基本安全措施
1、系统账号清理
1、将非登陆用户的shell设为 /sbin/nologin
2、无法确定是否应该删除可以暂时锁定,长期不使用的账号
3、如果系统中账号已经固定,不再更改,还可以采用锁定账号配置文件的方法。
解锁方法如下
2、密码安全控制
1、设定密码有效期
适用与配置之后的新建用户
直接更改已有用户的
3、命令历史、自动注销
1、设置历史记录条数,适用配置之后的新建用户
适用当前用户
2、修改宿主目录中的文件。添加清空命令历史的操作语句,这样当用户退出当前登陆bash环境后,记录的命令历史自动清空
3、设置闲置超时时间。
适用当前用户
用户切换与提权
1、su切换用户
限制谁可以使用su命令
su切换用户会记录到/var/log/secre文件中
2、sudo命令提权 命令部分允许使用 * !
1、单个定义
格式 用户名 主机名列表=命令程序列表
格式 %组名 主机名列表=命令程序列表
或者直接进
2、集中定义
User_Alias (用户别名声明) 别名(必须大写)=用户1,用户2,用户3
Host-Alias(主机声明) 别名(必须大写)=主机1,主机2
Cmnd-Alias(命令声明) 别名(必须大写)=绝对路径命令,绝对路径命令
然后用别名声明就可以了。
定义日志存放
查看sudo配置
系统引导和登陆控制
1、禁用ctrl+alt+del重启
2、限制更改grub参数
终端登陆及登陆控制
1、减少开放的tty终端个数
重启之后只开启3、5终端
2、设置禁止root用户登陆的tty终端
3、禁止普通用户登陆
建立/etc/nologin文件即可,手动删除或重启失效。
弱口令检测
1、下载安装John the Ripper
官网http://www.openwall.com/john/
2、检测弱口令账号
3、使用密码字典文件
网络端口扫描
1、安装nmap
2、扫描语法及类型
sS:TCP SYN扫描(半开扫描)、只向目标发出syn包,如果收到SYN/ACK响应,认为目标端口正在监听,并立即断开连接。
-sT:TCP连接扫描(完整扫描)、用来建立一个TCP连接。如果成功认为端口正在监听服务。
-sF:TCP FIN 扫描
-sU:UDP扫描
-sP:ICMP扫描
-P0:跳过ping检测
-p:指定扫描的端口
-n:禁用反向dns解析
3、扫描操作示例
