linux系统安全及应用

news2024/12/27 11:53:17

目录

  • 一、账号安全控制
    • 1.1基本安全措施
      • 1.1.1系统账号的清理
        • 1.1.1.1将非登录用户的Shell设为/sbin/nologin
          • 1.1.1.2锁定长期不使用的账号
        • 1.1.1.3删除无用账号
        • 1.1.1.4锁定账号文件passwd、shadow
      • 1.1.2密码安全控制
        • 1.1.2.1设置密码有效期
        • 1.1.2.2要求用户下次登录时修改密码
      • 1.1.3命令历史、自动注销
        • 1.1.3.1命令历史限制
        • 1.1.3.2终端自动注销
    • 1.2用户切换与提权(加入wheel组)
      • 1.2.1su命令—切换用户
      • 1.2.2sudo命令—提升执行权限
  • 二、系统引导和登录控制
    • 2.1开关机安全控制
      • 2.1.1调整BIOS引导设置原则
      • 2.1.2GRUB菜单设置
    • 2.2终端及登录控制
      • 2.2.1限制root用户只在安全终端登录
      • 2.2.2禁止普通用户登录
  • 三、弱口令检测、端口扫描
    • 3.1弱口令检测—Joth the Ripper
      • 3.1.1Joth the Ripper实例
    • 3.2网络扫描—NMAP

一、账号安全控制

1.1基本安全措施

1.1.1系统账号的清理

1.1.1.1将非登录用户的Shell设为/sbin/nologin

在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
在这里插入图片描述

usermod -s /sbin/nologin 用户名

在这里插入图片描述

1.1.1.2锁定长期不使用的账号

[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二

在这里插入图片描述

1.1.1.3删除无用账号

[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2 连同家目录一起删除

在这里插入图片描述

1.1.1.4锁定账号文件passwd、shadow

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性

在这里插入图片描述

1.1.2密码安全控制

1.1.2.1设置密码有效期

1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1

2.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户,
PASS_MAX_DAYS 30

当然这个是适用于已经创建的用户修改密码有效期

在这里插入图片描述下面我们来看看新建用户如何修改有效期

在这里插入图片描述在这里插入图片描述

1.1.2.2要求用户下次登录时修改密码

[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
在这里插入图片描述

1.1.3命令历史、自动注销

1.1.3.1命令历史限制

  • 减少记录命令的条数

  • 注销时自动情况命令历史

减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效
2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
3 注销时自动清空命令:
[root@localhost ~]# vim ~/.bashrc
echo " " > ~/.bash_history

在这里插入图片描述

在这里插入图片描述在这里插入图片描述export 在前面加上一个export代表切换环境时也保存

在这里插入图片描述history -c 临时清空重启后失效
在这里插入图片描述

1.1.3.2终端自动注销

闲置60秒后自动注销:
[root@localhost ~]#vim .bash_profile 进入配置文件
export TMOUT=60 全局声明超过60秒闲置后自动注销终端
[root@localhost ~]# source .bash_profile
[root@localhost ~]# echo $TMOUT
[root@localhost ~]# export TMOUT=600
如果不在配置文件输入这条命令,那么是对当前用户生效

[root@localhost ~]#vim .bash_profile # export TMOUT=60 注释掉这条命令,就不会自动注销了

在这里插入图片描述在这里插入图片描述在这里插入图片描述

1.2用户切换与提权(加入wheel组)

1.2.1su命令—切换用户

1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)

root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境

2.查看su操作记录
安全日志文件:/var/log/secure

3.whoami确定当前用户是谁
​4. vim /etc/pam.d/su
把第六行注释去掉保存退出
默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

1.2.2sudo命令—提升执行权限

sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.配置/etc/sudoers文件,可以授权用户较多的时使用
​ Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
​3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述在这里插入图片描述

二、系统引导和登录控制

2.1开关机安全控制

2.1.1调整BIOS引导设置原则

将第一引导设备设为当前系统所在硬盘;

禁止从其他设备(光盘、 U盘、网络)引导系统;

将安全级别设为setup,并设置管理员密码。

禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启

2.1.2GRUB菜单设置

未经授权禁止修改启动参数

经授权禁止进入指定系统

  • 通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
    使用grub2-mkpasswd-pbkdf2获得加密字符串;

  • 修改/etc/grub.d/00_ header文件中, 添加密码记录;

  • 生成新的grub.cfg配置文件。
    法一:

    1. 使用grub2-mkpasswd-pbkdf2生成密钥并复制,然后备份两个配置文件。
    2. 修改/etc/grub.d/00_ header文件中, 添加密码记录,并存并退出

验证结果

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

2.2终端及登录控制

2.2.1限制root用户只在安全终端登录

安全终端配置:/etc/securetty

步骤:

    更改相关配置文件

    切换至指定终端进行测试

    切换至其他终端进行测试

在这里插入图片描述

2.2.2禁止普通用户登录

建立/etc/nologin文件

删除nologin文件或者重启后即恢复正常

在这里插入图片描述在这里插入图片描述在这里插入图片描述

三、弱口令检测、端口扫描

3.1弱口令检测—Joth the Ripper

一款密码分析工具,支持字典式的暴力破解;

通过对shadow文件的口令分析,可以检测密码强度;

官方网站:John the Ripper password cracker

3.1.1Joth the Ripper实例

安装方法 make clean 系统类型

主程序文件为john

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

3.2网络扫描—NMAP

一款强大的网络扫描、安全 检测工具

官方网站:Nmap: the Network Mapper - Free Security Scanner

CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

在这里插入图片描述常用格式:

nmap [扫描类型] [选项] <扫描目标>
netstat natp #查看正在运行的使用TCP协议的网络状态信息
netstat -natp | grep httpd #实际操作(httpd换成80也可以)

netstat -naup #查看正在运行的使用UDP协议的网络状态信息

[root@localhost run]#rpm -qa | grep nmap 查看nmap
[root@localhost run]#yum install -y nmap 安装nmap

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/422191.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

服务端开发之Java秋招面试11

努力了那么多年,回头一望,几乎全是漫长的挫折和煎熬。对于大多数人的一生来说,顺风顺水只是偶尔,挫折、不堪、焦虑和迷茫才是主旋律。我们登上并非我们所选择的舞台,演出并非我们所选择的剧本。继续加油吧&#xff01; 目录 1.MySQL的多版本并发控制具体实现过程&#xff1f;…

目标检测YOLO系列-YOLOVX运行步骤(推理、训练全过程)

下载项目&#xff1a;点击下载 进入项目根目录&#xff08;通过cd命令&#xff09; apex的安装与下载 下载apex git clone https://github.com/NVIDIA/apex进入apex目录 cd apex执行安装命令 python setup.py install首先安装相关的类库&#xff1a; pip install -i https://p…

深入学习MongoDB---1---入门篇+基础重点篇

MongoDB入门 MongDB作为NoSQL数据库之一&#xff0c;主要关注&#xff1a;灵活性、扩展性、高可用灵活性&#xff1a;NoSQL的特点就是反范式理论&#xff0c;为数据的水平扩展和字段的组织提供了巨大的便利高可用&#xff1a;天生就伴随副本集&#xff08;从节点&#xff09;的…

计数排序的实现

计数排序是非比较排序的一种&#xff0c;是对哈希直接定址法的变形应用&#xff0c;其操作步骤如下&#xff1a; 1.统计相同元素出现的次数。 2.根据统计结果将序列回收到原来的序列中。 拿一组重复元素较多的数组来举例子&#xff1a; 10 11 10 15 14 15…

Disruptor-源码解读

前言 Disruptor的高性能&#xff0c;是多种技术结合以及本身架构的结果。本文主要讲源码&#xff0c;涉及到的相关知识点需要读者自行去了解&#xff0c;以下列出&#xff1a; 锁和CAS伪共享和缓存行volatile和内存屏障 原理 此节结合demo来看更容易理解&#xff1a;传送门…

数云融合|新手入门,5分钟秒懂开源

目录一、开源软件开源领域的两大组织&#xff1a;FSF和OSI二、开源许可证开源意味着免费吗&#xff1f;三、开源技术应用领域四、总结一、开源软件 开源即开放源代码&#xff0c;他的核心是源代码公开&#xff0c;任何人都可以查看、使用、修改和分发。与之相对的是闭源&#…

js排序算法

排序算法 - jsjs交换两个值的三种方法方式1&#xff1a;算术运算方式2&#xff1a;ES6解构方式3&#xff1a;数组的特性冒泡排序实现思路图解bubbleSort参考视频选择排序实现思路图解selectionSort参考视频插入排序实现思路图解insertionSort参考视频js交换两个值的三种方法 方…

javaSccript---call()、 bind()、 apply()的区别

call()、apply()、bind() 都是用来重定义 this 这个对象的 语法&#xff1a; function.apply(thisArg, [argsArray])//argsArray 是一个可选的数组 function.call(thisArg, arg1, arg2, ...)//arg1、arg2、... 是将传递给函数的参数列表 function.bind(thisArg, arg1, arg2, ..…

Webstorm是什么软件?你了解吗

WebStorm 是一款由 JetBrains 开发的集成开发环境&#xff08;IDE&#xff09;&#xff0c;它是专门为开发 Web 应用程序而设计的。它提供了许多功能&#xff0c;例如代码自动完成、错误突出显示、重构、调试、版本控制等&#xff0c;可以帮助开发人员提高效率和代码质量。WebS…

Vector 高性能日志收集工具

文章目录Vector 简介相关概念事件Data modelEvent typesLog eventsMetric eventsTraces组件构成源转换接收器PipelineBuffersBackpressureRolesAgentDaemonSidecarAggregatorTopology分布式集中式基于流Vector 简介 Vector 是一种高性能的可观察性数据管道&#xff0c;可让组织…

天梯赛练习集-L1-031到L1-040–python - java

文章目录PythonL1-031 到底是不是太胖了L1-032 Left-padL1-033 出生年L1-034 点赞L1-035 情人节L1-036 A乘以BL1-037 A除以BL1-038 新世界L1-039 古风排版L1-040 最佳情侣身高差JavaL1-031 到底是不是太胖了L1-032 Left-padL1-033 出生年L1-034 点赞L1-035 情人节L1-036 A乘以B…

ChatGPT入门必知必会

2023年是真正意义上的AI之年&#xff0c;因为ChatGPT 2007年&#xff0c;iPhone开启了智能手机时代&#xff0c;2023年&#xff0c;我们迎来了人工智能时代&#xff0c;我们正处于历史的大转折点上&#xff0c;这也许是启蒙运动级别的思想和社会转折&#xff0c;工业革命级别的…

5万元内最经济双卡4090深度学习方案

深度学习双卡4090攒机方案 znsoft 一枚快乐的炼丹师 AMD 7950x 双4090方案 不到5万&#xff0c;目前最经济的双卡人工智能服务器方案 主板&#xff1a; 华硕 x670EA 吹雪 3000元 CPU: amd 7950x 3500元 内存&#xff1a; 32G4 128G DDR5 800x4 3200元 机箱&#xff1a; 追…

【eMMC学习记录】emmc相关名词解释和基础概念

名词解释 NAND Flash:半导体闪存 HDD&#xff1a;机械硬盘 FW:固件 Peak Power:峰值功率 Active Power:读写功耗 Idle Power:空闲功耗 standby/sleep Power Dev Sleep Power:SSD内部休眠功耗 RAM:掉电丢失数据 FGT:浮栅晶体管 FormFactor:尺寸标准件 AFA:全闪存整列…

线段树之延迟数组_20230410

线段树 之 延迟数组 前言 线段树是一类特殊的完全二叉树&#xff0c;其本质是对递归过程信息的再处理和再记忆&#xff0c;线段树构造完成后&#xff0c;可以脱离原始数组或线性表&#xff0c;直接对线段树进行查询或更新操作即可。线段树的储存结构和堆结构类似&#xff0c;…

springboot——集成elasticsearch进行搜索并高亮关键词

目录 1.elasticsearch概述 3.springboot集成elasticsearch 4.实现搜索并高亮关键词 1.elasticsearch概述 &#xff08;1&#xff09;是什么&#xff1a; Elasticsearch 是位于 Elastic Stack 核心的分布式搜索和分析引擎。 Lucene 可以被认为是迄今为止最先进、性能最好的…

软测界的黑科技,难道不来瞧瞧?

写在前面&#xff1a; 在当今互联网时代&#xff0c;软件已经渗透到了人们生活的方方面面&#xff0c;各种类型的软件应运而生&#xff0c;为人们的工作和生活提供了更便捷的服务。然而&#xff0c;随着软件的不断增长和复杂性的不断提高&#xff0c;软件测试变得越来越重要。…

字节跳动AI-LAB | 算法三轮技术面分享

作者 | 太蔡了整理 | NewBeeNLP面试锦囊之面经分享系列&#xff0c;持续更新中 可以后台回复"面试"加入交流讨论组噢写在前面楼主是C9末流渣硕一枚&#xff0c;现在已经正式确定offer要去我宇宙条了&#xff01;当时为了准备面试几乎把网上头条的面经翻了个底朝天&am…

php(phar)反序列化漏洞及各种绕过姿势

概念&#xff1a; 序列化其实就是将数据转化成一种可逆的数据结构&#xff0c;自然&#xff0c;逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类&#xff0c;但我要在另一个地方去使用它&#xff0c;那怎么传过去呢&#xff1f;于是就想到了序列化这种东西&a…

句柄泄露的分析思路

基础知识 问题 什么是句柄&#xff1f; 句柄(file descriptor)即文件描述符&#xff0c;简称fd。Linux 系统中&#xff0c;把一切设备都视作文件&#xff0c;当进程打开现有文件或创建新文件时&#xff0c;内核向进程返回一个文件描述符。 FD作为文件句柄的实例&#xff0c;…