一、用户防护
Chage -l 用户名 查看用户账号有效期信息
Chage -E 时间 用户名 给用户设置过期时间
/etc/login.defs 文件保存许多默认设置
Passwd -l 用户名 临时锁定用户
Passwd -S 用户名 查看用户状态
Passwd -u 用户名 解锁用户
/etc/issue 用户登陆信息(包括操作系统和内核版本号)
二、文件防护
Lsattr 文件名
Chattr +a 文件名 可以追加
备注:这里追加只能是用echo >> 来追加,用vim打开追加会报错
Chattr -a 文件名 解锁文件
Chattr +i 文件名 锁定文件(不允许修改,删除),只能查看
Chattr -i 文件名 解锁文件
更多操作可以man chattr查看
三、用户提权
Su - 用户名 切换到该用户
Su - 用户名 -c “命令” 以该用户的身份执行命令,非交互的(可用于写脚本)
Whoami 查看当前用户身份
Su - 不加用户就是切到root
Su - -c “命令’ 切换成管理员执行命令,这个要输入管理员的密码
Sodu命令
/etc/sudoers 两种方法修改
1、用vim /etc/sudoers 打开之后有颜色高亮显示,缺点是配置文件写错不会报警
2、Visudo 回车 打开都是一样的颜色,优点是配置文件写错会报警
Example
需求:给sofadm 用户执行 systemctl的权限
1、which systemctl 查询一下命令所在的路径
/usr/bin/systemctl
2、Vim /etc/sudoers
找到模板
意思是:允许root用户,以所有身份,执行任何命令
在下边添加一行
Sofadm ALL=(root) /usr/bin/systemctl
3、测试一下su - sofadm 切换到该用户
Sudo -l 查看一下可以执行的命令
Sudo Systemctl restart sshd 启动不报错
备注:命令可以用感叹号表示不予许做
! /usr/bin/passwd root 表示不能给root用户改密码
多个命令之间可以用逗号隔开
也可以用*表示,比如 /usr/sbin/user* 表示以user开头的命令都授权
! /user/sbin/user* * root 第二个*表示命令中选项
可以为sudo 设置log日志,以便跟踪sudo执行操作
在 /etc/sudoers 中添加一行 Defaults logfile = “/var/log/sudo” 文件名可以自定义
总结:su - 需要知道管理员密码
Sudo 不需要知道管理员密码,但是前提是管理员已经分配权限才能执行
四、Selinux
安全上下文标签 cp 是会把原来文件标签变成之后文件夹下标签
Mv 是会保留原来文件的标签
Example
查看标签 ls -Z 文件
改变文件标签: chcon -t 新标签 文件
或者chcon --reference=/var/ftp/d1.tar.gz /var/ftp/d2.tar.gz
比如:在/root下创建一个文件cp到httpd根目录下,程序就没有权限读取,如果是mv过去就有权限读取(阿里云ecs一般都没有开启selinux)
五、加密与解密
Md5sum 文件名 md5校验码,用来查看文件内容是否有变化
Vimdiff 文件1 文件2 比较两个文件的不同
对称加密
Gpg -c 文件 加密 会在当前目录下生成一个文件.gpg的加密文件
Gpg -d 文件.gpg > 文件名 解密
非对称加密步骤
1、本机生成密钥对
gpg --gen-key 生成
gpg --list-keys 查看
2、Export导出公钥
gpg -a --export UserA > /tmp/UserA.pub -a 表示ASCALL码,UserA表示生成密钥时填的姓名
3、Scp公钥到目标主机
scp /tmp/UserA.pub 192.168.4.5:/tmp/
4、目标主机import导入公钥
gpg --import /tmp/UserA.pub
gpg --list-keys 查看
5、目标主机使用导入的公钥加密数据
gpg -e -r UserA love.txt -e表示加密,-r表示使用哪个公钥 会生成.gpg文件
6、目标主机scp加密的问价到本机,本机使用私钥解密
scp love.txt.gpg 192.168.4.100:/root
gpg -d love.txt.gpg > love.txt
非对称加密的签名机制步骤
1、本机创建文件并用私钥签名
tar zcf log.tar /var/log //建立测试软件包
gpg -b log.tar //创建分离式数字签名
2、scp文件和签名一起发送给目标主机
scp log.tar* 192.168.4.5:/root //将签名文件与签名传给UserB
3、目标主机使用公钥验证签名的真实性
gpg --verify log.tar.sig log.tar
六、AIDE入侵检测
备注:该软件不会防止入侵,只能检测
步骤
1、装包,光盘自带
Yum -y install aide
2、配置文件位置/etc/aide.aonf 做测试可以修改一下配置文件,只检测/root
找到配置目录的行,ctrl + v ,然后下键到期,点击大写的I ,输入# ,然后按esc 注释之后添加一行 /root DATAONLY
3、做检测并且把生成的new文件拷贝到其他地方存放好
Aide --init
存放路径:/var/lib/aide/aide.db.new.gz initialized
4、把new文件拷贝过来并且改名字把new去掉,然后做检测
Mv 拷贝过来的路径/aide.db.new.gz initialized /var/lib/aide/aide.db.gz initialized
Aide --check
七、namp扫描
# nmap [扫描类型] [选项] <扫描目标 ...>
//常用的扫描类型// -sS,TCP SYN扫描(半开)
// -sT,TCP 连接扫描(全开)
// -sU,UDP扫描
// -sP,ICMP扫描
// -A,目标系统全面分析
//-p 21-22 ip 扫描指定ip的指定端口
八、抓包
A--------------交换机(路由器)--------------B
前提:要在A和B的路线上或者在A或者B上才能抓包,也就是包要经过抓包的位置
Example:抓ftp包
1、A上装包
Yum -y install tcpdump
2、A抓包
Tcpdump -A -h ip and tcp port 21 -w ftp.log
-A 是抓的包用ASCALL码显示,不然都是乱码
-w 是抓的包保存在文件中,会自动创建
3、B上连接服务,输入账号密码
ftp ip
4、A上查看
Tcpdump -r ftp.log | egrep -i “(user|pass)”
Egrep 是支持扩展正则
-i 是忽略大小写
//监控选项如下:
// -i,指定监控的网络接口
// -A,转换为 ACSII 码,以方便阅读
// -w,将数据包信息保存到指定文件
// -r,从指定文件读取数据包信息
//tcpdump的过滤条件:
// 类型:host、net、port、portrange
// 方向:src、dst
// 协议:tcp、udp、ip、wlan、arp、……
// 多个条件组合:and、or、not