Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

一、系统账号清理

1.1 将非登录用户的shell设为/sbin/nologin
useradd tom2
passwd tom2
usermod tom2 -s /sbin/nologin
cat /etc/passwd
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)1.2 锁定长期不用的账号
方法一: usermod -L tom2
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
解锁账号
usermod -U tom2

方法二:进入vi /etc/shadow 将tom2的账号内容前面加!,也能实现不能登录的效果

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
1.2 删除无用的账号
userdel tom2
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
1.3 锁定账号文件passwd 、shadow

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
解锁账号文件passwd 、shadow
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
1.3 密码安全控制
(1)设置密码有效期
方法一:适用于新建用户
vi /etc/login.defs

PASS_MAX_DAYS 30
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
方法二:适用于已有用户
chage -M 30 tom3 //将用户tom3账号密码有效期设置为30天
chage -d 0 tom3 //将用户tom3下一次的登录需要重新修改密码
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
1.4 命令历史限制
vi /etc/profile
HISTSIZE=200 //限制200条命令跳数
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

1.5 注销时自动清空命令历史
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
1.6 闲置600秒后自动注销
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

二、使用su命令切换用户

2.1 限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
  • 启用pam_wheel认证模块
    useradd tom1
    passwd tom1
    gpasswd -a tom1 wheel
    vi /ect/pam.d/su
    auth sufficient pam_rootok.so
    auth required pam_wheel.so use_uid
    将这两句的前面的#去掉
    Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
    Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)2.2 查看su操作记录
    安全日志文件:/var/log/secure
    2.3 PAM认证原理
    Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

三、使用sudo机制提升权限

  • 配置sudo授权 visudo 或者 vi /etc/sudoers
  • 记录格式 用户 主机名列表 = 命令程序列表

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

四、开关机安全控制

4.1 调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为setup,并设置管理员密码
    开机快速按fn+F2,进去BIOS界面,选择左右键移到BOOt修改引导启动
    shift+,- 来调整。
    Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)4.2 grub限制
    centos7添加grub密码

(1)添加 密码
[[email protected] ~]# grub2-setpassword
Enter password:
Confirm password:

(2)查看是否添加
[[email protected] /]# cat /boot/grub2/user.cfg
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.9970689C89C0F2207DDD67AFDD309744908B84E5D2D6887F59307E3C9FD529568B8EC123E7CFB9323D7C70922D1258C632931EC38D178EAC3E49B3576858D1AE.DF9497BC3BD8C409CCAD08262A125986554755A02208D89A70F4D327C08848234C7954259950A73790D0F603925A73D5808459EC334C4AEC9A1A41C7F75A0D5D
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)验证:
reboot
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)重启快速按“e”进入
输入账户密码即可进入

五、终端控制

Linux的终端就是控制台,是用户与内核交互的平台
Ctrl+Alt+F1组合键,可切换到第一个图形界面
Ctrl+Alt+F2 组合键可切换到第一个终端,依次到F6共是6个终端
5.1 禁止Ctrl+Alt+del快捷键
方法一: vi /etc/securetty 之后重启查看尝试设置

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)方法二:
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

六、禁止普通用户登录

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)touch /etc/nologin //禁止普通用户登录
rm -rf /etc/nologin //撤销禁止普通用户登录

五、系统弱口令检测

5.1 安装JR工具
安装方法make clean系统类型

5.2 检测弱口令账号
获得Linux/unix服务器的shadow文件
执行John程序,将shadow文件作为参数

[[email protected] opt]# tar zxvf john-1.8.0.tar.gz -C /opt/john //解压缩文件
[[email protected] john]# ls -a
. … john-1.8.0
[[email protected] john]# cd john-1.8.0/
[[email protected] john-1.8.0]# ll
总用量 4
drwxr-xr-x. 2 root root 208 6月 22 19:45 doc
lrwxrwxrwx. 1 root root 10 5月 30 2013 README -> doc/README
drwxr-xr-x. 2 root root 143 6月 22 19:45 run
drwxr-xr-x. 2 root root 4096 6月 22 19:45 src
[[email protected] src]# make clean linux-x86-64 //进行编译
[[email protected] src]# cp /etc/shadow /root/shadow.txt //准备带**的密码文件
[[email protected] john-1.8.0]# cd run/
[[email protected] run]# ./john /root/shadow.txt //执行暴力**
[[email protected] run]# ./john --show /root/shadow.txt

Session aborted
[[email protected] run]# ./john --show /root/shadow.txt //查看已**的文件
tom1:123:18435:0:99999:7:::
tom3:123:0:0:9999:7:::
2 password hashes cracked, 2 leftLinux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

5.3 密码文件的暴力**
准备好密码字典文件,默认为passwd.lst
执行John程序,结合–Wordlist=字典文件

Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)

六、namp命令

七、案例