

用途:Substitute User,切换用户

格式:

复制代码
su -目标用户
密码验证
root 用户到任意用户,不同验证密码
普通用户到任意 用户,验证目标用户,验证目标用户的密码

2.2限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块
su命令具有安全隐患
su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
复制代码
在/etc/ pam.d/su文件里设置禁止用户使用su命令

vim /etc/pam.d/ su

#auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use__uid 
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令

示例:

将suangcaiyu用户加入wheel组中
进入vi /etc/pam.d/su
将这条命令前面的#号删除启动

账号安全基本措施3-1

系统账号清理
将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd、shadow
账号安全基本措施3-2
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
账号安全基本措施3-3
命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
复制代码
###### 闲置600秒自动注销外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

四、PAM认证原理及构成

4.1PAM认证的原理

一般遵循的顺序:

Service (服务) -->PAM (配置文件) --> pam_ *.so;

首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d 下),最后调用认证模块(位于/lib64/ security/下)进行安全认证。

3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

4.2PAM认证的构成

查看某个程序是否支持PAM认证,可以用ls命令

复制代码
ls /etc/pam.d | grep su

查看su的PAM配置文件:cat /etc/pam.d/su

每一行都是一个独立的认证过程

复制代码
每一行可以区分为三个字段

认证类型

控制类型

PAM模块及其参数

限制su命令

把可以使用su的用户加入 wheel 组
去掉注释则表示启用
使用sudo机制提升权限3-1
su命令的缺点
sudo命令的用途及用法
复制代码
###### 用途:以其他用户身份(如root)执行授权的命令
复制代码
###### 用法:

    sudo 授权命令
使用sudo机制提升权限3-2
配置sudo授权
visudo或者vi /etc/sudoers
记录格式
配置sudo授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.2

普通用户默认是无法执行shutdown的
对普通用户授权

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

配置sudo授权1.3

查看自己被授予的权限


配置sudo授权

执行命令

使用sudo机制提升权限3-3

查看sudo操作记录

需启用 Defaults logfile
配置默认日志文件:/var/log/sudo

开关机安全控制

调整BIOS引导设置
复制代码
###### 将第一引导设备设为当前系统所在硬盘
复制代码
###### 禁止从其他设备(光盘、U盘、网络)引导系统
复制代码
###### 将安全级别设为setup,并设置管理员密码
GRUB限制
复制代码
###### 方法1:使用grub2-mkpasswd 生成密钥
复制代码
###### 方法2:使用grub2-mkpasswd-pbkdf2 生成密钥
命令grub2-setpasssword

终端登录安全控制

限制root只在安全终端登录

复制代码
###### 安全终端配置:/etc/securetty

禁止普通用户登录

复制代码
##### 建立/etc/nologin文件
复制代码
##### 删除nologin文件或重启后即恢复正常

系统弱口令检测2-1

Joth the Ripper,简称为 JR
一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度

官方网站:http://www.openwall.com/john/

系统弱口令检测2-2

安装JR工具
复制代码
##### 安装方法make clean 系统类型
复制代码
##### 主程序文件为 john
检测弱口令账号
复制代码
##### 获得Linux/Unix服务器的shadow文件
复制代码
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
复制代码
###### 准备好密码字典文件,默认为password.lst
复制代码
###### 执行john程序,结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码

为 john

检测弱口令账号
复制代码
##### 获得Linux/Unix服务器的shadow文件
复制代码
##### 执行john程序,将shadow文件作为参数
密码文件的暴力破解
复制代码
###### 准备好密码字典文件,默认为password.lst
复制代码
###### 执行john程序,结合--wordlist=字典文件

JR

下载安装JR

JR-破解密码

相关推荐
币之互联万物1 天前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
Linux运维老纪1 天前
运维之 Centos7 防火墙(CentOS 7 Firewall for Operations and Maintenance)
linux·安全·centos·云计算·运维开发·火绒
360安全应急响应中心1 天前
基于 RAG 提升大模型安全运营效率
安全·aigc
EasyNVR1 天前
国标GB28181视频监控平台EasyCVR保驾护航休闲娱乐“九小场所”安全运营
网络·安全
Ai野生菌1 天前
工具介绍 | SafeLLMDeploy教程来了 保护本地LLM安全部署
网络·人工智能·安全·大模型·llm
DevSecOps选型指南1 天前
浅谈软件成分分析 (SCA) 在企业开发安全建设中的落地思路
安全·开源治理·软件成分分析·sca·软件供应链安全工具
cjchsh1 天前
春秋云境(CVE-2023-23752)
安全
【云轩】1 天前
《混沌钟的RISC-V指令集重构》
网络·安全
EasyGBS1 天前
视频设备轨迹回放平台EasyCVR打造视频智能融合新平台,驱动智慧机场迈向数字新时代
网络·人工智能·安全·音视频