系统安全和运用
目录
账号安全控制
将非登陆用户的shell设为/sbin/nologin
锁定长期不用的账号
删除没有用的账号
锁定账号文件passwd shadow
密码安全控制
设置密码有效期
要求用户下次登陆时修改密码
命令历史限制
减少记录的命令条数
注销时自动清空命令
终端自动注销
su命令
sudo命令
禁止登陆
编辑
网络端口扫描
账号安全控制
将非登陆用户的shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
锁定长期不用的账号
usermod -L #锁定用户账户
passwd -l #锁定用户账户
passwd -u #解锁用户账户
usermod -U #解锁用户账户
passwd -S #查看用户账户的状态(是否被锁定)
passwd -d #清空指定用户的密码,仅使用用户名即可登录
锁定用户yan
锁定后不能登陆
进行解锁 由于之前yan用户是没有密码的 所以解锁的时候需要加上 -f
解锁后可以登陆
删除没有用的账号
userdel [-r] 用户名 #“-r”可以将该用户的宿主目录一并删除
锁定账号文件passwd shadow
chattr +i /etc/passwd shadow 锁定账号 密码
chattr -i /etc/passwd shadow 解锁账号 密码
lsattr /etc/passwd shadow 查看账号 密码
锁定账号文件后创建不了用户
解锁后可以创建
密码安全控制
设置密码有效期
chage -M 30 用户名 30天后修改密码
要求用户下次登陆时修改密码
chage -d 0 用户名 强制下次登陆时修改密码
命令历史限制
history 查询命令的历史记录 (不同终端显示不同)
减少记录的命令条数
vim /etc/profile #进入配置文件
/ HISTSIZE=500 #修改数量 默认是1千
source /etc/peofile #刷新配置文件
只是当前用户限制
vim ~/.bash_profile
新加一行HISTSIZE=20 保存
source ~/.bash_profile
注销时自动清空命令
vim ~/.bashrc
echo"" >.bash_history #登录时自动清空记录
终端自动注销
vim /etc/profile #编辑全局变量配置文件
vim .bash_profile #编辑配置文件(只对当前用户)
export TMOUT=10 #设置闲置注销时间
echo $TMOUT #查看注销时间
source /etc/profile
su命令
su - 用户名 #切换到指定用户的家目录
限制使用su命令的用户
su命令可以切换到别的用户,容易被别人暴力破解,这时候我们就可是使用su赋权了,只给自己信任的用户su命令。
在/etc/pam.d/su文件里设置禁止用户使用su命令
1 上面这两行都是默认状态(开启第一行,注释第二行),这种状态是允许所有用户间使用su命令来进行切换的。
2 两行都注释的话,依旧是所有用户间都可以进行su命令,但root用户su到别的用户的时候,需要输入密码;简单来说,
pam_rootok.so模块的主要作用能让root用户能够直接通过认证而不用输入密码。
3 如果开启第二行,就表示只有root用户和wheel组内的用户才可以使用su命令。
root可以切换到普通用户 ,但是不能再使用su了 我们来把yan加入到wheel组中
4 如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,就连root用户也别禁用su命令
root没法使用su
yan可以
sudo命令
我们使用普通用户添加一个临时网卡 权限不够
我们进入visudo文件中,修改nannan这个用户的赋权,给予它修改网卡
语法格式: 用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机
(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔。ALL则代表系统中的所有命令(特权)
禁止登陆
vi /etc/securetty
#tty3 想要不让在哪个终端登陆就在该终端前加注释#
tty4
ctrl+alt+f3输入密码不能登陆
ctrl+alt+f2输入密码可以登陆
网络端口扫描
安装nmap yum install -y nmap
nmap
-p :指定扫描的端口
-n :禁用反向DNS解析 (加快扫描速度)
-sS :TCP的SYN扫描只向目标发出SYN数据包,如果收到SYN/ACK响应包
就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放
-sT :TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),
用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放
-sF :TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。
许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的 TCP 攻击包。
这种类型的扫描可间接检测防火墙的健壮性
-sU:UDP 扫描,探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢
-sP:ICMP 扫描,类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描
-P0:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,
使用这种方式可以避免因无法 ping 通而放弃扫描
netatat
-a :显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-t :查看TCP相关的信息
-u :显示UDP协议相关的信息
-p :显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-n :以数字的形式显示相关的主机地址、端1等信息
-r :显示路由表信息
-l :显示处于监听状态的网络连接及端口信息
查看本机开放的TCP端口
nmap -sT 127.0.0.1 扫描本机回环网址
查看本机开放的UDP端口
nmap -sU 127.0.0.1
查看正在运行使用TCP协议的网络状态
netstat -natp
查看正在运行使用UDP协议的网络状态
netstat -naup
查看正在运行使用TCP和UDP协议的网络状态
netstat -nautp
检测网段存活主机
nmap -n -sP 192.168.1.0/24
nmap -p 443 192.168.116.131/24 查看是否有443端口