Liunx 防护与群集 系统安全加固

文件权限
chattr 
A：即Atime，告诉系统不要修改对这个文件的最后访问时间。
S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。
a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。
b：不更新文件或目录的最后存取时间。
c：将文件或目录压缩后存放。
d：当dump程序执行时，该文件或目录不会被dump备份。
D:检查压缩文件中的错误。
i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。
s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。
u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。
t:文件系统支持尾部合并（tail-merging）。
X：可以直接访问压缩文件的内容。

chattr     锁定文件
        +i 锁定文件，不允许修改，删除，重命名
        +a 锁定文件，可以追加，但不能删除，重命名等操作
lsattr     查看文件锁定状态

/etc/login.defs

PASS_MAX_DAYS   99999   密码最长使用期限，到期必须改密码
PASS_MIN_DAYS   0       密码最短使用期限，不到期不能改，0：随时可以改
PASS_MIN_LEN    5        密码最小长度
PASS_WARN_AGE   7        密码到期前7天提醒用户

PASS_MAX_DAYS   30        修改这一行只能影响新创建用户的期限

chage  -M  30  用户名    修改已有用户的密码最长期限

chage  -d  0   用户名    用户下次登录必须修改密码
     创建用户→→设置密码→→限制下次登录修改密码

/etc/profile
修改HISTSIZE=200：只保留200条历史命令记录

/home/用户名/.bash_logout下添加
history -c
clear
可以让用户在退出时清空历史记录

/etc/profile里添加
export  TMOUT=600
可以让所有新建用户在600秒无操作的时候自动注销

su                切换用户
su  -  用户名    不加-，只改变用户身份，不切换shell环境

root→其他用户，不需要密码
普通用户→其他用户，验证目标用户密码

限制用户使用su命令
1、用户加入wheel组
gpasswd  -a  用户名  wheel
2、修改/etc/pam.d/su文件
启用auth            required        pam_wheel.so use_uid  
没有经过认证的用户使用su命令的时候，会提示目标用户密码不正确  
  
sudo提升权限
visudo(vim /etc/sudoers) 
用户    主机名=操作
ldb        ALL=/bin/rpm    允许ldb用户在所有主机上使用/bin/rpm 
%组名    主机名=操作  

别名
User_Alias        用户列表别名
Host_alias        主机列表别名
Cmnd_Alias        操作列表别名  
  
User_Alias      UU=ldb,wcs,zyf
Host_Alias      HH=ALL
Cmnd_Alias      CC=/bin/rpm
UU      HH=NOPASSWD: CC
允许ldb,wcs,zyf三个用户可以在任何主机上不用密码验证就能执行rpm 
其他用户执行提权后的操作都会保存到日志 
Defaults logfile = "/var/log/sudo" 
普通用户执行命令的时候在命令前加sudo
sudo  systemctl restart network
  
设置只能通过密码进入grub引导菜单的设置
grub2-mkpasswd-pbkdf2        输入两次密码
从grub.pbkdf2...开始复制生成的密钥字符串
备份grub文件
cp  /boot/grub2/grub.cfg  /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
vim  /etc/grub.d/00_header  在文件末尾添加
cat << EOF
set superusers="root"
password_pbkdf2 root ....上面复制的字符串
EOF
重新生成grub文件
grub2-mkconfig -o /boot/grub2/grub.cfg
  
减少开放终端数量
vim /etc/init/start-ttys.conf
env ACTIVE_CONSOLES=/dev/tty[456]   只开放tty4、tty5、tty6
vim /etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[456]
  
限制root用户只能在tty3和tty5登录
vim  /etc/securetty 
文件内注释掉的就是不允许登录的终端

不允许普通用户登录
创建/etc/nologin
touch  /etc/nologin 

弱口令检测john
安装john
tar -zxf john-1.8.0.tar.gz
cd john-1.8.0/src
make clean linux-x86-64
使用john
cd ../run
cp  /etc/shadow  /root/pwd.txt
cd  john-1.8.0/run
./john /root/pwd.txt
查看破解结果
./john --show /root/pwd.txt

使用字典破解密码
(需要提前在password.lst文件中添加用户的密码)
./john --wordlist=./password.lst /root/pwd.txt
  
NMAP的扫描语法
nmap  [扫描类型]  [选项]  <扫描目标 ...>
常用的扫描类型
-sS，TCP SYN扫描（半开）
-sT，TCP 连接扫描（全开）
-sF，TCP FIN扫描
-sU，UDP扫描
-sP，ICMP扫描
-P0，跳过ping检测
-p，指定端口
-n，禁用DNS反向查询
  
查看192.168.1.1开放的TCP端口
nmap  -sT  192.168.1.1  -n
查看192.168.1.0网段开放的UDP端口
nmap -sU 192.168.1.0/24 -n
查看192.168.1.0网段开放的FTP端口
nmap -p 21 192.168.1.0/24 -n

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！