1、为grub设置密码的命令

grub-md5-crypt

2、写出chage命令各个参数的意义

chage 更改用户密码的扩展信息
选项:
 -d 最近日期    将最近一次密码设置时间设为“最近日期”
 -E 过期日期    将帐户过期时间设为“过期日期”
 -h            显示此帮助信息并退出
 -I 失效密码    将因过期而失效的密码设为“失效密码”
 -l            显示帐户年龄信息
 -m 最小天数    将两次改变密码之间相距的最小天数设为“最小天数”
 -M 最大天数    将两次改变密码之间相距的最大天数设为“最大天数”
 -W 警告天数    将过期警告天数设为“警告天数”


3、linux使用什么权限机制使普通用户可以修改密码?

linux通过给passwd命令添加suid,使普通用户访问/etc/passwd文件的时候使用的是所有者root的权限。

4、请见要解释/tmp目录权限设置成1777的意义

是添加了sticky。是为了防止像A 用户创建的文件在/tmp下被B 用户删除的情况,因为所有用户对/tmp目录的操作权限,包括删除里面的文件,虽然设置了其他用户无权限,但是用户B在进入/tmp目录的时候,目录检查改用在这个目录下有读写的,那么就可以把A 用户的文件删掉,因为目录权限只管理用户能不能在下边写入文件,文件全限制管理文件的写入权限,这两个权限是不一样的。

5、请写出能将/var/log/message文件设置为只能追加,不能修改。不能删除的命令

chattr +a /var/log/message

6、请写出能将/etc/fstab/文件设置为不可边的命令

chattr +i /etc/fstab

7、请写出能让zorro,sherk,root同时对/tmp/test文件有写权限,其他用户只有读权限的命令

使用zorro用户创建一个文件file。
touch /tmp/file
chmod 644 /tmp/file
setfacl -m u:sherk:w /tmp/file
这样这三个用户就同时拥有了写权限,并且其他人只有读的权限。

8、需要对shrek帐户限制只能从tty1登录,请写出需要在那些配置文件中添加那些内容

vim /etc/pam.d/login 在account上面添加一条:“account  required  pam_access.so”
vim /etc/security/access.conf 添加一条:“-:shrek:ALL EXCEPT TTY1”

9、请写出用tcpwarppers机制限制用户从192.168.0.0/24网段登录sshd,并将试图登录的信息记录日志的配置方法

vim /etc/hosts.deny
sshd: 192.168.0. : spawn echo "%a want access %d!" >> /var/log/sshd.log


10、如何为sshd设置一个黑名单/etc/sshduser,请写出需要修改的文件和需要添加的内容

touch /tmp/sshdlimit.lst
echo zorro >> /tmp/sshdlimit.lst
vim /etc/pam.d/sshd
account  required  pam_listfile.so item=user sense=deny file=/tmp/sshdlimit.lst
service xinetd restart

11、请写出如何将telnet服务限制只能从192.168.0.0/24网段登录,总连接数不能超过10个,每个客户端同时登录不得超过2个,并且在系统负载均值高于3是自动关闭telnet服务

vim /etc/xinetd.d/krb5-telnet

service telnet
{
flags           = REUSE 是否可以多人同时使用该端口
socket_type     = stream 按照顺序到达(stream使用TCP,dgram使用udp,seqpacket使用的是一种新的sctp流控制传输协议。)
wait            = no 是否打开可靠的协议支持(停止等待协议)
user            = root 当前程序运行的身份
server          = /usr/kerberos/sbin/telnetd 程序路径在什么地方
log_on_failure  += USERID 在产生错误的时候,需要把uid也报告出来
disable         = no 开启telnet服务
instances = 10 连接总数限制,这里代表最多能登陆10个用户。
only_from = 192.168.0. 指定可以登录的网段,只允许192.168.0.0/24这个网段登陆
max_load = 3 这里指一分钟内的平均系统指数达到了3,则关闭telnet服务。
per_source = 2             每个客户端同时登录不得超过2个
}

12、如何让192.168.0.1的日志记录在192.168.0.254上,请写出分别在两端的操作何配置

******

13、请写出拒绝192.168.0.0/24网段访问本机sshd端口的iptables命令

iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j DROP

14、请写出如何让sshd实现只能scp拷贝文件,但是不能ssh登录的iptables命令

* iptables -A INPUT -p tcp --dport 22 -m tos --tos 16 -j DROP

15、请写出如何让192.168.0.254实现能ping通192.168.0.1但是192.168.0.1不能ping通192.168.0.254的iptables命令

iptables -A INPUT -s 192.168.0.233 -p icmp --icmp-type 8 -m state --state new -j DROP

16、如设置linux抗拒针对tcp的synflood***

这里我使用的是用iptables忽略所有ping包,大到了所预期的效果,还可以通过更改网段来实现跟大范围作用。
iptables -A INPUT -s 192.168.0.0/24 -p icmp --icmp-type 8 -m state --state new -j DROP

* 同样也可以使用别的方法:
vim /proc/sys/net/ipv4/tcp_synack_retries (改变服务器端回复ACK的次数,把值调小)
vim /proc/sys/net/ipv4/tcp_max_sys_backlog (改变半连接池的个数,把半连接池调大)

--------------
1、请设计针对linux系统保护账户安全的方案

(1)添加grub密码,防止单用户模式更改root密码
(2)添加BIOS密码防止用户使用系统盘干掉grub密码
(3)主机加锁防止打开机箱取下bios电池(防止bios密码失效)
(4)停用root用户,新建一个别的用户,将uid和gid设置为0
(5)经常更换密码,并且密码长度要足够长,复杂度要高,并且不要跟跟自己的真实信息相关

2、请写出你所知道的常见网络***方式



3、请为你所管理的本地网络设计一个实施方案防止arp欺骗

(1)使用ppp协议,不进行广播,进行点对点的数据通信。能够防止网络之间的arp欺骗。
(2)使用ipv6协议。不会用到arp,也就没有了arp欺骗

4、请写出监控流量的脚本



5、请写出rpm -V 显示的得想参数的意义 

rpm -V 

S 大小被更改过
5 表示MD5校验核变了
T 表示MTIME变了
M 文件的权限变化
U 文件所属用户发生了变化
G 文件所属组发生了变化
D 设备的注设备号和辅助设备号变了 

6、请写出可以查找出系统中被设置了suid权限的文件的命令

find / -perm -4000

7、请简要介绍md5sum命令的功能和意义

md5sum /tmp/test.txt
e2995fb79ccce1ebc72d74a7a53387fe  /tmp/test.txt

通过md5sum 命令,我们可以计算出文件的md5哈希值,因为哈希算法进行计算的时候,一个值通过计算一定得到一个确定的md5码。若/tmp/test.txt发生变,则md5肯定会发生变化。以这个哈希值的变化与否来确定文件时不时被修改了。用来确定数据的完整性。

8、请写出你对系统安全的认识

系统安全包括本地安全和网络安全,本地安全是保护主机和数据以及其账户的安全。网络安全是保证主机在与其他主机进行通信的时候,不被窃听,篡改和截获丢弃,保证通信的安全性和。同时要防护主机不受外界***,可以通过iptables进行防火墙设置。也可以通过xinetd、tcp_warppers进行设置对访问进行控制。以达到计算机的安全。