开关安全控制
- 一、开个安全控制
- 1.1调整BIOS引导设置
- 1.2GRUB限制
- 1.3终端安全控制
- 二、系统弱口令检查
- 2.1安装JR工具
- 三、网络端口扫描
- 3.1NMAP端口扫描
- 3.2NETSTAT,SS查看端口信息
一、开个安全控制
1.1调整BIOS引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setup,并设置管理员密码
1.2GRUB限制
- 使用grub2-mkpasswd-pbkdf2生成密钥
- 修改/etc/grub.d/00_header文件中,添加密码记录
- 生成新的grub。cfg配置文件
(1)生成密钥,并备份grub配置文件
(2)添加密码记录
(3)生成新的grub文件
1.3终端安全控制
** 限制root旨在安全终端登录**
文件位置/etc/securetty
禁止普通用户登录
建立/etc/nolongin
删除nologin文件或者重启后恢复正常
二、系统弱口令检查
2.1安装JR工具
暴力破解用户密码
三、网络端口扫描
3.1NMAP端口扫描
-
nmap是一个强大端口扫描安全评测类工具、支持ping扫描、多端口扫描等多种技术
| 扫描类型 | 功能 |
|---|---|
| -p | 指定扫描端口 |
| -n | 禁用反向dns解析(加快扫描速度) |
| sS | TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收列S/AC应包就认为目标端口正在监听,并立即断开连接:否则认为目标口并未开放 |
| sT | TCP连接扫描,这是完整的TC扫描方式(默认扫描类型),用来建立一个TPA接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。 |
| sF | TCP的FYN扫描,开放的端口忽略这种数据包,关闭的端口会应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的 TCP |
| sU | UDP 扫描,探测目标主机提供哪些 UDP 服务,UDP 扫播的速度会比较慢 |
| sP | ICME 扫描,类似于 ping 检测,快迷判断目标主机是否存活,不做其他扫描 |
| P0 | 跳过psg检测,这种方式认为所有的目标主机是存活的,当对方不应ICMP请求时,使用这种方式可以避免因无法 ping道而放弃扫描. |
-p
sS,sT,sU,都类似,只是查看的协议不一样
sF
P0,sP
3.2NETSTAT,SS查看端口信息
- ss功能与命令与netstat类似
- 查看当前主机开放了哪些TCP和UDP端口
| 选项 | 功能 |
|---|---|
| -a | 最示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)。 |
| -n | 以数字的形式显示相关的主机地址、端口等信息。 |
| -t | 查看 TCP相关的信息 |
| -u | 显示 UDP协议相关的信息。 |
| -p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要 root 权限) |
| -r | 最示路由表信息 |
| -l | 显示处于监听状态的网络连接及端口信息。 |
