目录
- 一、开关机安全控制
- 二、终端登录安全控制
- 2.1、限制root只在安全终端登录
- 2.2、如何限制虚拟终端
- 2.3、禁止普通用户登录
- 三、系统弱口令检测
- 3.1、Joth the Ripper,简称为 JR
- 四、网络端口扫描
- 4.1、NMAP
- 4.2、nmap的使用
- nmap的常用选项
- netstat常用选项
一、开关机安全控制
调整BIOS引导设置
·将第一引导设备设为当前系统所在硬盘。
·禁止从其他设备 (光盘、U盘、网络) 引导系统。
·将安全级别设为setup,并设置管理员密码。
GRUB限制
·使用grub2-mkpasswd-pbkdf2生成密钥
·修改/etc/grub.d/00 header文件中,添加密码记录
·生成新的grub.cfg配置文件
按e后进入选择菜单,就是grub的引导参数
按e后在里面删了命令后就会出错,想要改回原样就要进入急救模式
·设置密码串
·设置备份文件
grub2-mkpasswd-pbkdf2
在行尾加入用户名和字符串
vim /etc/grub.d/00_header
加个引导文件,让开机时有密码
grub2-mkconfig -o /boot/grub2/grub.cfg
设置完后,进入后要输入密码
二、终端登录安全控制
2.1、限制root只在安全终端登录
安全终端配置:
/etc/securetty
1、按快捷键“Ctrl+Alt+T”即可打开终端窗口;
2、按“Ctrl+Alt+F1-F6”均可进入终端(模拟终端,不显示桌面)
2.2、如何限制虚拟终端
输入以下命令后查看到终端,想要关闭终端就在前面加上#
vim /etc/securetty
2.3、禁止普通用户登录
touch /etc/nologin 禁止普通用户登录
rm -rf /etc/nologin 取消登录限制
三、系统弱口令检测
3.1、Joth the Ripper,简称为 JR
·一款密码分析工具,支持字典式的暴力破解
·通过对shadow文件的口令分析,可以检测密码强度
解压工具包
cd /opt
tar zxf john-1.8.0.tar.gz
安装软件编译工具
yum install -y gcc gcc- c++ make
切换到src子目录
cd /opt/john-1.8.0/src
进行编译安装
make clean linux-x86-64
准备待破解的密码文件
cp /etc/shadow /opt/shadow.txt
执行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt
查看已破解出的账户列表
./john --show /opt/shadow.txt
使用密码字典文件
> john.pot#清空已破解出的账户列表,以便重新分析
./john --wordlist=./parsword.lst /opt/shadow.txt
./john --wordlist=指定文件
使用指定的字典文件进行破解
四、网络端口扫描
4.1、NMAP
·一款强大的网络扫描,安全检测工具
·CentOS 7.3光盘中安装包nmap-6.40-7.el7.x86_64.rpm
mount /dev/sr0 /mnt 进行挂载
yum install -y nmap 安装nmap工具
4.2、nmap的使用
nmap的扫描
nmap [扫描类型] [选项] <扫描目标...>
nmap的常用选项
| 选项 | 作用 |
|---|---|
| -p | 指定扫描的端口 |
| -n | 禁用反向DNS解析(以加快扫描速度) |
| -sS | TCP的SYN扫瞄(半开扫猫),只向目标发出S数开包,如果收到SI/ACK响应有就认为目标端口正在监听,并立即新开连接,否则认为日标端口并未开放 |
| -sT | TCP连接扫瞄,这是完整的TCP扫瞄方式(默认扫描类型),用来建立·个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放 |
| -sF | TCP的EIN扫瞄,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的 TCP攻击包。这种类型的扫描可问接检测防火墙的健壮性。 |
| -sU | UDP 扫瞄,探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢。 |
| -sP | ICMP 扫瞄,类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描。 |
| -PO | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫瞄。 |
netstat -natp 查看正在运行的使用TCP协议的网络状态信息
netstat -naup 查看正在运行的使用UDP协议的网络状态信息
示例:
分别查看本机开发的TCP端口,UDP端口
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1
检测192.168.80.0/24网段有哪些主机提供HTTP服务
nmap -p 80 192.168.80.0/24
检测192.168.80.0/24网段有哪些存活主机
nmap -n -sP 192.168.80.0/24
netstat常用选项
| -a | 显示主机中所有活动的网络连接信息(包括监听和非监听的服务端口) |
|---|---|
| -n | 以数字的形式显示相关的主机地址,端口等信息 |
| -t | 查看TCP相关的信息 |
| -u | 显示UDP协议相关的信息 |
| -p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
| -r | 显示路由表信息 |
| -l | 显示处于监听状态的网络连接和端口信息 |
![全网多种方法解决[rejected] master -> master (fetch first)的错误](https://img-blog.csdnimg.cn/6680473b7c4d43da931d58cf52da35d8.png)
