Linux安全sudo使用，grub，限制登陆，弱口令检测，端口扫描

Linux安全sudo使用，grub，限制登陆，弱口令检测，端口扫描

文章目录

• • 使用sudo机制提升权限
  • • 批量提升用户权限
  • 开关机安全控制
  • • 调整BIOS引导设置
    • lGRUB限制
  • 系统引导和登陆控制
  • • 限制root只能在安全终端登录
    • 禁止普通用户登录
  • 弱口令检测
  • 端口扫描
  • • NMAP

使用sudo机制提升权限

• su命令的缺点

  默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户（如root）的登陆密码，带来安全风险。

• sudo命令的用途及用法

  • 用途：以其他用户身份执行授权命令

  • 用法：

    sudo 授权命令
    

• 配置sudo授权

  • visudo 或者vi /etc/sudoers

  • 记录格式

    用户 主机名=命令程序列表
    visudo
    ##  可以使用通配符*、取反符号！
    
    

用户直接授权指定的用户名，或采用‘组名’的形式（权一个组的所有用户）主机名使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机（用户）用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令命令程序列表允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令 批量提升用户权限

使用关键字设置别名（别名必须大写，可以实现批量给用户提升权限）

例子

User_Alias USERS=pll,pdd   ##用户别名
Host_Alias HOSTS=ghp,localhost  ##主机别名
Cmnd_Alias CMNDS=/sbin/ifconfig,  ##命令
USERS HOSTS=CMNDS    ##再以  用户 主机=指令  的方式排列

开关机安全控制 调整BIOS引导设置

• 将第一引导设备设为当前系统所在硬
• 禁止从其他设备（光盘、U盘、网络)引导系统
• 将安全级别设为setup，并设置管理员密码

lGRUB限制

• 使用grub2-mkpasswd-pbkdf2生成密钥
• 修改/etclgrub.d/o0_header文件中，添加密码记录
• 生成新的grub.cfg配置文件
  

vim /etclgrub.d/o0_header     ##进入此文件将上面生成的密码串添加进来。

生成新的 grub.cfg 文件重启系统进入 GRUB 菜单时，按 e 键将需要输入账号密码才能修改引导参数

grub2-mkconfig -o /boot/grub2/grub.cfg

系统引导和登陆控制 限制root只能在安全终端登录

进入安全终端配置文件：/etc/securetty设置

进入后在这些端口前面加上#将这些端口注释掉，就能够进制root从这些端口进入。

禁止普通用户登录

login程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统(root 用户不受限制)。

touch /etc/nologin     ##禁止普通用户登录
rm -rf /etc/nologin   ##取消登录限制

弱口令检测

John the Ripper ，简称为JR

• —款密码分析工具，支持字典式的暴力破解
• 通过对shadow文件的口令分析，可以检测密码强度
• 官方网站: http://www.openwall.comljohn/

弱口令检测——John the Ripper
John the Ripper是一款开源的密码破解工具，可使用密码字典（包含各种密码组合的列表文件）来进行暴力破解。

#解压工具包
cd /opt
tar zxf john-1.8.o.tar.gz

#安装软件编译工具
yum install -y gcc gcc-ct+ make#切换到src子目录
cd /opt/john-1.8.0 / src

#进行编译安装
make clean linux-x86-64#住备待破解的密码文件
cp /etc/shadow /opt/ shadow.txt

#执行暴力破解
cd /opt/john-1.8.0/ run./john /opt/shadow.txt

#查看己破解出的账户列表
./john --show / opt/ shadow.txt

#使用密码字典文件

john.pot  #清空已破解出的账户列表,以便重新分析.

/john --wordlist=./password.lst/opt/shadow.txt

#使用指定的字典文件进行破解

文件目录：./password.lst /opt/shadow.txt

端口扫描 NMAP

• —款强大的网络扫描、安全检测工具
• 官方网站: http://nmap.orgl
• CentOS 7.3光盘中安装包,nmap-6.40-7.el7.x86
  _64.rpm

1. 安装NMAP软件包

​ rpm -qaI grep nmap

​ yum install -y nmap

2. NMAP的扫描

​ 常用的扫描类型

nmap命令常用的选项和扫描类型

nmap命令常用的选项和扫描类型-p:指定扫描的端口
-n :禁用反向DNS解析(以加快扫描速度)
-∶TCP的SYN扫描（半开扫描)，只向目标发出SYN数据包，如果收到sYN/ACK响应包就认为目标端口正在监听，并立即断开连接;香则认为目标端口并未开放
-sT:TCP连接择，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听，否则认为目标端口并未开放
-F∶TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU: UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢
-s:ICMP扫描，类似于ping 检测，快速判断目标主机是否存活，不做其他扫描
-PO∶跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping通而放弃扫描

Netstat命令用于显示各种网络相关信息，如网络连接，路由表，接口状态 (Interface Statistics)，masquerade 连接，多播成员 (Multicast Memberships) 等

Netstat是一款命令行工具，可用于列出系统上所有的网络套接字连接情况，包括TCP,UDP以及UNIX套接字，另外它还能列出处于监听状态（即等待接入请求）的套接字。这里使用其查看TCP,UDP网络协议的相关信息

natstat命令常用选项:
-a:显示主机中所有活动的网络连接信息（包括监听、非监听状态的服务端口）。-n:以数字的形式显示相关的主机地址、端口等信息。
-t:查看TCP相关的信息。
-u:显示UDP协议相关的信息。
-p:显示与网络连接相关联的进程号、进程名称信息（该选项需要 root权限)。-r:显示路由表信息。
-l:显示处于监听状态的网络连接及端口信息。

netstat -natp
查看正在运行的使用TCP协议的网络状态信息
netstat -naup
查看正在运行的使用UDP协议的网络状态信息

-n:以数字的形式显示相关的主机地址、端口等信息。
-t:查看TCP相关的信息。
-u:显示UDP协议相关的信息。
-p:显示与网络连接相关联的进程号、进程名称信息（该选项需要 root权限)。-r:显示路由表信息。
-l:显示处于监听状态的网络连接及端口信息。

netstat -natp
查看正在运行的使用TCP协议的网络状态信息
netstat -naup
查看正在运行的使用UDP协议的网络状态信息