Linux系统安全及应用

标签：lsa   其他   secure   roc   配置   修改ip   菜单   nmap   改ip   

前言：虽然说linux系统安全，高效，稳定，但如果平时不注意安全优化，也不会安全。本章将介绍账户安全，系统引导和登录的安全，以及弱口令检测，网络扫描工具的使用。

一、账号安全控制
1、系统账号清理
1）以下常见的非登录用户要确保不被人为改动：

2）各种非登录账户中，还有一部分是很少用到的，如news，uucp，games，gopher，这些用户可视为冗余账号，直接删除即可

3）若不确定能否被删除，可以暂时锁定

4）如果服务器中的账户已经固定，不再进行更改，还可以采用锁定账号配置文件的方法。
使用chattr命令，分别结合+i，-i来锁定、解锁。使用lsattr查看文件锁定情况。

2、密码安全控制
1）设置密码有效期为30天
修改配置文件，适合新建立的用户，vi /etc/login.defs

使用命令：Chage -M 30 zhangsan，适用于已有的张三用户

2）设置用户下次登录时重设密码

然后使用张三登录终端

先输入原密码，然后再输入两次新密码，注意复杂性。

3、命令历史，自动注销
1）修改配置文件，设置最多纪录200条历史命令，如果纪录太多，容易泄露信息。
Vi /etc/profile,适用于新登录的用户

重启系统或者执行source /etc/profile使之生效。

执行export HISTSIZE=10适用于当前的账户

2）当用户退出已登录的bash环境后，清空历史纪录

Vi ~/.bash_logout

然后重启之后重新登录系统，执行history发现没有历史纪录

3）设置超时时间，指定时间没有任何输入就自动注销。
Vi /etc/profile,适用于新登录的用户。

执行export TMOUT=10用于当前用户（为了测试方便，时间调10秒），10秒之内没有任何输入就退出系统。也可以使用unset TMOUT取消设置

二、用户切换与提权
1、su命令：用来切换用户，具有该用户的所有权限。
1）su切换用户

上图的命令只切换用户身份，不切换用户环境，如果想切换身份的同时切换环境，需要在su后面加“-”，如下图：

2）允许个别用户使用su命令进行切换，需要将授权使用su命令的用户zhangsan添加到wheel组，修改/etc/pam.d/su认证配置

Vi /etc/pam.d/su，去掉下图中圈中的auth前面的#号。

重启系统之后使用zhangsan登录，执行su - root 可以正常切换，但是使用其他用户提示密码不正确，登录失败。

2、sudo命令，提升执行权限，可以让普通用户拥有一部分管理权限，又不需要将root用户的密码告诉对方。
1）在配置文件/etc/sudoers中添加授权
例如：授权用户jerry能够执行ifconfig命令修改ip地址，而wheel组的用户不需要验证密码即可执行任何命令，可以执行以下操作。
执行命令：Visudo

或者:

2）通过sudo命令测试特权命令
使用jerry登录系统，执行/sbin/ifconfig eth0:0 192.168.1.1，提示失败，权限不够。

如果在命令前面加上sudo，执行成功

三、系统引导和登录控制
1、开关机安全控制
1）调整biso引导控制
将第一引导设备设置为当前系统所在磁盘，禁止从光盘，u盘，网络等引导系统，将bios设置好管理密码。

2）禁止ctrl+alt+del重启系统系统
Vi /etc/init/control-alt-delete.conf

重启系统之后，按ctrl+alt+del无法重启系统（在终端中测试）

3）限制更改grub引导参数
首先使用grub-md5-mcypt生成加密的密码

然后修改配置文件，把密文添加到第一个title之前，如下图：

重启系统进入grub菜单，如果想修改引导参数，必须先按p输入密码，然后按e才能编辑引导参数

然后按e就可以编辑了

2、终端及登录控制
1）减少开放的tty终端个数，禁用tty1，tty2，tty3
Vi /etc/init/start-ttys.conf

Vi /etc/sysconfig/init

注意两个文件都需要更改

2）禁止root用户从tty5和tty6终端登录
Vi /etc/securetty

3）禁止普通用户登录，只需要建立/etc/nologin文件即可，如果恢复普通用户登录，删除这个文件即可
Touch /etc/nologin
然后使用普通用户登录测试

四、弱口令检测和端口扫描
1、弱口令探测（john the ripper）
1）下载并安装

查看是否安装成功

2）检测弱口令

查看密码破解出的账户列表：br/>
3）使用密码字典文件破解，默认的字典文件为password.lst
首先清空破解出的账户列表
然后为dengchao用户设置强密码Pwd@123

把密码写在字典文件中：vi password.lst，也可以使用密码字典生成工具生成密码，然后再导入到password.lst文件中。

执行破解(破解之前需要重新拷贝shadow文件)

2、网络扫描（NMAP）
1）安装NAMP软件包

2）针对本机进行扫描，检查开放了哪些常用的tcp端口，udp端口

2）扫描常用的udp端口

Filtered表示可能被防火墙过滤
3）检查哪些主机提供了ftp服务

4）检测192.168.1.0网段中有哪些存活主机（能ping通）

5）检测192.168.1.1-254主机是否开启文件共享服务

Linux系统安全及应用

标签：lsa   其他   secure   roc   配置   修改ip   菜单   nmap   改ip   

原文地址：http://blog.51cto.com/13559618/2059212