Linux——系统安全及应用（开关机安全机制、系统弱口令检测、NMAP）

一、开关机安全机制

1、调整BIOS引导设置

• 将第一引导设备设为当前系统所在盘
• 禁止从其他设备（光盘、U盘、网络）引导系统
• 将安全级别设为setup，并设置管理员密码

2、GRUB限制

• 使用 grub2-mkpasswd-pbkdf2 密钥
• 修改 /etc/grub.d/00_header 件中，添加密码记录
• 生成新的 grub.cfg 配置文件

3、步骤示例

• 通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。
• 可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

二、终端登录安全控制

1、限制root只在安全终端登录

安全终端配置: /etc/securetty
[root@localhost ~]# vi /etc/ securetty
......
#tty5
#tty6
#禁止root用户从终端tty5、tty6登录

2、限制普通用户登录

建立/etc/nologin 文件
删除nologin 文件或重启后恢复正常

[root@localhost ~]# touch /etc/nologin.
##禁止普通用户登录
[root@localhost ~]# rm -rf /etc/nologin
##取消上述登录限制

三、系统弱口令检测

1、 JR（Joth the Ripper）

• 一款密码分析工具，支持字典式的暴力破解
• 通过对 shadow 文件的口令分析，可以检测密码强度
• 官网网站：http://www.openwall.com/john/

2、安装JR工具

• 安装方法：make clean 系统类型
• 主程序文件为 john

3、检测弱口令账号

• 获得Linux/Unix服务器的shadow文件
• 执行john程序，将shadow文件作为参数

4、密码文件的暴力破解

• 准备好密码字典文件，默认为password.lst
• 执行john程序，结合–wordlist=字典文件

5、步骤示例

四、网络扫描（NMAP）

1、NMAP

• NMAP是一个强大的端口扫描类安全评测工具，支持ping扫描、多端口检测等多种技术
• 安装NMAP：

[root@localhost ~]# rpm -qa | grep nmap
[root@localhost ~]# yum install -y nmap

2、NMAP常用的选项和扫描类型

选项	说明
-p	指定扫描端口
-n	禁用反向DNS解析（以加快扫描速度）
-sS	TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应就认为目标端口正在监听，并立即断开连接；否则认为目标端口并未开放
-sT	TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务；否则认为目标端口并未开放
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU	UDP扫描，探测目标主机提供哪些UDP服务， UDP扫描的速度会比较慢
-sP	ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放弃扫描

3、步骤示例

查看本机开放的TCP端口、UDP端口

[root@localhost ~]# nmap -sT 192. 168. 184. 10
[root@localhost ~]# nmap -sU 192. 168. 184. 10

检测192.168.10.0/24网段有哪些主机提供http服务

[root@localhost ~]# nmap -p 80 192.168.10.0/24

检测192.168.10.0/24网段有哪些存活主机

[root@localhost ~]# nmap -n -sP 192.168.10/24

五、控制台命令（netstat）

[root@localhost ~]# netstat- natp
##查看正在运行的使用TCP协议的网络状态信息

[root@localhost ~]# netstat- naup
##查看正在运行的使用UDP协议的网络状态信息

netstat常用选项	说明
-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n	以数字的形式显示相关的主机地址、端口等信息
-t	查看TCP协议相关的信息
-u	显示UDP协议相关的信息
-p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r	显示路由表信息
-l	显示处于监听状态的网络连接及端口信息