码迷,mamicode.com
首页 > 其他好文 > 详细

系统安全及应用(理论、理论)

时间:2019-08-27 01:12:32      阅读:174      评论:0      收藏:0      [点我收藏+]

标签:roo   pam   账号   set   访问   一个   his   网站   www   

一、账号安全控制

二、系统引导和登录控制

三、弱口令检测

四、端口扫描

一、账号安全基本措施

1.系统账号清理

  • ?将非登录用户的shell设为/sbin/nologin
  • ?锁定长期不使用的账号
  • ?删除无用账号
  • ?锁定账号文件passwd、shadow
    2.文件进行加锁、解锁及查看命令
  • chattr +i /etc/passwd /etc/shadow
  • chattr +i /etc/passwd /etc/shadow
  • lssttr /etc/passwd /etc/shadow

密码安全控制
1.设置密码有效期
2.要求用户下次登录时修改密码

  • 改密码属性文件:vim /etc/login.defs(创建新用户)
  • 修改密码有效期:chage -M 30 lisi(针对已存在用户而言)
  • 对于已经存在的用户修改用户登陆密码:chage -d 0 lisi

命令历史限制(/etc/profile系统中的环境变量文件)

  • 减少记录的命令条数(默认1000条)
  • 注销时自动清空命令历史
  • [root@localhost~]#vi/etc/profile
  • HISTSIZE=200

终端自动注销

  • 闲置600秒后自动注销
  • [root@localhost~]#vi~/.bash_profile
  • export TMOUT=600
  • history查看历史命令记录
  • 更改vim etc/profile
  • 生效修改:source /etc/profile
  • 输入:history再次查看历史

使用su命令切换用户
用途及方法

  • 用途:Substitute User,切换用户
  • 格式:su -目标用户(bash环境)
  • 密码验证
  • root→任意用户,不验证密码
  • 普通用户→其他用户,验证目标用户的密码
  • [jerry@localhost~]$su -root
  • 口令:[root@localhost~]#whomi

限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组

Linux中的PAM安全认证
su命令的安全隐患
?默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登陆密码,带来安全风险
?为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
?PAM(Pluggable Authentication Modules)可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。

PAM认证原理
?PAM认证一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so
?PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
?用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
?不同的应用程序所对应的PAM模块也是不同的

PAM认证的构成
查看某个程序是否支持PAM认证,可以使用ls命令

PAM安全认证流程
控制类型也可以称作Control Flags,用于PAM验证类型的返回结果

  • 1.required验证失败时仍然继续,但返回Fail
  • 2.requisite验证时报则立即结束整个验证过程,返回Fail
  • 3.sufficient验证成功则立即返回,不在继续,否则忽略结果并继续
  • 4.optional不用于验证,只显示信息(通常用于session类型)

使用sudo机制提升权限
1.su命令的缺点
2.sudo命令的用途及方法

二、开关机安全控制

1.开关机安全控制
调整BIOS引导设置

  • ?将第一引导设备设为当前系统所在硬盘
  • ?禁止从其他设备(光盘、U盘、网络)引导系统
  • ?将安全级别设为setop,并设置管理员密码
    GRUB限制
  • ?使用grub2-mkpasswd-pbkdf2生成秘钥
  • ?修改/etc/grub.d/00_heard文件中,添加秘钥记录
  • ?生成新的grub.cfg配置文件

三、弱口令检测

1.系统弱口令检测

2.安装JR工具

  • 安装方法:make clean系统类型
  • 主程序文件为john
  • 检测弱口令账号
  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序,将shadow文件作为参数
  • 密码文件的暴力破解
  • 准备好密码字典文件,默认为password.lst
  • 执行john程序,结合--wordlist=字典文件

系统安全及应用(理论、理论)

标签:roo   pam   账号   set   访问   一个   his   网站   www   

原文地址:https://blog.51cto.com/14475593/2432780

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!