一、账号安全控制

1.1基本安全措施

1.1.1系统账号的清理

1.1.1.1将非登录用户的Shell设为/sbin/nologin

在我们使用Linux系统时，除了用户创建的账号之外，还会产生系统或程序安装过程中产生的许多其他账号，除了超级用户root外，其他账号都是用来维护系统运作的，一般不允许登录，常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。

usermod -s /sbin/nologin 用户名

1.1.1.2锁定长期不使用的账号

[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二

1.1.1.3删除无用账号

[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2 连同家目录一起删除

1.1.1.4锁定账号文件passwd、shadow

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件，包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性

1.1.2密码安全控制

1.1.2.1设置密码有效期

1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1
​
2.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户，
PASS_MAX_DAYS 30

当然这个是适用于已经创建的用户修改密码有效期

下面我们来看看新建用户如何修改有效期

1.1.2.2要求用户下次登录时修改密码

[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码

1.1.3命令历史、自动注销

1.1.3.1命令历史限制

• 减少记录命令的条数

• 注销时自动情况命令历史

减少记录命令的条数：
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200 修改限制命令为200条，系统默认是1000条profile
[root@localhost ~]# source /etc/ 刷新配置文件，使文件立即生效
2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile 刷新配置文件，使文件立即生效
3 注销时自动清空命令：
[root@localhost ~]# vim ~/.bashrc
echo " " > ~/.bash_history
​

export 在前面加上一个export代表切换环境时也保存

history -c 临时清空重启后失效

1.1.3.2终端自动注销

闲置60秒后自动注销：
[root@localhost ~]#vim .bash_profile 进入配置文件
export TMOUT=60 全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile
[root@localhost ~]# echo $TMOUT
[root@localhost ~]# export TMOUT=600
如果不在配置文件输入这条命令，那么是对当前用户生效
​
[root@localhost ~]#vim .bash_profile # export TMOUT=60 注释掉这条命令，就不会自动注销了

1.2用户切换与提权（加入wheel组）

1.2.1su命令—切换用户

1.用途及用法
用途：Substitute User，切换用户
格式：su - 目标用户（横杠“ - ”代表切换到目标用户的家目录）
​
root - - - >任意用户，不验证密码
普通用户- - - >其他用户，验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境
​
2.查看su操作记录
安全日志文件：/var/log/secure
​
3.whoami确定当前用户是谁
​4. vim /etc/pam.d/su
把第六行注释去掉保存退出
默认情况下，使用root切换不需要密码
注释两行，所有账号都可以使用，但是root切换时需要密码

1.2.2sudo命令—提升执行权限

sudo命令的用途及用法：
用途：以其他用户身份（如root）执行授权命令
用法：sudo 授权命令
1.配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式：
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
权限生效后，输入密码后5分钟可以不用重新输入密码。
2.配置/etc/sudoers文件，可以授权用户较多的时使用
​ Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp，zhangsan,lisi 需要授权的用户
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
​3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
​

二、系统引导和登录控制

2.1开关机安全控制

2.1.1调整BIOS引导设置原则

将第一引导设备设为当前系统所在硬盘；

禁止从其他设备(光盘、 U盘、网络)引导系统；

将安全级别设为setup,并设置管理员密码。

禁用重启热键：Ctrl+Alt+Delete 避免因用户误操作重启

2.1.2GRUB菜单设置

未经授权禁止修改启动参数

经授权禁止进入指定系统

• 通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。
  使用grub2-mkpasswd-pbkdf2获得加密字符串；

• 修改/etc/grub.d/00_ header文件中， 添加密码记录；

• 生成新的grub.cfg配置文件。
  法一：

  1. 使用grub2-mkpasswd-pbkdf2生成密钥并复制，然后备份两个配置文件。
  2. 修改/etc/grub.d/00_ header文件中， 添加密码记录，并存并退出

验证结果

2.2终端及登录控制

2.2.1限制root用户只在安全终端登录

安全终端配置：/etc/securetty

步骤：

    更改相关配置文件

    切换至指定终端进行测试

    切换至其他终端进行测试

2.2.2禁止普通用户登录

建立/etc/nologin文件

删除nologin文件或者重启后即恢复正常

三、弱口令检测、端口扫描

3.1弱口令检测—Joth the Ripper

一款密码分析工具，支持字典式的暴力破解；

通过对shadow文件的口令分析，可以检测密码强度；

官方网站：John the Ripper password cracker

3.1.1Joth the Ripper实例

安装方法 make clean 系统类型

主程序文件为john

3.2网络扫描—NMAP

一款强大的网络扫描、安全 检测工具

官方网站：Nmap: the Network Mapper - Free Security Scanner

CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

常用格式：

nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作（httpd换成80也可以）
​
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
​
[root@localhost run]#rpm -qa | grep nmap 查看nmap
[root@localhost run]#yum install -y nmap 安装nmap