系统安全（下）

su

我们可以用su - 加用户名来切换用户

• su - root 切换到root用户
• su直接切换到root用户
• su root 切换用户但不改变环境变量
• echo $PATH 查看当前变量

vim /etc/sudoers
tom ALL=/usr/sbin/useradd
Cmnd_Alias WO =/usr/sbin/useradd
tom ALL=WO
进入sudoers文件给tom用户添加用户权限，或者给命令加一个别名
可以用which命令查看命令的绝对路径

• 也可以用visudo
  
  
  visudo错了保存会有提示。
• sudo useradd lisi 用sudo命令提权，添加lisi用户
  
  
  
• sudo -l 查看可以用哪些命令

• 将用户加入wheel组中也可使用户权限最大
  
  

PAM认证

PAM认证让普通用户不能su登入，只能在wheel组中才可以用su登入

• 首先vim /etc/pam.d/su
  然后将pam_wheel.so use_uid 注释掉这一行
  
  
  可以看到没有加入组的wangwu用户不能切换
  
• 还可以vim /etc/login.defs
  加一行SU_WHEEL_ONLY Yes
  

改端口

• vim /etc/ssh/sshd_config
  PermintRootLogin no Port 2222
  ssh默认配置文件，修改不允许root登入，并改变ssh端口号
  

将这两个注释掉并修改，这样不允许root登入，并将远程ssh端口改为2222，防止别人乱连

开关机安全控制

给grub2菜单设置密码

他会生成一个加密的密码

终端登入安全控制

• 可以进入vim /etc/securetty，删除不想登入的类型就可以禁止登入
  
  或者创建一个nologin文件使其不能登入
  

端口扫描

• nmap 127.0.0.1 扫描本地主机，默认tcp
  

• nmap -sU 127.0.0.1 扫描UDP
  

• nmap -sP 192.168.1.1-30 带ping扫描
  

• nmap -sP -n 192.168.1.1-30 不进行域名解析扫描
  

• nmap -A 127.0.0.1 只对自己扫描详细信息
  

• nmap -sS 只执行两次握手扫描
  

• nmap -sT 进行3次完整握手扫描
  

• nmap -sF 四次挥手扫描
  

• nmap -p 20,21 192.168.254.0/24 只对20,21端口扫描
  
  总结：系统安全可以从很多方面下手，有账号安全控制，开关及安全控制，终端及登入控制等等。