目錄
-
- 一、開關機安全控制
-
- 1.1 調整BIOS引導設定
- 1.2 限制更改GRUB參數
- 1.3終端登入控制
-
- 1.3.1禁止root登入
- 1.3.2 禁止普通使用者登入
- 二、弱密碼檢測,端口掃描。
-
- 2.1弱密碼檢測——Joth the Ripper
- 2.2 網絡掃描——NMAP
- 在網際網路環境中,大部分伺服器是通過遠端登入的方式來管理的,而本地引導和終端登入登入往往容易被忽視,進而留下安全隐患。
- 當伺服器所在的機房環境缺乏嚴格、安全的管控制度時,如何防止其他使用者的非授權介入,就成為重視的問題。
一、開關機安全控制
1.1 調整BIOS引導設定
- 第一優先引導設定(First Boot Device)設為目前系統所在磁盤。
- 禁止從其他裝置(如CD光牒、U盤、網絡等)引導系統,對應的項設為"Disable"
- 将BIOS的安全級别改為“setup”,并設定好管理密碼,以防止未授權的修改。
1.2 限制更改GRUB參數
- 我們可以通過修改GRUB引導參數進入單使用者模式,以便對一些問題進行修複。這種方式不需要密碼即可以系統,而且擁有root權限,隻應在緊急情況下授權使用。
- 從系統安全的角度來看,這種操作對伺服器本身是一個極大的威脅,為了加強對引導程序的安全,可以為GRUB菜單設定一個密碼,隻有提供正确的密碼才允許修改引導參數。
- 為GRUB菜單的密碼建議采用“”
[[email protected] ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak ##備份/boot/grub2/grub.cfg檔案
[[email protected] ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak ##備份 /etc/grub.d/00_header檔案
您在 /var/spool/mail/root 中有新郵件
[[email protected] ~]# grub2-mkpasswd-pbkdf2 ## 設定密碼
輸入密碼:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.E95B023DE28491A5F5A34B18C5C6CE9F74695A15FB17F48E04630B04DCB8E9A21EE3322C02311DEF3049654B5F64DD7A455BDF707FD304F4DB6ABC51A0F12321.08CF42CC9225D539DB130989F5445BDE2995B3691CE5806F075CBB51AD3084BA5E9B7C04EFC9D5BEEA8782CCDAA3105FA45AD9F534B5473FD91EB20556453EEB ## 'is 後面的内容就是通過加密算法将123456789生成的加密密碼'
# vim /etc/grub.d/00_header ## 編輯配置檔案
cat << EOF
set superusers="root"
passwd_pbkdf2 root grub.pbkdf2.sha512.10000.E95B023DE28491A5F5A34B18C5C6CE9F74695A15FB17F48E04630B04DCB8E9A21EE3322C02311DEF3049654B5F64DD7A455BDF707FD304F4DB6ABC51A0F12321.08CF42CC9225D539DB130989F5445BDE2995B3691CE5806F075CBB51AD3084BA5E9B7C04EFC9D5BEEA8782CCDAA3105FA45AD9F534B5473FD91EB20556453EEB
EOF
[[email protected] ~]# grub2-mkconfig -o /boot/grub2/grub.cfg ##'将生成的配置檔案覆寫掉原來的grub.cfg配置檔案'
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-313cef57612341d5972004b949f7ed03
Found initrd image: /boot/initramfs-0-rescue-313cef57612341d5972004b949f7ed03.img
done
[[email protected] ~]# init 6 ## 重新開機 按E進入
1.3終端登入控制
1.3.1禁止root登入
- 在linux程式中,login程式會讀取/etc/securetty檔案,以決定root使用者才哪些安全終端登入。若要禁止root使用者從指定的終端登入,隻需要禁止從該檔案删除或者注釋掉相應的行即可。
- 例如:禁止使用者從tty5、tty6登入。
[[email protected] ~]# vi /etc/securetty
tty2
tty3
tty4
#tty5 ## 注釋掉這兩行
#tty6
tty7
tty8
tty9
tty10
1.3.2 禁止普通使用者登入
- 進行備份或者調試等維護工作,不希望新的使用者的登入系統。
- 建立/etc/nologin檔案即可,系統會檢查/etc/nologin檔案是否存在,如存在,則會拒絕普通使用者登入。
[[email protected] ~]# touch /etc/nologin '禁止普通使用者登入'
[[email protected] ~]# rm -rf /etc/nologin '取消上述登入限制'
'一般做維護的時候使用(隻有root使用者可以登入,其他使用者不可登入)'
例如
[[email protected] ~]# touch /etc/nologin
此時,再用其他使用者登入,即便密碼輸入正确也會提示密碼沒有奏效,進而無法登入,隻有root使用者可以登入
[roo[email protected] ~]#rm -rf /etc/nologin
此時,将之前的登入限制取消之後,其他使用者也可以正常登入了
二、弱密碼檢測,端口掃描。
2.1弱密碼檢測——Joth the Ripper
- Joth the Ripper,簡稱為 JR,是一款開源破解工具,能夠在一直密文的情況下快速分析出明文的密碼字典,支援DES、MD5等多種加密算法,允許使用密碼字典(包括各種密碼組合的清單檔案)來暴力破解。
- 通過使用JR,可以檢測密碼強度。
[[email protected] ~]# mkdir /111 '建立挂載點'
[[email protected] ~]# mount.cifs //192.168.100.3/cccc /111 '挂載(cccc檔案中有john壓縮包)'
Password for root@//192.168.100.3/cccc:
[[email protected] ~]# cd /111
[[email protected] 111]# ls
john-1.8.0.tar.gz
[[email protected] 111]# tar zxvf john-1.8.0.tar.gz -C /opt '将壓縮包解壓到/opt中'
[[email protected] 111]# cd /opt/john-1.8.0/ '進入壓縮包'
[[email protected] john-1.8.0]# ls '檢視壓縮包'
doc README run src 'doc是說明文檔,README是說明書,run是腳本,src是源碼檔案'
接下來是手工編譯安裝的過程
[[email protected] src]# yum install gcc gcc-c++ -y
...此處省略内容
[[email protected] src]# make linux-x86-64 'make編譯'
...此處省略内容
[[email protected] src]# cd ..
[[email protected] john-1.8.0]# ls
doc README run src
[[email protected] john-1.8.0]# cd run
[[email protected] run]# ls '此時已經有john腳本'
ascii.chr john lm_ascii.chr makechr relbench unique
digits.chr john.conf mailer password.lst unafs unshadow
[[email protected] run]# ./john /etc/passwd /etc/shadow '運作腳本檢視/etc/passwd /etc/shadow檔案'
Loaded 4 password hashes with 4 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status '等待幾分鐘,若設定的密碼在弱密碼字典中,就會被識别出來密碼,說明密碼不夠複雜,不太安全'
123123 (root)
123123 (lisi)
123123 (wangwu)
4g 0:00:01:14 100% 2/3 0.05368g/s 344.0p/s 363.4c/s 363.4C/s leslie..boston
Use the "--show" option to display all of the cracked passwords reliably
Session completed
[[email protected] run]# cat password.lst '檢視弱密碼字典'
2.2 網絡掃描——NMAP
- NMAP是一個強大的端口掃描類安全評測工具,NMAP被設計為檢測主機數量衆多的巨大網絡,支援ping掃描,多端口檢測,OS識别等多種技術。
- NMAP的掃描文法 :nmap [掃描類型] [選項] <掃描目标…>
-
常用的掃描類型
sS,-sT,-sF,-sU,-sP,-P0
sT:TCP端口
sU:UDP端口
sP:ping
[[email protected] run]# rpm -q nmap
未安裝軟體包 nmap
[[email protected] run]# yum install nmap -y
...此處省略内容
[[email protected] run]# nmap -sP 192.168.197.0/24 '192.168.197.0/24是本台主機的網絡号,此指令檢視此網段中那些主機線上'
Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-14 23:49 CST
Nmap scan report for 192.168.197.1
Host is up (0.00064s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.197.2
Host is up (0.000052s latency).
MAC Address: 00:50:56:EF:60:82 (VMware)
Nmap scan report for 192.168.197.254
Host is up (0.000077s latency).
MAC Address: 00:50:56:EA:BF:C1 (VMware)
Nmap scan report for 192.168.197.141
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 1.95 seconds
[[email protected] run]# nmap -sT 192.168.197.141
Starting Nmap 6.40 ( http://nmap.org ) at 2019-11-14 23:52 CST
Nmap scan report for 192.168.197.141 '檢視主機192.168.197.141開了哪些TCP端口'
Host is up (0.00078s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds