1.システムアカウントのクリーンアップ
1.ログインしていないユーザーのシェルを/ sbin / nologinに設定します;
2。長期間使用されていないアカウントをロックします;
3。不要なアカウントを削除します;
4。アカウントファイルをロックしますpasswd、shadow
次に、chattrコマンドの使用法
1. "+":元のパラメーター設定に基づいてパラメーターを追加します;
2. "-":元のパラメーター設定に基づいてパラメーターを削除します;
3。 "=";指定されたパラメーター設定に更新します。
「A」:ファイルまたはディレクトリの時間(アクセス時間)を変更(変更)できないため、ラップトップコンピュータなどのディスクI / Oエラーの発生を効果的に防ぐことができます。
「S」:同期と同様のハードディスクI / O同期オプション。
「A」:追加。パラメータを設定した後、ファイルにデータを追加することはできますが、削除することはできません。主にサーバーログファイルのセキュリティに使用されます。この属性を設定できるのはrootのみです。
「c」、つまりファイルを設定するかどうかを圧縮します。圧縮後に保存し、読み取り時に自動解凍操作を実行する必要があります。
「d」:ダンプ設定ファイルをダンププログラムのバックアップターゲットにすることはできません。
「i」:設定ファイルを削除、名前変更、リンク関係を設定することはできません。 、コンテンツの書き込みや追加はできません。iパラメータは、ファイルシステムのセキュリティ設定に非常に役立ちます。
「j」:つまりジャーナル。ファイルシステムがマウントパラメータ:data = orderedまたはdata = writebackでマウントされると、ファイルが次のようになるようにこのパラメータを設定します。 (ジャーナルに)記録します。filesystemパラメーターがdata = journalに設定されている場合、パラメーターは自動的に無効になります。
"s":ファイルまたはディレクトリを機密情報として削除します。つまり、すべてのハードディスク領域が回復されます。
"u":sとは逆に、uに設定されている場合。 、データコンテンツは実際にはディスクに保存されており、削除解除に使用できます。
さまざまなパラメータオプションで一般的に使用されるのは、「a」と「i」です。「a」オプションは追加のみ可能で、削除はできません。これは主にログシステムのセキュリティ設定に使用されますが、「i」はより厳格なセキュリティ設定であり、スーパーユーザー(ルート)またはCAP_Linux_IMMUYABLE処理機能(識別)を備えたプロセスのみが適用できます。オプション。
chattrコマンドの適用例:
1。設定ファイル/ etc / passwd / etc / shadowファイルを変更、削除、リンク作成、検証することはできません。
2.ロックを解除してyanzheng
3.パスワードセキュリティ制御
1.パスワードの有効期間を設定します
。2。ユーザーにログインして次回パスワードを変更するように依頼します。
vi / etc / login.defs
……
PASS_MAX_DATS30
(新規ユーザー向け)
chage –M 30 aaa(既存のユーザーに適用可能)
chage -d 0 aaa(次回のログイン時にパスワードを強制的に変更する)
4、コマンド履歴の制限
1.記録されるコマンドの数を減らします;
vi / etc / profile
HISTSIZE = 200
2.ログオフ時に履歴コマンドを自動的にクリアします。
vi〜 / .bash_logout
history -c
clear
history -c
このコマンドは、このログインのすべての出力コマンドをクリアできますが、.bash_historyファイルをクリアしないため、次回のログイン後も古いコマンドが表示されます。historyコマンドは、現在のユーザーのルートディレクトリに存在する./bash_historyファイルです。
echo> $
home./ bash_history各ユーザーのルートディレクトリに履歴コマンドを保存するための.bash_historyファイルがあります。毎回ログアウトすると、このログイン中に実行されたコマンドがこのファイルに書き込まれます。したがって、ファイルを直接クリアすることができ、最後に保存されたコマンドは次回のログイン後に消え、クリアの効果は次回のログインで有効になります。
5、suコマンドを使用してユーザーを切り替えます
1.目的:ユーザーを置き換えてユーザーを切り替える;
2.形式:suターゲットユーザー
6、パスワード検証
1.ルート-どのユーザーもパスワードを確認しません
。2。通常のユーザー-他のユーザーはターゲットユーザーのパスワードを確認します。
7、suコマンドを使用するユーザーを制限する
1.suコマンドの使用を許可されているユーザーをwheelグループに追加します。2。pam_wheel認証モジュールを有効にします。
8:PAMセキュリティ認証プロセス
制御タイプは制御フラグとも呼ばれ、PAM検証タイプの結果を返すために使用されます。
1.必要な検証が失敗した場合は続行しますが、失敗を返します
。2。必要な検証が失敗した場合は、検証プロセス全体を終了して失敗を返します。3。
十分な検証が成功した場合は、続行せずにすぐに戻ります。それ以外の場合は、結果を無視して続行します
。4。オプション検証には使用されず、情報のみを表示します(通常はセッションタイプに使用されます)
9、PAM検証の構成
1.プログラムがPAM認証をサポートしているかどうかを確認するには、lsコマンドを使用できます。
例:suがPAMモジュール認証をサポートしているかどうかを確認します。
2.suのPAM構成ファイルを表示します
1.各行は独立した認証プロセスです
。2。各行は、
認証タイプ、制御タイプ、PAMモジュールとそのパラメーターの3つのフィールドに分割できます。
PAM認証タイプには、次の4つのタイプがあります。
認証管理:ユーザー名とパスワードを受け入れてからユーザーのパスワードを認証します。
アカウント管理:アカウントがシステムへのログインを許可されているかどうか、アカウントの有効期限が切れているかどうか、およびアカウントを確認します。ログインに時間制限はありますか?
パスワード管理:主にユーザーのパスワードを変更するために使用されます。
セッション管理:主にセッション管理とアカウンティングを提供するために使用されます。
10、PAM認証の原則
1.通常、次の順序に従います。
サービス(サービス)-PAM(構成ファイル)-pam _ *。so2
。最初にどのサービスを決定し、次に対応するPAM構成ファイル(/etc/pam.dにあります)をロードします。の下で、最後にセキュリティ認証
3の認証ファイル(/ lib / securityの下にあります)を呼び出します。ユーザーがサーバーにアクセスすると、サーバーの特定のサービスプログラムがユーザーの要求を認証のためにPAMモジュールに送信します
。4。さまざまなアプリケーションが対応します。 PAMモジュールは異なります
11.suコマンドの隠れた危険
1.デフォルトでは、すべてのユーザーがsuコマンドの使用を許可されており、他のユーザー(rootなど)のログインパスワードを繰り返し試行する機会があり、セキュリティ上のリスクがあります
。2。suコマンドの使用の制御を強化するために、PAM認証モジュールを使用できます。 suコマンドを使用して切り替えることができるのは少数のユーザーのみです。
12.PAMプラガブル認証モジュール
1.効率的で、柔軟性があり、便利なユーザーレベルの認証方法です
。2。現在のLinuxサーバーで一般的に使用されている認証方法でもあります。
13、sudoメカニズムを使用して権限を増やします
1. sudoコマンドの目的と使用法
(1)、他のID(rootなど)で許可されたコマンドを実行する
(2)、使用法:sudo許可されたコマンド
2.sudo認証を構成します
3. 4 ALLの意味
(1)左から右へ、最初のALLはユーザーを表し、
(2)左から右へ、2番目のALLはマシンを表し、
(3)左から右へ3番目のALLは新しいユーザーID(rootなどのsun_as_user)を表します
(4)。左から右への4番目のALLはコマンドを表します。
例
sudo-lは結果を表示できます
4. sudo操作レコードを表示します
(1)、デフォルトのログファイル構成を有効にする必要があります;
(2)、デフォルトのログファイル:/ var / log / sudo
14.GRUBの制限
1.grub2-mkpasswd-pdkdf2を使用してキーを生成します。2。/ etc / grub.d / 00_header
ファイルを変更してキーレコードを追加します
。3。新しいgrub.cfg構成ファイルを生成します。
15.ルートを制限して安全な端末にのみログインする
1.セキュア端末構成:/ etc / securetty
16.通常のユーザーはログインできません
1. / etc / nologinファイルを作成します2.nologinファイルを
削除するか、再起動後に通常に復元します
17.JRと呼ばれるJoththe Ripper
1.辞書のブルートフォースクラッキングをサポートする暗号分析ツール;
2。シャドウファイルのパスワード分析を通じて、パスワードの強度を検出できます;
3.公式ウェブサイト:http://www.openwall.com/john/
操作プロセス:
18.ネットワークスキャン
rpm -ivh /mnt/Packages/nmap-****.rpm installnmapソフトウェアパッケージ
nmap-sT(tcp接続スキャン)127.0.0.1、192.168.4.0 /
24 \ 192.168.4.100-200 -sU(UDPスキャン)127.0
.0.1、192.168.4.0 / 24 \ 192.168.4.100-200 -sP(icmp接続スキャン)127.0.0.1、192.168.4.0 /
24 \ 192.168.4.100-200 -sS(tcp syn接続スキャン)127.0.0.1、192.168。 4.0 / 24 \ 192.168.4.100-200
-p(指定されたポートスキャン)127.0.0.1、192.168.4.0 / 24 \ 192.168.4.100-200