账号安全

chattr +i  (Ø可使文件不能被删除、改名,设置连接也无法写入或添加数据。对于系统安全性有很大帮助。只有root能设置此属性。)

         +a  (追加,仅允许在文件末尾,不能vim编辑,可以echo  ...  >>...)

         +c  (压缩,会自动将文件压缩,在读取时自动解压缩)

         +d  (dump,当dump程序执行时,设置d属性将可使改文件或目录不被dump备份)

         +s   (当文件设置s属性时,如果文件被删除,将从硬盘彻底删除)  

         +u  (与s相反,当文件设置u属性时,文件删除后数据内容还存在磁盘,可以使用来找回该文件)


lsattr(显示文件隐藏属性)

-a:将隐藏文件的属性也显示出来

-d:如果接的是目录,仅列出目录本身的属性而不是目录内的文件名

-R:连同子目录的数据也显示出来


密码安全

新建用户可以通过修改login.defs文件修改密码有效期

[root@localhost ~]# vim /etc/login.defs


PAM(专用于redhat系统)  

PASS_MIN_LEN的值需要在/etc/pam.d/system-auth文件中设置,login.defs中设置是不生效的,此参数由pam认证机制决定。

[root@localhost ~]# vim /etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1

dcredit=N(使用负数) 限制新密码中至少有多少个数字。

ucredit=N(使用负数) 限制新密码中至少有多少个大写字符。

lcredit=N (使用负数) 限制新密码中至少有多少个小写字符。

ocredit=N(使用负数) 限制新密码中至少有多少个其它的字符。



命令历史

/etc/profile  全局环境变量文件(用户不登陆无效)


为新登录的用户设置命令历史

[root@localhost ~]# vim /etc/profile

HISTSIZE=20

为已登录的当前用户设置命令历史

[root@localhost ~]# export HISTSIZE=200

清空历史命令

[root@localhost ~]# vim .bash_logout

history -c  

clear

空闲自动注销,新登录用户设置

[root@localhost ~]# vim /etc/profile

export TMOUT=600

当前已登录用户设置,一次性

[root@localhost ~]# export TMOUT=600  


用户切换与提权

su命令 —— 切换用户

进入到当前用户的对应目录

[root@localhost ~]# su zhangsan   

不采用当前用户的目录信息

[root@localhost ~]# su - zhangsan   

只允许指定的用户使用su进行切换

[root@localhost ~]# gpasswd -a zhangsan wheel

[root@localhost ~]# vim /etc/pam.d/su


sudo 命令 —— 提升执行权限

/etc/sudoers

[root@localhost ~]# visudo

zhangsan  localhost=/sbin/ifconfig  

lisi localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route

%wheel  ALL=NOPASSWD: ALL

备注:

user MACHINE=COMMANDS,多个命令可以用逗号隔开

ALL=NOPASSWD: ALL 表示无需验证密码即可执行任何命令

lisi  ALL=(ALL)  NOPASSWD: ALL


sudo日志

[root@localhost ~]# visudo

添加:

Defaults logfile = "/var/log/sudo"

验证

使用lisi用户执行命令

[root@localhost ~]# su - lisi

[lisi@localhost ~]$ sudo lvscan

 ACTIVE            '/dev/centos/swap' [4.00 GiB] inherit

 ACTIVE            '/dev/centos/root' [193.99 GiB] inherit

[lisi@localhost ~]$ exit

[root@localhost ~]# cat /var/log/sudo  

Jun 23 20:20:02 : lisi : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=/sbin/lvscan

grub引导密码

密文:字符加密

[root@localhost ~]# grub2-mkpasswd-pbkdf2

输入口令:

Reenter password:  

PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.2FC29375F7DCBEC6F8D28444EEC806FBC572A3BA3185B7D1F9FA5708D58719DC8A3C2F7FB1EA33B407B9B98691354D49089118049BF5672E5E51BBE59807EA65.5FD51B1C7FAEFD9F3F6E51D027EF3024AEA90B2633309020F2AB3BBB48444FC4435DBFB6578B8B49DF2D393D03FC564B23936C6C5F10A4FE37392C0054462AEC

[root@localhost ~]# vim /etc/grub.d/01_users

cat << EOF

set superusers="root"

export superusers

password_pbkdf2 root grub.pbkdf2.sha512.10000.2FC29375F7DCBEC6F8D28444EEC806FBC572A3BA3185B7D1F9FA5 708D58719DC8A3C2F7FB1EA33B407B9B98691354D49089118049BF5672E5E51BBE59807EA65.5FD51B1C7FAEFD9F3F6E51D027EF3024AEA90B2633309020F2AB3BBB48444FC4435DBFB6578B8B49DF2D393D03FC564B23936C6C5F10A4FE37392C0054462AEC

EOF

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

重启进入GRUB测试密码

在GRUB菜单处第一行按下字母e,提示输入账号和密码

明文:不加密

[root@localhost ~]# vi /etc/grub.d/01_users

cat << EOF

set superusers="root"

password root pwd123

EOF

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg


终端

tty(6个)

[root@localhost ~]# vi /etc/securetty

若要禁止 root 用户从 tty5、tty6 登录,就注释掉tty5和tty6

#tty5  

#tty6

修改能登陆的终端数量

[root@localhost ~]# vim /etc/systemd/logind.conf

NAutoVTs=12


[root@localhost ~]# systemctl restart systemd-logind

禁止普通用户登录

[root@localhost ~]# touch /etc/nologin


密码字典

1:安装 John the Ripper

[root@localhost ~]# tar zxf john-1.8.0.tar.gz  

[root@localhost ~]# cd john-1.8.0

[root@localhost john-1.8.0]# cd src/  

[root@localhost src]# yum -y install gcc

[root@localhost src]# make clean linux-x86-64


2:检测弱口令

[root@localhost src]# cp /etc/shadow /root/shadow.txt

[root@localhost src]# cd /root/john-1.8.0/run/

[root@localhost run]# ./john /root/shadow.txt  

查看检测结果

[root@localhost run]# ./john --show /root/shadow.txt


3:使用密码字典检测

[root@localhost run]# vim /root/pass.list

编写密码字典,将所有的用户密码写进去

[root@localhost run]# ./john --wordlist=/root/pass.list /root/shadow.txt

[root@localhost run]# ./john --show /root/shadow.txt  

root:aptech::0:99999:7:::

lisi:111:19166:0:50:7:::

2 password hashes cracked, 1 left



网络扫描

1:安装NMAP包

[root@localhost ~]# yum install -y nmap


2:扫描语法及类型

[root@localhost ~]# nmap 127.0.0.1

[root@localhost ~]# nmap -sU 127.0.0.1  ##扫描常用端口

[root@localhost ~]# ifconfig

[root@localhost ~]# nmap -p 21 192.168.10.0/24    ##扫描网段中哪些主机启用的端口21

[root@localhost ~]# nmap -n -sP 192.168.10.0/24   ##扫描存活主机

[root@localhost ~]# nmap -p 139,445 192.168.10.10-20    扫描主机是否开了共享

注释:

sS,TCP SYN 扫描(半开扫描):只向目标发出 SYN 数据包,如果收到 SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。  

-sT,TCP 连接扫描:这是完整的 TCP 扫描方式,用来建立一个 TCP 连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。  

-sF,TCP FIN 扫描:开放的端口会忽略这种数据包,关闭的端口会回应 RST 数据包。许多防火墙只对 SYN 数据包进行简单过滤,而忽略了其他形式的 TCP 包。这种类型的扫描可间接检测防火墙的健壮性。  

-sU,UDP 扫描:探测目标主机提供哪些 UDP 服务,UDP 扫描的速度会比较慢。  

-sP,ICMP 扫描:类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描。  

-P0,跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应 ICMP请求时,使用这种方式可以避免因无法 ping 通而放弃扫描。