本章结构:

  • 账号安全控制

  • 系统引导和登陆控制

  • 弱口令检测

  • 端口扫描

(一)、账户安全基本措施:

1、系统帐号清理

  • 将非登录用户的shell设立为/sbin/nologin

  • 锁定厂区不使用的账号

  • 删除无用的账号

  • 锁定帐号文件passwd、shadow

[root@localhost ~]#chattr +i /etc/passwd /etc/shadow  帐号文件加锁

[root@localhost ~]#lsattr /etc/passwd /etc/shadow 锁定文件并查看状态

----i------------ /etc/passwd

----i------------ /etc/shadow

image.png

[root@localhost ~]#chattr -i /etc/passwd /etc/shadow  帐号文件解锁

image.png

2、密码安全控制

  • 设置密码有效期

[root@localhost ~]#vim /etc/login.defs           适用于新建用户

......

PASS_MAX_DAYS    30

image.png

Linux《十》——系统安全及应用_第1张图片Linux《十》——系统安全及应用_第2张图片

image.png

[root@localhost ~]#chage -M 30 zhangsan           适用于已有用户

image.png

image.png

  • 要求用户下次登陆时修改密码

[root@localhost ~]#chage -d 0 zhangsan    强制在下次登陆时更改密码

image.png

Linux《十》——系统安全及应用_第3张图片

3、账号安全基本措施

命令历史限制  默认为1000条

[root@localhost ~]#vim /etc/profile         vim编辑/etc/profile设置历史命令记录条数

image.png

  • 减少记录的命令条数

    image.pngLinux《十》——系统安全及应用_第4张图片Linux《十》——系统安全及应用_第5张图片

  • 注销时自动清空命令历史

[root@localhost ~]# vim ~/.bash_logout

image.png

Linux《十》——系统安全及应用_第6张图片

终端自动注销

  • 闲置15秒后自动注销

[root@localhost ~]vim ~/.bash_profile

.......

export TMOUT=15

(二)使用su命令切换用户:

1、用途及用法

  • 用途:Substitute User,切换用户

  • 格式:su - 目标用户

2、密码验证

  • root到任意用户,不验证码密码

  • 普通用户到其他用户。验证目标用户的密码

Linux《十》——系统安全及应用_第7张图片

3、限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组

  • 启用pam_wheel认证模块

[root@localhost ~]# vim /etc/pam.d/su            开启pam认证模块

image.png

[root@localhost ~]# vim /etc/group                              查看wheel组里的用户

可以看到zhangsan在组里(shangsan默认在组里)

image.png

image.png

image.png

4、查看su操作记录   

[root@localhost ~]# vim /var/log/secure

安全日志文件:/var/log/secure

5、PAM安全认证流程

控制类型可以称作Control Flags,用于PAM验证类型的返回结果

a、required验证失败时仍然继续,但返回FALL

b、requisite验证失败则立即结束整个验证过程,返回Fall

c、sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

d、optional不用于验证,只显示信息(通常用于session类型)

(三)使用sudo机制提升权限

1、sudo命令的用途及用法

  • 用途:以其他用户身份(如root)执行授权的命令

  • 用法:sudo 授权命令

2、配置sudo授权

  • visudo或者vim /etc/sudoers

  • 记录格式:用户   主机名列表 = 命令程序列表

image.png

image.png

Linux《十》——系统安全及应用_第8张图片

3、查看sudo操作记录

  • 需启用Defaults logfile 配置

  • 默认日志文件:"/var/log/sudo"

    [root@localhost ~]# tail /var/log/sudo  


(四)、开关机安全控制

1、调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘

  • 禁止从其他设备(光盘、U盘、网络)引导系统

  • 将安全级别设为setup,并设置管理员密码

2、GRUB限制

  • 使用grub2-mkpasswd-pbkdf2生成密钥

  • 修改/etc/grub.d/00_header文件中,添加密码记录

  • 生成新的grub.cfg配置文件

Linux《十》——系统安全及应用_第9张图片image.png

image.pngLinux《十》——系统安全及应用_第10张图片(五)、终端登录安全控制

1、限制root只在安全终端登录

安全终端配置:/etc/securetty

[root@localhost ~]# vim /etc/securetty              编辑安全终端配置文件

image.png

2、禁止普通用户登陆

建立/etc/nolongin文件

删除nologin文件或重启后即恢复正常

[root@localhost ~]#touch /etc/nologin        禁止普通用户登录

[root@localhost ~]#rm -rf /etc/nologin        取消上述登陆限制