1、账号安全
系统账号清理
将非登录用户shell设为/sbin/nologin
2、锁定长期不使用的账号
3、删除无用的账号
锁定账号文件passwd、shadow
锁定:chattr +i /etc/passwd /etc/shadow
解锁;chattr -i /etc/passwd /etc/shadow
查看: lsattr /etc/passwd /etc/shadow
密码安全:
设置密码有效期: 2种方式:
对新建用户设置: vim /etc login.defs
PASS_MAX_DAYS 30
对已创建的用户:chage -M 30 用户名
用户下次登录时修改密码: chage -d 0 用户名
历史命令限制:
减少命令历史数量:HISTSIZE=200
自动清空历史命令:history
终端自动注销:TMOUT=10(秒)
2、SU命令安全
SU:切换用户
两种格式: SU 用户名: 切换用户但不更改环境变量
su - 用户名: 完整切换
普通用户切换其他用户需要对方密码
root用户切换无需密码 限制用户使用SU命令: 启用pam_wheel模块,只允许wheel组使用SU命令
vim /etc/pam.d/su
#auth required pam_wheel.so use_uid(删掉#号)
gpasswd -a 用户名 wheel(将用户加入组)
日志文件:/var/log/secure
3、sudo:提升权限
语法: sudo 授权命令的绝对路径
需要输入本人密码
sudo配置文件:/etc/sudoers
打开方式:visudo
vim /etc/sudoers
格式: 用户列表主机名列表= 权限列表
例: hanming ALL=/usr/sbin/useradd
*匹配任意
%组名: 代表组 ALL代表所有
NOPASSWD: 命令: 无需密码就可执行
列表可设置为别名:
User_alias
Host_alias
Cmnd_alias
sudo -1:查看sudo命令权限
sudo -k:清除密码缓存,默认缓存5分钟
日志文件:/var/log/sudo
需要Defaults logfile配置
(Defaults logfile=/var/log/sudo)
4、开关机安全
调整Bios设置:
禁止从其他设备引导
设置Bios密码
禁用Ctul+Alt+Del重启
vim /etc/init/control-alt-delete.conf
grub菜单限制:
在title前设置密码: 禁止更改参数
在title后设置密码: 禁止进入系统
密码方式: 明文: passwd 密码
密文: 用grub-md5-crypt生成
vim /boot/grub/grub.conf
password -md5 密码字串
5.终端安全登录:
减少开放的终端数:/etc/init/start-ttys.conf
etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[456]
限制root用户使用的终端:/etc/securetty
禁止普通用户登录:建立etc/nologin文件
touch /etc/nologin
删除即可恢复登录
rm -f /etc/nologin
6、系统弱口令检测: John the Ripper 简称JR
开源软件,支持字典式的暴力破解,支持des和md5的加密破解
命令名为:john
破解命令:./john --wordlist=password.lst /etc/shadow
破解后密码保存在john.pot文件中,可用./john --show /etc/shadow查看
7、NMAP:网络端口扫描
是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口
扫描类型:
-sS:SYN 扫描
-sT:TCP 扫描
-sF:FIN 扫描
-sU:UDP 扫描
-sP:ICMP 扫描
-PO:跳过ping检测
-p: 扫描端口
-n:禁用反向解析