系统安全及应用

news2024/12/23 5:52:29

目录

一、账号安全控制

1)系统账号清理

2)密码安全控制

chage命令

示例

3)命令历史限制

4)终端自动注销

总结

账号安全

密码安全                

二、系统引导和登录控制

1)使用su命令切换用户

用途及用法

密码验证

限制使用su命令的用户

2)Linux中的PAM安全认证

su命令的安全隐患

PAM(Pluggable Authentication Modules)可拔插式认证模块

PAM认证原理

PAM安全认证流程

3)使用sudo机制提升权限

示例

​编辑

4)配置sudo授权

别名创建

 示例

使用别名进行授权

普通用户使用授权命令

查看当前用户拥有哪些操作权限​编辑

启用sudo操作日志

5)安全控制

①开关机安全控制

示例: 

​编辑

②终端登录安全控制

三、弱口令检测

1)Joth the Ripper,简称为JR

安装JR工具

检测弱口令账号

密码文件的暴力破解

示例

​编辑​

四、网络端口扫描

1)NMAP

检查并安装 namp工具

使用格式

常用的扫描类型

2)ss与netstat

总结


一、账号安全控制

1)系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
  • 锁定长期不使用的账号
usermod -L 用户名

passwd -l 用户名

passwd -S 用户名
  • 删除无用的账号
userdel [-r] 用户名
  • 锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow

lsattr /etc/passwd /etc/shadow        //锁定文件并查看状态

chattr -i /etc/passwd /etc/shadow    //解锁文件

md5sum /etc/password 校验和

2)密码安全控制

chage命令

常用选项 

参数说明
-m密码可更改的最小天数,为0时代表任何时候
-M密码保持有效的最大天数
-w用户密码到期前,提前收到警告信息的天数
-E账号到期的日期
-d上一次更改的日期
-i停滞时期。如果一个密码已过期这些天,那么此账号将不可用
-l列出当前的设置。由非特权用户来确定他们的密码或账号何时过期
  • 设置密码有效期
  • 要求用户下次登录时修改密码
[root@localhost ~]# vi /etc/login.defs         //修改密码配置文件(适用于新建用户)

 ……

PASS_MAX_DAYS     30

[root@localhost ~]# chage -M 30 lisi            //适用于已有用户

[root@localhost ~]# cat /etc/shadow | grep lisi

示例

[root@localhost ~]# chage -d 0 zhangsan                //强制在下次登录时更改密码

[root@localhost ~]# cat /etc/shadow | grep zhangsan    //shadown文件中的第三个字段被修改为0

3)命令历史限制

  • 减少记录的命令条数
  • 登陆时自动清空命令历史
[root@localhost ~]# vi /etc/profile

export HISTSIZE=200

[root@localhost ~]# source /etc/profile


[root@localhost ~]# vi ~/.bashrc

echo "" > ~/.bash_history

永久生效

4)终端自动注销

  • 限制600秒后自动注销
[root@localhost ~]# vi /etc/profile

……

export TMOUT=600

[root@localhost ~]# source /etc/profile
  • 开机永久清空历史命令 

  • 设置每60秒清空一次历史命令

总结

账号安全

禁止用户登录系统 usermod -s /sbin/nologin

锁定用户        usermod -L 用户名            解锁 -U

                passwd -l  用户名                -u

                passwd -s 

删除用户        userdel -r 用户名

锁定账号文件     chattr +i /etc/{passwd,shadow}        解锁  -i

                lsattr

密码安全                

设置密码有效期     /etc/login.defs ——> PASS MAX DAYS 针对新建用户

                  chage -M 天数 用户                   

针对已存在的用户   99999代表密码永不过期

登录立即修改密码   chage -d 0 用户名

历史命令           history

限制历史命令数     /etc/profile ——>export HISTSIZE= ——>source /etc/profile

清空历史命令       history -c

                  > -/.bash_history


二、系统引导和登录控制

1)使用su命令切换用户

用途及用法

用途:Substitiute User,切换用户

格式

su -目标用户

密码验证

root——>任意用户,不验证密码

普通用户——>其他用户,验证目标用户的密码

[jerry@localhost ~]$ su -root  //带-选项表示将使用目标用户的登录Shell环境

口令:

[root@localhost ~]# whoami

root

示例

限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
  • 启用pam_wheel认证模块
[root@localhost ~]#vi /etc/pam.d/su

#@PAM-1.0

auth sufficient pam_rootok.so

auth required pam_wheel.so use_uid

……

2)Linux中的PAM安全认证

su命令的安全隐患

  • 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
  • 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换

PAM(Pluggable Authentication Modules)可拔插式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式
  • 也是当前Linux服务器普遍使用的认证方式

PAM认证原理

  • 一般遵循的顺序

                  service(服务)->PAM(配置文件)->pam_*.so

  • 首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
  • 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序所对应的PAM模块是不同的

PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用 cat /etc/pam.d/system-auth

第一列代表PAM认证模块类型

1.auth: 对用户身份进行识别,如提示输入密码,判断是否为root。

2.account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。

3.password: 使用用户信息来更新数据,如修改用户密码。

4.session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统,能连接几个终端

第二列代表PAM控制标记

1.required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。

2.requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。

3.sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。

4.optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型), 5.include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块

默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块的参数

这个需要根据所使用的模块来添加。传递给模块的参数,参数可以有多个,之间用空格分隔开

查看某个程序是否支持PAM认证,可以用ls命令 

  • 示例:查看su是否支持PAM模板认证
    ls /etc/pam.d | grep su 
  • 查看su的PAM配置文件:cat /etc/pam.d/su

        每一行都是一个独立的认证过程

        每一行可以区分为三个字段

                认证类型

                控制类型

                PAM模块及其参数

PAM安全认证流程

控制类型也称做Control Flags,用于PAM验证类型的返回结果

1.required验证失败时仍然继续,但是返回Fail

2.requisite验证失败则立即结束整个验证过程,返回Fail

3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

4.optional不用于验证,只显示信息(通常用于session类型)

示例

例:安全日志文件/var/log/secure

3)使用sudo机制提升权限

用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

示例

4)配置sudo授权

  • visudo或者vi /etc/sudoers
  • 记录格式
用户 主机名=命令程序列表    //可以使用通配符*全部,!取反符号

别名创建

  • User_Alias 大写别名=用户1,用户2,……
  • Host_Alias 大写别名=主机名1,主机名2,……
  • Cmnd_Alias 大写别名=程序1,程序2,……

 示例

使用别名进行授权

#用户/组授权

用户名/用户别名 主机名/别名 =(用户)程序列表/别名

%组名 主机名 程序列表

用户名 主机名 = [(用户)NOPASSWD:] 程序列表

普通用户使用授权命令

mkdir ~/guazhai    //通过wangwu用户在家目录下创建一个 guazhai的空文件
 
sudo  mount /dev/sr0   ~/guazhai  //sudo  加配置的命令表中的命令,以root的身份去运行该授权命令

ps:第一次执行需要验证密码,默认超时时长为5分钟,在此期间不再重复验证密码

查看当前用户拥有哪些操作权限

启用sudo操作日志

visudo

Defaults logfile = “/var/log/sudo”

su切换

将信任的普通用户加入到wheel组中    gpasswd -a 用户 wheel

修改su的PAM认证文件配置 

 /etc/pam.d/su 将2,6行注释取消

5)安全控制

①开关机安全控制

调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为setup,并设置管理员密码

GRUB限制

  • 使用grub2-mkpasswd-pdkdf2生成密钥
  • 修改/etc/grub.d/00_header文件中,添加密码记录
  • 生成新的grub.cfg配置文件

通常情况下在系统开机进入GRUB菜单时,按e可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB设置一个密码,只有提供正确的密码才能被允许修改参数

grub2-mkpasswd-pbkdf2                               #根据提示设置GRUB 菜单的密码
PBKDF2 hash of your password is grub.pbkdf2...      #省略部分内容为经过加密生成的密码字符串


cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

vim /etc/grub.d/00_header
cat << EOF
set superusers="root"                         #设置用户名为root
password_pbkdf2 root grub.pbkdf2.....         #设置密码,省略部分内容为经过加密生成的密码字符串
EOF

grub2-mkconfig -o /boot/grub2/grub.cfg        # 生成新的grub.cfg文件

重启系统进入 GRUB 菜单时,按 e  键将需要输入账号密码才能修改引导参数

示例: 

②终端登录安全控制

  • 限制root只在安全终端登录

               安全终端配置:/etc/securetty

[root@localhost ~]#vi /etc/securetty

……

#tty5

#tty6         //禁止root用户从终端tty5、tty6登录
  • 禁止普通用户登录
  1. 建立/etc/nologin文件
  2. 删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin    //禁止普通用户登录

[root@localhost ~]# rm -rf /etc/nologin   //取消上述登录限制

三、弱口令检测

1)Joth the Ripper,简称为JR

  • 一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度
  • 官方网站:http://www.openwall.com/john/

安装JR工具

  • 安装方式
make clean 系统类型
  • 主程序文件为john

检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序,将shadow文件作为参数

密码文件的暴力破解

  • 准备好密码字典文件,默认为password.lst
  • 执行john程序,结合--wordlist=字典文件

示例

①安装软件包

②准备破译的文件

cp /etc/shadow   /app/shadow.txt

③使用JR软件进行破译 

[root@localhost src]#cd /app/john-1.8.0/run
[root@localhost run]#./john /app/shadow.txt 

⑤使用其他密码字典进行破译

[root@localhost run]#>john.pot     //清空已破译的密码列表


四、网络端口扫描

1)NMAP

  • 一款强大的网络端口扫描、安全、检测工具
  • 官方网站:http://nmap.org/
  • CentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86_64.rpm

检查并安装 namp工具

[root@localhost ~]# rpm -qa|grep nmap      //查看nmap

[root@localhost ~]# yum install -y nmap    //安装nmap

使用格式

nmap    [扫描类型]    [选项]      <扫描目标>

常用的扫描类型

-p指定扫描的端口
-n禁用反向DNS解析(以加快扫描速度)
-sSTCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接,否则认为目标端口并未开放
-sTTCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
-sFTCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sUUDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢
-sPICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-P0跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
分别查看本机开放的TCP端口、UDP端口

nmap -sT127.0.0.1

nmap -sU 127.0.0.1

检测192.168.4.0/24网段有哪些主机提供FTP服务

nmap -p 21 192.168.4.0/24

检测192.168.4.0/24网段有哪些存活主机

nmap -n -sP 192.168.4.0/24

2)ss与netstat

n以数值形式显示IP
l只查看监听状态的网络信息(LISTEN)
t查看TCP协议相关的信息
p显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
a显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
u显示UDP协议相关的信息
r显示路由表信息


总结

1. 用户账号的锁定和解锁。通过创建/etc/nologin  文件使普通用户无法登录

2.通过修改/etc/profile  文件来限制命令条数,以及用户退出时间

3.su命令的切换与sudo  对用户进行提权

4.pam.d /su 建立wheel组,使普通用户无法任意切花

5.ss 和nestat 产看本机具体信息,namp 查看网络端口具体信息

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/433127.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【学习笔记】字节数据和字节字符串(b“ “)那些事

文章目录 0 前言1 先来看看C语言中怎么处理这种字节数据1.1 使用总结 2 再来看看Python当中是怎么处理字节数据的 0 前言 最近在尝试用PyQt做一个上位机&#xff0c;遇到很多关于字节字符串的问题&#xff0c;这里简单总结几个关键点。 1 先来看看C语言中怎么处理这种字节数据…

RK3568平台开发系列讲解(Linux系统篇)共享内存的创建和映射过程

🚀返回专栏总目录 文章目录 一、共享内存的创建和映射过程流程梳理二、如何创建共享内存?三、如何将共享内存映射到虚拟地址空间?沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇我们一起学习下共享内存的创建和映射过程。 一、共享内存的创建和映射过程流程梳…

推荐5款重度电脑用户也未必知道的小众软件

作为一个重度电脑用户&#xff0c;你可能会经常使用一些软件来完成各种任务和娱乐。但是你知道有哪些好用的WIN10软件吗&#xff1f;今天我就为你介绍一下我推荐的五款WIN10软件&#xff0c;它们分别是&#xff1a; 1.反恶意软件——Malwarebytes Malwarebytes是一款专业的反…

AOP与SpringBoot使用AOP实例

AOP&#xff1a;Aspect Oriented Programming&#xff08;面向切面编程、面向方面编程&#xff09;&#xff0c;其实就是面向特定方法编程。 动态代理是面向切面编程最主流的实现。而SpringAOP是Spring框架的高级技术&#xff0c;旨在管理bean对象的过程中&#xff0c;主要通过…

浅谈thrift协议+举例通用mockserver如何实现

目录 简单来说&#xff1a; 举个例子&#xff1a; 简单来说&#xff1a; 1&#xff09;是一个跨平台跨语言的通信协议&#xff0c;定义和创建跨语言服务&#xff0c;是一个高性能、轻量级RPC框架。 2&#xff09;开发者无需关注不同语言/相同语言服务间如何通信&#xff0c;…

基于html+css的图片展示15

准备项目 项目开发工具 Visual Studio Code 1.44.2 版本: 1.44.2 提交: ff915844119ce9485abfe8aa9076ec76b5300ddd 日期: 2020-04-16T16:36:23.138Z Electron: 7.1.11 Chrome: 78.0.3904.130 Node.js: 12.8.1 V8: 7.8.279.23-electron.0 OS: Windows_NT x64 10.0.19044 项目…

什么是Python?

目录 Python简介 Python发展史 Python优点与缺点 Python现如今的应用领域 总结 Python简介 Python是一种高级、解释型、面向对象的动态编程语言&#xff0c;由Guido van Rossum在1989年创建&#xff0c;首次发布于1991年。 Python设计的哲学是优雅、清晰、简单&#xff0c…

Windows逆向安全(一)之基础知识(八)

if else嵌套 这次来研究if else嵌套在汇编中的表现形式&#xff0c;本次以获取三个数中最大的数这个函数为例子&#xff0c;分析if else的汇编形式 求三个数中的最大值 首先贴上代码&#xff1a; #include "stdafx.h"int result0; int getMax(int i,int j,int k)…

机器视觉工程师必须知道机器视觉精度要思考哪些

​在和客户交流项目技术要求,这个项目,我要求的精度是0.01mm? 第一个问题:什么是精度? 精度要求0.01mm: 1.视觉重复性极差?静态?动态? 2.视觉与第三方相关性差异?极差?相关性系数? 3.整体系统误差?机械重复性误差? 4.产品尺寸公差? 第二个问题:精度与公差…

完美解决丨TypeError: fun() takes 2 positional arguments but 3 were given

python def fun(a, b): return a b c fun(1, 2, 3) Traceback (most recent call last): File "test.py", line 5, in <module c fun(1, 2, 3) TypeError: fun() takes 2 positional arguments but 3 were given 上面的代码中&#xff0c; fun 函数定义了两…

最通俗的语言解释01背包问题(力扣416题javascript版本)

【声明】以下内容参考了代码随想录&#xff0c;不用作商业用途~ 先来看一个场景&#xff1a;有N件物品&#xff0c;背包最大的重量为W&#xff0c;第i件物品的重量为weight[i]&#xff0c;得到的价值为value[i]&#xff0c;每件物品只用一次&#xff08;即不能重复放进背包&…

【计算方法】正交区域查询---KD-Tree概念

一、说明 kd 树是一种二叉树数据结构&#xff0c;可以用来进行高效的 kNN 计算。kd 树算法偏于复杂&#xff0c;本篇将先介绍以二叉树的形式来记录和索引空间的思路&#xff0c;以便读者更轻松地理解 kd 树。 二、正交区域查找 2.1 定义 对于k维空间的张量数据表格&#xff0…

Unity RenderStreaming 云渲染3.1.0-exp.6 食用手册

Unity云渲染 &#x1f957;资源&#x1f364;兼容性&#x1f367;手机端连接&#x1f969;安装方法&#x1f35b;IP端口设置&#x1f371;官方案例尝鲜&#x1f332;导入案例&#x1f332;添加场景&#x1f332;启动WebApp&#x1f332;打开Menu场景&#x1f332;连接参数设置&…

300左右蓝牙耳机推荐哪个好?300元左右最好的蓝牙耳机

蓝牙耳机如今在我们的生活中太普遍了&#xff0c;记得疫情刚开始天天要戴口罩&#xff0c;口罩的绳子和耳机线相缠十分的不方便&#xff0c;所以更多的人选择蓝牙耳机&#xff0c;下面整理了几款300元左右的蓝牙耳机品牌。 一、南卡小音舱Lite2蓝牙耳机 售价&#xff08;&…

4-数据结构

数据结构&#xff08;data structure&#xff09; 1. 简介 数据结构是在计算机中组织与存储数据的方式 如果想要表示“一排数字”&#xff0c;自然想到使用「数组」数据结构 数组的存储方式可以表示数字的相邻关系、顺序关系&#xff0c;但至于其中存储的是整数int&#xff0c…

【数据结构:线性表】顺序表

⚡线性表 线性表&#xff08;linear list&#xff09;是n个具有相同特性的数据元素的有限序列。 线性表是一种在实际中广泛使 用的数据结构&#xff0c;常见的线性表&#xff1a;顺序表、链表、栈、队列、字符串... 线性表在逻辑上是线性结构&#xff0c;也就说是连续的一条直…

网络请求实战-RESTFUL约定和Postman工具

RESTFUL协议 表现层状态转化&#xff08;Representational state transfer&#xff09; 资源、表示和转换 资源&#xff08;Resource&#xff09; 服务端的一个资源 拥有URL 表示&#xff08;Representation&#xff09; 服务端的资源在客户端的表示 客户端拥有操作服务…

three.js之scene

THREE.Scene对象有时被称为场景图&#xff0c;可以用来保存所有图形场景的必要信息。在Three.js中&#xff0c;这意味着THREE.Scene保存所有对象、光源和渲染所需的其他对象。 本节主要是构建一个基本场景&#xff0c;然后可以通过gui添加&#xff0c;删除场景里的对象等。 效果…

lua变量、数据类型、if判断条件和数据结构table以及【lua 函数】

一、lua变量【 全局变量和局部变量和表中的域】 Lua 变量有三种类型&#xff1a;全局变量和局部变量和表中的域。 ▪ 全局变量&#xff1a;默认情况下&#xff0c;Lua中所有的变量都是全局变量。 ▪ 局部变量&#xff1a;使用local 显式声明在函数内的变量&#xff0c;以及函数…

Golang每日一练(leetDay0040)

目录 118. 杨辉三角 Pascals Triangle &#x1f31f; 119. 杨辉三角 II Pascals Triangle II &#x1f31f; 120. 三角形最小路径和 Triangle &#x1f31f;&#x1f31f; &#x1f31f; 每日一练刷题专栏 &#x1f31f; Golang每日一练 专栏 Python每日一练 专栏 C/…