Linux系统安全与应用（2）安全机制 安全控制 网络扫描NMAP和控制台命令Netstat

目录

一，sudo机制提升权限

1，sudo机制介绍：

案例一

 案例二创建用户不用密码，修改要密码

 案例三，用户可以创建临时网卡

 二，用户别名

1，用户别名的语法格式

三，终端登录安全控制

 四，网络端口扫描nmap

1，nmap常用的选项和扫描类型

 五，netstat命令

1，输出信息描述

2，常用选项

---

一，sudo机制提升权限

1，sudo机制介绍：

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户的登录密码，带来安全风险

2，标准格式

用户/组名称 主机名=（提权的权限身份-root）赋权的使用命令（要以绝对路径的方式来写）--可以为多个

3，sudo参数选项命令/配置sudo授权

visudo 或者vi /etc/sduers

用户	直接授权指定的用户名，或采用“组名"的形式(权一个组的所有用户)
主机名	使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
（用户）	用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
命令程序列表	允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 "," 进行分隔。ALL则代表系统中的所有命令

案例一

 

 

 案例二创建用户不用密码，修改要密码

 

 

 案例三，用户可以创建临时网卡

 

 

 

 

 二，用户别名

• 当使用相同授权的用户较多，或者授权的命令较多时，可以采用集中定义的别名。
• 用户、主机、命令部分都可以定义为别名（必须为大写)，分别通过关键字User_Alias、Host_Alias、Cmnd_A.ias来进行设置。
• 别名必须大写

1，用户别名的语法格式

1、User_Alias

用户别名:包含用户、用户组（%组名（使用%引导）)、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom, lisi

2、Host_Alias

主机别名:主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp, pop

3、Cmnd_Alias

命令路劲、目录（此目录内的所有命令)、其他事先定义过的命令别名cmnd_Alias PKGTOOLS=/ bin/ rpm,/ usr/bin/yum
 

用户           改成  别名用户         目的为了可以操作多个用户和组 
主机名         改成  别名主机         目的为了可以操作设置主机的多个名称或者主机取反
命令操作列表    改成  别名命令列表     目的是所有命令可以做操作也就是所有命令集合

三，终端登录安全控制

• 限制root只在安全终端登录
• 禁止普通用户登录 当服务器正在进行备份或调试等维护工作时，可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在， 如果存在，则拒绝普通用户登录系统（root 用户不受限制）。
• touch /etc/nologin  #除root以外的用户不能登录了。
• 此方法实际上是利用了 shutdown 延迟关机的限制机制，只建议在服务器维护期间临时 使用。当手动删除/etc/nologin 文件或者重新启动主机以后，即可恢复正常。

 

 四，网络端口扫描nmap

• NMAP是一个强大的端口扫描类安全评测工具，支持ping扫描，多端口检查等多种技术
• 安装nmap

1，nmap常用的选项和扫描类型

-p	指定扫描端口
-n	禁用反向DNS解析（以加快扫描速度
-sS	TCP的SYN扫描（半开扫描），只向目标发出SYN数据包，如果收到SYN/ACK响应就认为目标端口正在监听，并立即断开连接； 否则认为目标端口并未开放
-sT	TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务； 否则认为目标端口并未开放
-sF	TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。 许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU	UDP扫描，探测目标主机提供哪些UDP服务， UDP扫描的速度会比较慢
-sP	ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描
-P0	跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放弃扫描

 

 

 查看本机开放的TCP端口、UDP端口

 检测192.168.11350/24网段有哪些主机提供http服务

 检测192.168.135.0/24网段有哪些存活主机

 五，netstat命令

  查看当前操作系统的网络连接状态，路由表，接口统计等信息，他是了解网络状态及排除网络服务故障的有效工具

1，输出信息描述

 netstat的输出结果可以分为两个部分

1、Active Internet connections 有源TCP连接，其中"Recv-Q"和"Send-Q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

2、Active UNIX domain sockets 有源Unix域套接口(和网络套接字一样，但是只能用于本机通信，性能可以提高一倍)。

列名解释：

Proto：显示连接使用的协议。

RefCnt：表示连接到本套接口上的进程号。

Types：显示套接口的类型。

State：显示套接口当前的状态。

Path：表示连接到套接口的其它进程使用的路径名。

2，常用选项

-a	显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n	以数字的形式显示相关的主机地址、端口等信息
-t	查看TCP协议相关的信息
-u	显示UDP协议相关的信息
-p	显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r	显示路由表信息
-l	显示处于监听状态的网络连接及端口信息