まず、セキュリティ制御を占めます
第二に、システムの起動とログオン制御
第三に、弱いパスワードの検出
第四に、ポートスキャン
まず、基本的なアカウントのセキュリティ対策
1.システムアカウントのクリーンアップ
- 非ログインユーザのシェルを/ sbinに/ nologinに
- ロックされたアカウントの長期未使用
- 未使用アカウントを削除
- アカウントファイルのpasswdをロック、シャドウ
2.ファイルロック、アンロック、および表示コマンド - chattrは+ I / etc / passwdファイルは/ etc /影
- chattrは+ I / etc / passwdファイルは/ etc /影
- lssttr / etc / passwdファイルは/ etc /影
パスワードのセキュリティ制御
1.設定パスワードの有効期限
2.パスワードを使用すると、次回ログイン時に変更することをユーザに要求します
- VIMに/etc/login.defs(新規ユーザーを作成する):パスワードのプロパティファイルを変更します
- 有効なパスワード変更:(既存のユーザー用)CHAGE -M 30リージ
- 既存のユーザーのログインパスワードを変更するユーザーの場合:チャゲは0リージを-d
コマンド履歴リミット(/環境変数ファイルetc / profileをシステム)
- コマンドのレコード数を減らし(デフォルト1000)
- 自動flushコマンド履歴ログオフするとき
- [ルート@ localhostの〜]#viのは/ etc / profile
- HISTSIZE = 200
ターミナル自動的にログオフ
- 600秒間アイドル後の自動ログオフ
- [ルート@ localhostの〜]#viの〜/ .bash_profileの
- 輸出TMOUT = 600
- 閲覧履歴コマンド履歴レコード
- vimのetc / profileを変更
- ソースは/ etc / profile:エフェクトの変更を取ります
- 入力:履歴表示履歴再び
蘇コマンドスイッチのユーザー
の使用および方法
- 用途:代替ユーザー、ユーザーの切り替えを
- フォーマット:SU - ターゲット・ユーザー(bashの環境)
- パスワード認証
- ルート→すべてのユーザーではなく、パスワード認証
- 他のユーザーへ→普通のユーザーは、そのターゲットユーザのパスワードを確認
- [ジェリー@ localhostの〜] $のsu -root
- パスワード:[ルート@ localhostの〜] #whomi
suコマンドのユーザーの使用を制限
- suコマンドは、ユーザーがwheelグループに参加することができます
PAM Linuxのセキュリティ認定
セキュリティは、suコマンドをリスク
デフォルトでは下他のユーザーが(rootで)何度も何度も試す機会を持つように、任意のユーザーは、suコマンドを使用することを許可されたログインパスワード、セキュリティリスク
suコマンドの使用を強化するためには、コントロール、PAM認証モジュールを用いて、ごく少数のユーザーがsuコマンドスイッチに
、それもあり、非常に便利で柔軟なユーザレベルの認証であるPAM(プラグ可能な認証モジュール)プラグ可能な認証モジュールを、現在の認証方法は、一般的にLinuxサーバを使用していました。
PAM認証原則の
ためPAM認定一般的なフォロー:.サービス(サービス)→PAM(プロファイル)→PAM _ * SO
PAM認証は最初の/は/ etcに(適切なPAM設定ファイルをロードし、その後、サービスのどの、と判断しなければなりませんpam.d下)の下で/ libに/セキュリティにあり、最後の呼び出しの認証ファイル()は、セキュア認証用
サーバーにのユーザー・アクセス、サーバープログラムが認証のためのユーザのPAMモジュールに要求を送信するサービスである
、さまざまなアプリケーション PAMモジュールは異なるに対応しています
PAM認証の設定
プログラムは、PAM認証をサポートするかどうかを確認するには、lsコマンドを使用することができます
PAM安全認証プロセス
制御タイプも返さPAM認証結果のタイプのために、制御フラグを参照することができます
- 1.required継続的な失敗を検証しますが、リターンは失敗
- 2.requisite失敗に戻り、タイムズは、全体の検証プロセスへの即時終了であることを確認します
- 3.sufficient成功した検証はすぐに戻ります、それは結果を無視して続行そうでない場合は、継続しません
- 4.optionalを認証するために使用されていない、唯一の表示情報(一般セッションのために使用されるタイプ)
昇格した権限を使用して須藤メカニズム
の欠点1.suコマンド
の目的と方法2.sudoコマンドを
- 用途:コマンド(rootなど)、別のユーザーとして実行を許可
- 使用方法:sudoのコマンド認可
3.設定のsudo認証 - visudoをまたはVIの/ etc / sudoersファイル
- 撮影フォーマット:ユーザー=ホスト名のリストは、プログラムリストを命じるBR /> [ルート@ localhot〜] #visudo
......
%ホイールALL = NOPASSWD:ALL
ジェリーローカルホスト=の/ sbin / ifconfigコマンド
!Syrianerローカルホスト= / sbinに/ *、/ sbinに/ !ifconfigコマンド、/ sbinに/ルート
Cmnd_Aliasののpkgtools = / binに/ RPM、/ YSR / binに/ yumの
マイク・ローカルホスト=のpkgtools
%:グループに表し
、すべてのALL代わっを
第二に、安全制御スイッチ
1.安全制御スイッチ
提供するBIOSブートを調整します
- 現在のシステムのハードディスクに設定最初の起動デバイスを
- ブートは、別のデバイス(CD-ROM、Uディスク、ネットワーク)を禁止します
- セキュリティレベルsetopを設定し、管理者パスワードの設定
GRUBの制限を - 生成された秘密鍵を使用してGRUB2-あるmkpasswd-PBKDF2
- キーレコードを追加、/etc/grub.d/00_heardファイルを変更
- 新しい設定ファイルを生成grub.cfg
第三に、弱いパスワードの検出
1.システムが弱いパスワードを検出し、
- JRと呼ばJothリッパー、
- ブルートフォース辞書をサポートするコード解析ツール
- パスワードの強度を解析することにより、パスワードのshadowファイルを検出することができます
- 公式サイト:http://www.openwall.com/john/
2.ツールJRをインストール
- インストール:クリーンなシステムの種類を作ります
- ジョンへのメインプログラムファイル
- 弱いパスワードのアカウントを検出
- shadowファイルのLinux / Unixサーバをゲット
- ジョン・プログラムの実行、パラメータとしてshadowファイル
- ブルートフォースパスワードファイル
- レディーパスワード辞書ファイルは、デフォルトであるにpassword.lst
- --wordlist =辞書ファイルと組み合わせるジョン・プログラムの実行、