linux系統安全-弱口令檢測和端口掃描
阿新 • • 發佈:2018-03-30
弱口令檢測 端口掃描 john NMAP 一、linux系統安全概要
二、詳細說明
1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立用戶(chattr +i)
2)密碼方面,設置密碼有效期可以做到提醒用戶定期更改密碼,避免長期使用同一密碼導致密碼被破解的情況(vim /etc/login.defs和chage -M);設置員工首次登陸更改密碼其實是為了員工在登陸賬號後更改屬於自己的密碼(chage -d 0)
3)眾所周知,默認的命令歷史會顯示之前敲過的1000條命令,假如linux被非法用戶使用,通過history查看命令歷史是一件很危險的事。所以,我們可以將命令歷史的行數改的比較短,或者註銷後直接清空來保證安全(export HISTSIZE=和vim ~/.bash_logout)。
5)工作中有時需要允許普通用戶登陸操作系統,但是普通用戶如果可以使用su切換用戶則存在比較大的危險性,通過啟用pam_wheel認證可以很好的避免此類情況的產生(vim /etc/pam.d/su);而通過修改/etc/sudoers文件可以為用戶分配一些必要的權限(visudo或vim /etc/sudoers)。
6)禁止ctrl+alt+del快件鍵可以成功避免工作的按鍵失誤帶來的無法估量的損失。我們可以統過修改/etc/init/control-alt-delete.conf文件,將該文件中的對應配置前加上#,讓它變為註釋即可。
7)建立grub密碼。通過grub引導時進入單用戶模式修改root密碼,可以說是一件很容易的事了。只要稍微了解linux系統的員工都可能做到這點。所以這樣我們的linux的安全性就無法保障,所以grub密碼修改是linux安全的必要做的一件事。首先我們通過grub-md5-crypt生成一個md5算法加密的密碼,然後我們修改/boot/grub/grub.conf文件,將生成的密碼粘貼到指定位置。
9)禁止不必要的用戶登錄。其實root用戶的權限太大,也是一個隱存的問題,如果root密碼泄露,被非法用戶登陸,後果不堪設想。我們通過修改配置,可以做到禁止root從某些終端登陸系統(vim /etc/securetty)。而大多時候普通用戶登陸操作系統是不必要且危險的,做法是在/etc下touch一個空文件nologin。
三、舉例演示
1)首先解壓Jhon的安裝包。
2)進入/usr/src/john.../src下,執行make clean linux-x86-64安裝john。
3)建立測試用戶zhangsan,密碼123;lisi,密碼1234
4)復制/etc/shadow(用戶密碼文件)到/root/shadow,執行/usr/src/john.../run/john掃描/root/shadow文件。
5)得出以下結果
2、端口掃描
1)找到光盤中的NMAP的rpm包,然後安裝
2)為linux配置一個IP地址,後面會掃描127.0.0.1,如果本地機不配置地址,無法掃描
3)掃描本地機開啟了什麽TCP/UDP端口
4)掃描本地機的UDP端口
5)掃描192.168.1.100到192.168.1.200有哪些機器開啟了20和21端口。(多個端口用“,”分隔,連續IP地址用“-”連接)
6)掃描192.168.1.0網段有哪些主機可以ping通
#補充nmap選項
-sF:tcp端口掃描
-sU:udp端口掃描
-sP:ICMP掃描,類似於ping檢測
-P0:跳過ping檢測,如果目標主機ping不通,則跳過掃描該主機
二、詳細說明
1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立用戶(chattr +i)
2)密碼方面,設置密碼有效期可以做到提醒用戶定期更改密碼,避免長期使用同一密碼導致密碼被破解的情況(vim /etc/login.defs和chage -M);設置員工首次登陸更改密碼其實是為了員工在登陸賬號後更改屬於自己的密碼(chage -d 0)
3)眾所周知,默認的命令歷史會顯示之前敲過的1000條命令,假如linux被非法用戶使用,通過history查看命令歷史是一件很危險的事。所以,我們可以將命令歷史的行數改的比較短,或者註銷後直接清空來保證安全(export HISTSIZE=和vim ~/.bash_logout)。
5)工作中有時需要允許普通用戶登陸操作系統,但是普通用戶如果可以使用su切換用戶則存在比較大的危險性,通過啟用pam_wheel認證可以很好的避免此類情況的產生(vim /etc/pam.d/su);而通過修改/etc/sudoers文件可以為用戶分配一些必要的權限(visudo或vim /etc/sudoers)。
6)禁止ctrl+alt+del快件鍵可以成功避免工作的按鍵失誤帶來的無法估量的損失。我們可以統過修改/etc/init/control-alt-delete.conf文件,將該文件中的對應配置前加上#,讓它變為註釋即可。
7)建立grub密碼。通過grub引導時進入單用戶模式修改root密碼,可以說是一件很容易的事了。只要稍微了解linux系統的員工都可能做到這點。所以這樣我們的linux的安全性就無法保障,所以grub密碼修改是linux安全的必要做的一件事。首先我們通過grub-md5-crypt生成一個md5算法加密的密碼,然後我們修改/boot/grub/grub.conf文件,將生成的密碼粘貼到指定位置。
9)禁止不必要的用戶登錄。其實root用戶的權限太大,也是一個隱存的問題,如果root密碼泄露,被非法用戶登陸,後果不堪設想。我們通過修改配置,可以做到禁止root從某些終端登陸系統(vim /etc/securetty)。而大多時候普通用戶登陸操作系統是不必要且危險的,做法是在/etc下touch一個空文件nologin。
三、舉例演示
1)首先解壓Jhon的安裝包。
2)進入/usr/src/john.../src下,執行make clean linux-x86-64安裝john。
3)建立測試用戶zhangsan,密碼123;lisi,密碼1234
4)復制/etc/shadow(用戶密碼文件)到/root/shadow,執行/usr/src/john.../run/john掃描/root/shadow文件。
5)得出以下結果
2、端口掃描
1)找到光盤中的NMAP的rpm包,然後安裝
2)為linux配置一個IP地址,後面會掃描127.0.0.1,如果本地機不配置地址,無法掃描
3)掃描本地機開啟了什麽TCP/UDP端口
4)掃描本地機的UDP端口
5)掃描192.168.1.100到192.168.1.200有哪些機器開啟了20和21端口。(多個端口用“,”分隔,連續IP地址用“-”連接)
6)掃描192.168.1.0網段有哪些主機可以ping通
#補充nmap選項
-sF:tcp端口掃描
-sU:udp端口掃描
-sP:ICMP掃描,類似於ping檢測
-P0:跳過ping檢測,如果目標主機ping不通,則跳過掃描該主機
linux系統安全-弱口令檢測和端口掃描