系统安全及应用

技能目标：

1. 账号安全控制

2. 系统引导和登入控制

3. 弱口令检测

4. 端口扫描

一、前言

系统安全是服务器与主机安全的第一道防线。在日常运维中，绝大多数入侵、提权、信息泄露事件，都源于账号管理松散、引导权限失控、口令强度不足、开放端口过多等基础问题。本文围绕四大技能目标，从配置到工具实操，形成一套完整的系统安全加固方案。 二、技能目标总览 1. 账号安全控制：锁定非法账号、限制权限、强化登录策略。 2. 系统引导和登录控制：加固 GRUB、限制终端登录、禁用不必要服务。 3. 弱口令检测：使用专业工具扫描系统弱口令，提前消除风险。 4. 端口扫描：识别开放端口与危险服务，及时关闭无用端口。 三、账号安全控制 账号是系统访问的入口，账号安全直接决定系统整体安全。 1. 系统账号清理 • 锁定无用系统账号： bash 运行 usermod -L 用户名

passwd -l 用户名

• 删除无用账号： bash 运行 userdel -r 用户名

2. 限制 root 远程登录 编辑 /etc/ssh/sshd_config： plaintext PermitRootLogin no

重启服务： bash 运行 systemctl restart sshd

3. 密码安全策略 设置密码最短长度、最长使用天数、过期提醒： plaintext /etc/login.defs

/etc/pam.d/system-auth

示例： plaintext PASS_MIN_LEN 8

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_WARN_AGE 7

4. 历史命令限制 在 /etc/profile 中设置： plaintext HISTSIZE=50

export TMOUT=300

作用：减少敏感命令泄露风险，自动登出闲置终端。 四、系统引导和登录控制 1. GRUB 引导加密 防止他人通过单用户模式重置 root 密码。生成 GRUB 密码并写入配置： bash 运行 grub2-setpassword

重启后进入引导菜单需验证密码。 2. 限制终端登录 编辑 /etc/securetty，注释掉不必要的虚拟终端，只保留安全终端。 3. 禁止 Ctrl+Alt+Del 重启 防止恶意重启服务器： bash 运行 systemctl mask ctrl-alt-del.target

4. 登录提示安全 修改 /etc/motd、/etc/issue，移除系统版本信息，避免泄露版本漏洞。 五、弱口令检测 弱口令是最常见的安全隐患，可使用 John the Ripper 或 hydra 进行检测。 1. 提取系统账号密码 bash 运行 unshadow /etc/passwd /etc/shadow > pass.txt

5. 使用 John 检测弱口令 bash 运行 john pass.txt

• 自动暴力破解系统弱口令。 • 输出：用户名 + 明文密码。 3. 安全加固建议 • 禁止 123456、root、123456789 等简单密码。 • 强制使用：大写 + 小写 + 数字 + 特殊符号。 • 定期更换密码，禁止历史重复密码。 六、端口扫描 端口是服务对外的窗口，多余端口 = 攻击入口。 1. 查看本机开放端口 bash 运行 netstat -ntap

ss -ntul

ss -lntu

2. 使用 nmap 扫描端口 安装： bash 运行 yum install -y nmap

常用扫描： bash 运行 nmap 127.0.0.1

nmap -sS -p 1-65535 本机IP

• 识别开放端口 • 识别运行服务及版本 • 发现危险端口（如 21、23、445、3389 等） 3. 危险端口处理 • 关闭无用服务： bash 运行 systemctl stop 服务名

systemctl disable 服务名

• 使用防火墙屏蔽端口： bash 运行 firewall-cmd --permanent --remove-port=端口/tcp

firewall-cmd --reload

七、总结 系统安全及应用的核心在于最小权限、最小暴露、提前检测、持续加固： 1. 账号安全：锁无用账号、禁 root 远程、强密码策略。 2. 引导登录：GRUB 加密、限制终端、防恶意重启。 3. 弱口令检测：用工具扫描，杜绝简单密码。 4. 端口扫描：关闭无用端口，防火墙严格管控。 掌握以上内容，可大幅提升 Linux 系统的基础安全防护能力。