基本安全措施
1.系统账号
将非登陆的用户shell设置为程序用户
方法一:usermod -s 将shell改为/sbin/nologin
方法二:chsh命令,交互式修改
方法三:chsh -s
2.锁定长期不使用的账号
方法一:passwd -l 解锁passwd -u 查看 passwd -S
方法二:usermod -L 解锁usermod -U
3.删除账号文件
方法一:userdel
4.锁定账号文件
锁定:chattr +i /etc/passwd /etc/shadow
解锁:chattr -i /etc/passwd/ /etc/shdow
查看:lsattr /etc/passwd /etc/shadow
5.密码安全控制
设置密码有效期
方法一:chage -M
方法二:passwd -x
设置默认密码有效期
方法:vim编辑/etc/login.defs文件。修改“PASS_MAX_DAY”后面的数值
6.要求用户下次登陆时修改密码
方法一:chage -d 0
命令历史限制
1.减少历史的命令条数
方法一:vim编辑/etc/profie文件,修改“HISTSIZE”后面的数值
方法二:export HISTSIZE=数值
2.注销时自动清空历史命令
方法:vim编辑宿主目录下的“bash_logout”文件,添加“history-c”
3.终端自动注销
方法一:vim编辑/etc/profile文件,添加TMOUT=数值
方法二:export TMOUT=数值
su
作用:切换用户
格式:su 【-】 目标用户
查看su操作记录
安全日志文件:/var/log/secure
sudo
作用:提升权限
配置sudo授权
方法一:添加单个用户的sudo授权
格式:用户 主机名列表=命令程序列表,命令前加!表示“除了”此命令
方法二:批量授权
wheel组
查看sudo操作记录
第一步:visudo 或 vim /etc/sudoers 添加 “Defaults logfile=/var/log/sudo”
第二步:cat/var/log/sudo
弱口令检测
下载密码分析工具,定期尝试对shadow文件进行弱口令检测,检测到弱口令后,让该用户下次登陆强制跟换密码
SNMP
作用:端口检测
个数:nmap 【扫描类型】【选项】<扫描目标>
常用的扫描类型
sS:TCP SYN扫描
sT:TCP链接扫描
sF:TCP FIN扫描
sU:UDP 扫描
sP:ICMP扫描
sO:跳过ping检测
常用选项:
n:禁止DNS反向解析
p:指定端口号