このブログ内の記事は、Liunxシステム(CentOSに7に基づいて、すべての実験)セキュリティのさまざまな側面についての知識についてのだろう実際に7つの実験によって示されたことでした。
内容:
- アカウントファイル制御(ロック)
- コントロールの歴史
- アカウントパスワードエージング管理
- アカウントのセキュリティハンドオーバ
- sudoコマンドは右に言及します
- GRUBメニューの管理
- NMAPスキャン
まず、アカウントのドキュメント制御(ロック)
ユーザーアカウント制御のためのアカウントファイルは実際には(パスワード)ファイルをロックし、ロックを解除、ファイルは、アカウントとパスワードをロックした後、サーバは、新規ユーザーを作成することができません。
実装手順:
1、入力し、ロックする前の状態を表示するには、アカウントファイル:
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
2、アカウントがロックされたファイルであるとロックの状態を表示、入力します。
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
3、追加userコマンド(useraddの)を使用して、それが不可能なユーザーを追加することができます。
[root@localhost ~]# useradd tasetplayer
第二に、制御履歴
Linuxでは、歴史的な記録の完全な保存が、それは非常に危険です、前の入力を命令し、一度の操作は、前の歴史によって推論て実行の歴史に入ることができるようになります。だから我々は、履歴テーブルの容量を制限する必要があります。
実装手順:
1、設定ファイルを変更 - システム全体のために:
[root@localhost ~]# vim /etc/profile
図2に示すように、構成ファイルに変更する後者の数字「HISTSIZE」を見つけます
(デフォルトでは1000年の歴史まで保存することができた、1000)
3、この時間は、設定ファイルの変更が終了、しかし実際には実行されませんが、あなたが再起動するか、または入力する必要があります。
[root@localhost ~]# source /etc/profileただ、有効にするに変更したコンフィギュレーションファイル、設定ファイルを再実行します。
1、設定ファイルを変更 - ユーザーのために
[root@localhost ~]# vim /home/zhy/.bash_logoutここで、「/ホーム/ ZHY」ユーザのホームディレクトリを表します
2、ユーザーのプロファイルに手動で追加します。
-c歴史
をクリア
第三に、アカウントのパスワードエージング管理
実験1:
パスワードの有効期限を設定し
たときにユーザー次回ログインパスワード要件を変更するには
#1のvimに/etc/login.defs [localhostの〜@ルート]
......
PASS_MAX_DAYS 30(元のユーザーのために有効な新しいユーザーには適用が変更されません)
[ルート@ localhostの〜]#のvimのは/ etc / shadowの(記事コマンドは、既存のユーザーの妥当性を修正するために)
除了上面的两条命令能够控制用户有效期的长短:
[root@localhost ~]# chage -d 0 wangwu(强制在下次登录时更改密码)
强烈建议不要使用这条命令!!!!因为你的新密码基本不会设置成功(即使满足密码复杂性的要求),会有各种各样的问题出现!!
例如:这样的
这样的
还有这样的
四、账户安全切换
通常情况下,哪怕是普通用户也可以使用“su”命令在多个账户间进行切换,从而有机会反复尝试其他用户(如root)的登录密码,带来非常大的安全风险。
为了加强su命令的使用控制,可借助pam_wheel认证模块,只允许个别用户使用su命令(在wheel组中的用户)进行切换。
实现过程:
1、将想要授权的用户移入wheel,输入命令:
[root@localhost ~]# gpasswd -a zhaosi wheel
[root@localhost ~]# cat /etc/group | grep wheel
2、修改/etc/pam.d/su认证配置,用来启用pam_wheel认证
[root@localhost ~]# vim /etc/pam.d/su
......
auth sufficient pam_rootok.so
......
#auth required pam_wheel.so use_uid(将该行前面的#去掉以启用认证模块)
......3、配置完成后,我们只是将“zhaosi”加入wheel组中,所以其它用户将无法使用su命令进行用户之间的切换
[wangwu@localhost ~]$ su - root
密码:
su: 拒绝权限
[wangwu@localhost ~]$ (切换失败,仍为原来用户)五、sudo命令提权
在Liunx中,说到既可以让普通用户拥有一部分的管理权限,又可以不知道root密码的命令。那说的一定就是sudo命令了!!只要管理员提前进行授权,就可以让指定的普通用户拥有一部分管理权限。
1、在配置文件/etc/sudoers中添加授权(也可以直接使用visudo工具直接进行授权)
[root@localhost ~]# visudo
......
wangwu localhost=/usr/sbin/ifconfig(为wangwu提供ifconfig命令的授权)
:wq
2、通过sudo执行特权命令
对于已授权的用户,通过sudo执行时,只要在正常的命令之前加上sudo即可。
[wangwu@localhost ~]$ /sbin/ifconfig ens33 192.168.1.11/24(未用sudo的情况)
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
SIOCSIFNETMASK: 不允许的操作
[wangwu@localhost ~]$ sudo /sbin/ifconfig ens33 192.168.1.11/24(使用sudo的情况)
......
[sudo] wangwu 的密码:
[wangwu@localhost ~]$ ifconfig (验证执行结果)
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.11 netmask 255.255.255.0 broadcast 192.168.1.255
六、grub菜单管理
一度破壊されたプロセスを開始するための前提条件としてGRUBメニューには、システムを入力しないようにつながります。通常、大きな問題のgrrubメニューは表示されません。ブログは、問題のシングルユーザーモードパラメータにgrubのブートを変更することによって、システムを修復するには導入された前しかし、このアプローチは、システムにパワーオン・パスワードをバイパスし、root権限を持つことができます。
この方法は良いですが、セキュリティの観点から、誰もが自分自身は、サーバーのに大きな脅威であるGRUBパラメータを変更することで、ルート権限を取得することができます。だから、これを防ぐために、我々は、GRUBメニューに個別のパスワードを設定することができます。
1、実験は失敗した原因をする場合には、それぞれのGRUBメニューファイルとバックアップのためにそのヘッダファイルは、起動することはできません
[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
図2に示すように、必要なパスワードハッシュGRUBメニュー(ハッシュ値)を生成するために設けられています。
[root@localhost ~]# grub2-mkpasswd-pbkdf2 3、GRUBメニューヘッダーを設定
[root@localhost ~]# vim /etc/grub.d/00_header
具体的な変更の手順:
Gは、入力(O)ヘッド位置決め文書の終わり、および次の行に押圧される
「猫<< EOF」入力
入力「スーパーユーザを設定=」ルート「」
入力の最後の行「ルートpasswd_pbkdf2」の前に計算されたハッシュ値
(保存WQました:終了)
4、GRUBの設定を再作成します
[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
これは、GRUBメニューパスワードが設定されている、あなたはGRUBの設定を入力したい次回は、あなたが入力したパスワードを入力する必要があります完了します。
七、NMAPスキャン - スキャンポート
NMAPスキャン文法
フォーマット:nmapの[検索の種類]、[オプション] <...スキャン対象>
一般的なスキャンの種類:
-絵:SYNは、TCPスキャン
-sTを:スキャンに接続されているTCP
TCP FINスキャン:-sF
-sU:UDPスキャン
-sPます。pingの検出
-P0 :検出のpingをスキップ
実験手順:
1、インストールツールNMAPスキャン
[root@localhost ~]# yum install nmap -y
2.お使いの携帯電話をチェックし、特定のポートサービスによってツールの外側になっています
TCPポートオープンサービス
[root@localhost ~]# nmap -sT 127.0.0.1
オープンUDPポートサービス
[root@localhost ~]# nmap -sU 127.0.0.1
