理论:linux系统安全及应用

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了理论:linux系统安全及应用相关的知识,希望对你有一定的参考价值。

前言:主要从账号安全控制,系统引导和登录控制,弱口令检测,端口扫描本地控制去了解学习

一 :账号安全基本措施

1.1 系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
  • 锁定长期不使用的账号 ‘usermod -L ‘
  • 删除无用的账号 ‘userdel -r‘
  • 锁定账号文件passwd、shadow,用以控制用户(包括root)无法创建删除修改账户
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow   ‘给passwd和shadow加锁+i‘
[root@localhost ~]# lsattr /etc/passwd /etc/shadow      ‘ls查看attr是否锁定,即查看状态‘    
----i----------- /etc/passwd    ‘锁定‘
----i----------- /etc/shadow    ‘锁定‘

+i 进行加锁 -i 解锁

lsattr 查看是否锁定

实操:

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow   ‘给账号文件加锁‘
[root@localhost ~]# lsattr /etc/passwd /etc/shadow  ‘查看账号文件状态‘
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# id zhangsan ‘检查一下测试账号是否存在‘
id: zhangsan: no such user  ‘反馈没有‘
[root@localhost ~]# useradd lisi        ‘创建lisi‘
useradd:无法打开 /etc/passwd    ‘反馈无法打开账号文件去进行修改‘
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow   ‘解锁‘
[root@localhost ~]# useradd lisi    ‘再次创建lisi‘
[root@localhost ~]# passwd lisi
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。 ‘成功‘
[root@localhost ~]# lsattr /etc/passwd /etc/shadow  ‘此时再查看账号文件状态‘
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow   ‘再次加锁‘
[root@localhost ~]# userdel lisi    ‘删除lisi‘
userdel:无法打开 /etc/passwd    ‘反馈无法删除‘
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow   ‘解锁帐号文件‘
[root@localhost ~]# userdel lisi    ‘再次删除‘
[root@localhost ~]# id lisi ‘查看lisi‘
id: lisi: no such user  ‘删除成功‘
[root@localhost ~]# ls /home    ‘查看普通用户的家目录‘
gsy  lisi   ‘lisi的家目录还在,因为删除时没有-r递归删除‘
[root@localhost ~]# rm -rf /home/lisi   ‘强制删除‘
[root@localhost ~]# ls /home
gsy

1.2 密码安全控制

  • 设置密码有效期
  • 要求用户下次登陆时修改密码
[root@localhost ~]# vim /etc/login.defs ‘进入默认配置文件‘
......
PASS_MAX_DAYS   99999   ‘默认设置为99999天‘

PASS_MAX_DAYS   30  ‘可以先修改为30天验证‘

修改默认配置文件适用于在修改配置文件保存之后的时间点后的用户创建,这个方法不会修改已创建的用户的密码有效期

[root@localhost ~]# tail -3 /etc/shadow ‘查看账号密码文件的后三行‘
tcpdump:!!:18192::::::
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:‘99999‘:7:::      
‘用单引号单独标注出来的99999就是gsy用户的密码的有效期‘
apache:!!:18213::::::
[root@localhost ~]# useradd lisi    ‘创建lisi‘
正在创建信箱文件: 文件已存在
[root@localhost ~]# passwd lisi     ‘设置密码‘
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# tail -3 /etc/shadow     ‘查看末尾三行‘
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::
apache:!!:18213::::::
lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:‘30‘:7:::
‘新创建的lisi的密码有效期为30天‘

对已存在的用户的密码有效期设置命令是

[root@localhost ~]# chage -M 时间 用户名
[root@localhost ~]# chage -M 99999 lisi 
‘设置lisi密码的有效期为99999‘
[root@localhost ~]# tail -3 /etc/shadow ‘查看‘
gsy:$6$4r65p5GBvUZhGlnz$Cs.RsqZdbDij5eQeIxWRi3f4VERzZFsp1TSkgaURI3d0Beafr8TT//iBETmpgEsW//yoHoqfvL9k2BwmGQlx51::0:99999:7:::
apache:!!:18213::::::
lisi:$6$zpsumHLN$TvYWGP5LO4IVnjMnrEjUqGZeoDr7mtVFMqQ5DRjwTo1X6j5wHvSc7ZlJATPvlH2bFmp3vmZSpnqJ7ZgTL3MSu1:18214:0:‘99999‘:7:::

密码有效期设置

1.已创建的用户如何设置:chage -M 30

2.未创建的用户如何设置:使用vim编辑器去 /etc/longin.defs文件

login.defs 登录的默认文件

把/etc/login.defs中的有效期恢复为默认日期

#是注释符号,行首有#代表不会执行


# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#

# *REQUIRED*
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail
#MAIL_FILE      .mail

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                  1000
UID_MAX                 60000

:wq     ‘保存退出‘     
[root@localhost ~]# chage --help
用法:chage [选项] 登录

选项:
  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”
  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”
  -h, --help                    显示此帮助信息并推出
  -I, --inactive INACITVE       过期 INACTIVE 天数后,设定密码为失效状态
  -l, --list                    显示帐户年龄信息
  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”
  -M, --maxdays 最大天数        将两次改变密码之间相距的最大天数设为“最大天数”
  -R, --root CHROOT_DIR         chroot 到的目录
  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

实操:

[root@localhost ~]# chage -d 0 lisi ‘代表下一次登陆时及时修改密码‘
[root@localhost etc]# su lisi   ‘不带-,会切换用户,不会切换目录‘
[lisi@localhost etc]$ exit
[root@localhost etc]# su - lisi ‘带- ,不仅切换用户,还会切换到用户的家目录‘
上一次登录:四 11月 14 14:00:17 CST 2019pts/0 上
[lisi@localhost ~]$ exit
[root@localhost lisi]# su gsy   ‘切换到同级别用户去登录lisi‘
[gsy@localhost lisi]$ su lisi
密码:
您需要立即更改密码(root 强制)
为 lisi 更改 STRESS 密码。
(当前)UNIX 密码:    ‘就是当前密码‘
新的 密码:
无效的密码: 密码与原来的太相似
新的 密码:
无效的密码: 密码与原来的太相似
新的 密码:
无效的密码: 密码与原来的太相似

su: 已经超出服务重试的最多次数
[gsy@localhost lisi]$ 

小结:

chage -d 0 用户名 下次登陆时及时修改密码(修改的密码不允许连续数字、连续字母,可以为zxc196!类型)

1.3 命令历史限制

  • 减少记录的命令条数
[root@localhost lisi]# vim /etc/profile ‘进入/etc/profile‘
HOSTNAME=`/usr/bin/hostname 2>/dev/null`
HISTSIZE=1000   ‘默认为1000,可以修改为200,减少历史命令缓存‘
  • 注销时自动清空命令历史
[root@localhost /]# vim ~/.bash_logout  
‘进入root家目录~中的注销变量文件去配置‘

# ~/.bash_logout
history -c  ‘增加‘
clear   ‘增加‘
~        

1.4 终端自动注销

  • 闲置600s后自动注销
[root@localhost /]# vim ~/.bash_profile ‘编辑root家目录的环境变量‘
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi
‘export TIMOUT=600‘     ‘单引号不含,此处为增加项,超过600s会自动注销‘
# User specific environment and startup programs

PATH=$PATH:$HOME/bin

export PATH

小结:

注销时间不要太快,不然不好修改回来

二 : 使用su命令切换用户

2.1 用途及用法

  • 用途: Substitute User, 切换用户
  • 格式:
[root@localhost /]# su - 目标用户
用法:
 su [选项] [-] [USER [参数]...]

将有效用户 id 和组 id 更改为 USER 的 id。
单个 - 视为 -l。如果未指定 USER,将假定为 root。

选项:
 -m, -p, --preserve-environment  不重置环境变量
 -g, --group <组>             指定主组
 -G, --supp-group <组>        指定一个辅助组

 -, -l, --login                  使 shell 成为登录 shell
 -c, --command <命令>            使用 -c 向 shell 传递一条命令
 --session-command <命令>        使用 -c 向 shell 传递一条命令
                                 而不创建新会话
 -f, --fast                      向shell 传递 -f 选项(csh 或 tcsh)
 -s, --shell <shell>             若 /etc/shells 允许,则运行 shell

 -h, --help     显示此帮助并退出
 -V, --version  输出版本信息并退出

2.2 密码验证

  • root切换到任意用户,不用验证密码
  • 普通用户切换到其他用户,需要验证目标用户的密码
[root@localhost /]# su - gsy    ‘带-选项标识将使用目标用户的登录shell环境‘
上一次登录:四 11月 14 14:16:48 CST 2019pts/0 上
[gsy@localhost ~]$ su - root
密码:
上一次登录:四 11月 14 14:28:57 CST 2019pts/0 上
[root@localhost ~]# whoami
root
[root@localhost ~]# 

2.3 限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组,在wheel组内的用户才可以使用su切换用户命令
[root@localhost ~]# id gsy
uid=1000(gsy) gid=1000(gsy) 组=1000(gsy)
[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:  
[root@localhost ~]# cat /etc/gshadow | grep wheel
wheel:::
[root@localhost ~]# gpasswd -a gsy wheel
正在将用户“gsy”加入到“wheel”组中
[root@localhost ~]# id gsy
uid=1000(gsy) gid=1000(gsy) 组=1000(gsy),10(wheel)
[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:gsy
[root@localhost ~]# cat /etc/gshadow | grep wheel
wheel:::gsy
  • 启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su
%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid    ‘把#删掉即可启用‘
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
记得wq保存退出

pam.su需要手动开启,在没有开启的时候,是默认所有用户都可以使用su去切换到别的用户,即使不在wheel中的用户也可以使用su

[root@localhost pam.d]# id gsy  ‘查看gsy在哪组‘
uid=1000(gsy) gid=1000(gsy) 组=1000(gsy),10(wheel)
[root@localhost pam.d]# id lisi ‘查看lisi在哪组‘
uid=1001(lisi) gid=1001(lisi) 组=1001(lisi)
[root@localhost pam.d]# id root ‘查看root,不在wheel‘
uid=0(root) gid=0(root) 组=0(root)
[root@localhost pam.d]# su gsy  ‘直接切换到普通用户‘
[gsy@localhost pam.d]$ su lisi  ‘切换同级别用户‘
密码:
[lisi@localhost pam.d]$ su gsy  ‘lisi切换到gsy‘
密码:
su: 拒绝权限    ‘su拒绝权限‘
[lisi@localhost pam.d]$ su root ‘lisi切换root‘
密码:
su: 拒绝权限
[lisi@localhost pam.d]$ exit    ‘返回上个用户‘
exit
[gsy@localhost pam.d]$ exit ‘返回上个用户‘
exit
[root@localhost pam.d]# gpasswd -a lisi wheel   ‘把lisi加入到wheel组‘
正在将用户“lisi”加入到“wheel”组中
[root@localhost pam.d]# su lisi
[lisi@localhost pam.d]$ su gsy  ‘再次切换到gsy‘
密码:
[gsy@localhost pam.d]$  ‘切换成功‘

2.4 查看su操作记录

  • 安全日志文件; /var/log/secure
[root@localhost /]# cd /var/log
[root@localhost log]# ls
anaconda  dmesg               lastlog   qemu-ga            sssd                    wtmp            yum.log
audit     dmesg.old           libvirt   rhsm               tallylog                Xorg.0.log
boot.log  firewalld           maillog   sa                 tuned                   Xorg.0.log.old
btmp      gdm                 messages  samba              vmware-vgauthsvc.log.0  Xorg.1.log
chrony    glusterfs           ntpstats  ‘secure‘             vmware-vmsvc.log        Xorg.1.log.old
cron      grubby_prune_debug  pluto     speech-dispatcher  vmware-vmusr.log        Xorg.2.log
cups      httpd               ppp       spooler            wpa_supplicant.log      Xorg.9.log

三 : Liunx中的PAM安全认证

3.1 su命令的安全隐患

  • su命令的安全隐患
    • 默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险
    • 为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换
  • PAM(Pluggable Authentication Modules)可拔插式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式

3.2 PAM认证原理

  • PAM认证一般遵循的顺序:Service(服务)>PAM(配置文件)>pam_*.so
  • PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
  • 用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序所对应的PAM模块也是不同的

.so 为结尾的就是模块文件

3.3 PAM认证的构成

  • 查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d,然后管道符号检索想要查询的程序;例如查看su是否支持PAM模块认证
    • ls /etc/pam.d | grep su
  • 查看su的PAM配置文件:cat /etc/pam.d/su
    • 每一行都是独立的认证过程
    • 每一行可以区分为三个字段
    • 认证类型
    • 控制类型
    • PAM模块及其参数

3.4 PAM安全认证流程

  • 控制类型也可以乘坐Control Flags,用于PAM验证类型的返回结果
    • 1.required验证失败时仍然继续,但返回Fail
    • 2.requisite验证失败则立即结束整个验证过程,返回fail(最重要的一步)
    • 3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
    • 4.optional不用于验证,只显示信息(通常用户session类型)

四 : 使用sudo机制提升权限

4.1 su命令的缺点

默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险

4.2 sudo命令的用途及用法

  • 用途:以其他用户身份(如root)执行授权的命令
  • 用法:sudo 授权命令

4.3 配置sudo授权

  • visudo命令 或者 vim /etc/sudoers
  • 记录格式: 用户 主机名列表 = 命令程序列表
[root@localhost log]# visudo
......
用户  主机名列表 = 命令程序列表
%wheel  ALL = NOPASSWD:ALL
jerry   localhost = /sbin/ifconfig
syrianer    localhost = /sbin/*,!/sbin/ifconfig,!/sbin/route
‘可以使用通配符号*和取反符号!‘
Cmnd_Alias  PKGTOOLS = /bin/rpm,/usr/bin/yum
mike    localhost = PKGTOOLS

备注:

可以使用通配符号*和取反符号!

用户与主机名列表间用制表符隔开,=号左右有空格,命令程序列表中若是有两个及以上命令,命令于命令之间用逗号隔开,

命令程序要写绝对路径,用which查看为准

主机名用hostname查看

用户字段前面百分号代表组

localhost 指本地主机名

!/sbin/ifconfig 除了/sbin/ifconfig

cmnd_alias 命令别名 PKGTOOLS (中文意包装水池) 别名,相当于把相关的命令编排到一个组内,可以用于主机名列表处=别名

类似别名还包括user_Alias、Host_Alias

[root@localhost gsy]# id gsy    ‘查看gsy的id‘
uid=1000(gsy) gid=1000(gsy) 组=1000(gsy)
[root@localhost gsy]# id lisi   ‘查看lisi的id‘
id: lisi: no such user  ‘没有lisi‘
[root@localhost gsy]# useradd lisi  ‘创建测试用户lisi‘
[root@localhost gsy]# passwd lisi
更改用户 lisi 的密码 。
新的 密码:
无效的密码: 密码未通过字典检查 - 它没有包含足够的不同字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost gsy]# id lisi   ‘查看lisi的id‘
uid=1001(lisi) gid=1001(lisi) 组=1001(lisi)
[root@localhost gsy]# ifconfig ‘以修改ip地址为例,先查看ip地址‘
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.139.153  netmask 255.255.255.0  broadcast 192.168.139.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 741  bytes 574698 (561.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 332  bytes 31777 (31.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[root@localhost gsy]# su lisi

[lisi@localhost gsy]$ ifconfig ens33 10.10.10.10    ‘先正常的输入修改ip地址命令‘
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作    ‘反馈无法执行,没有权限‘
[lisi@localhost gsy]$ sudo ifconfig ens33 10.10.10.10   ‘sudo提权执行‘

我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大。

[sudo] lisi 的密码:    
lisi 不在 sudoers 文件中。此事将被报告。 ‘反馈说lisi不再sudoers文件,后面会去查看这个文件‘
[lisi@localhost gsy]$ cd /  
[lisi@localhost /]$ sudo -l ‘查看sudo权限‘
[sudo] lisi 的密码:
对不起,用户 lisi 不能在 localhost 上运行 sudo。 ‘显示lsii不可以使用sudo‘
[lisi@localhost /]$ su root
密码:
[root@localhost /]# gpasswd -a lisi wheel   ‘把lisi加入wheel组内‘
正在将用户“lisi”加入到“wheel”组中
[root@localhost /]# id lisi
uid=1001(lisi) gid=1001(lisi) 组=1001(lisi),10(wheel)
[root@localhost /]# su lisi
[lisi@localhost /]$ ifconfig ens33 10.10.10.10
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
[lisi@localhost /]$ sudo ifconfig ens33 10.10.10.10

我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:

    #1) 尊重别人的隐私。
    #2) 输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大。

[sudo] lisi 的密码:
SIOCSIFADDR: 文件已存在
[lisi@localhost /]$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.10.10  netmask 255.0.0.0  broadcast 10.255.255.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 2581  bytes 697151 (680.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 525  bytes 50661 (49.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[lisi@localhost /]$ sudo -l
[sudo] lisi 的密码:
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

用户 lisi 可以在 localhost 上运行以下命令:
    (ALL) ALL

这个时候查询一下sudoers文件;即/etc/sudoers,使用lisi去vim /etc/sudoers会提示权限不足,需要su到root再去vim

[root@localhost /]# grep -v "^#" /etc/sudoers >> 1.txt  
‘这个命令是把/etc/sudoers中有效指令输入到1.txt中‘
[root@localhost /]# cat 1.txt
Defaults   !visiblepw

Defaults    always_set_home
Defaults    match_group_by_gid

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin

root    ALL=(ALL)   ALL

%wheel  ALL=(ALL)   ALL ‘在wheel组内的用户可以在所有主机执行所有操作‘
[root@localhost /]# vim /etc/sudoers    ‘vim进入配置文件‘

## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL

## Allows members of the ‘sys‘ group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL     ‘这个命令,上面是解释‘

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

可以在/etc/sudoers 中手动配置一个条目

[root@localhost /]# which ifconfig  ‘先which查找到命令的绝对路径‘
/usr/sbin/ifconfig
[root@localhost /]# hostname    ‘查看hostname‘
localhost.localdomain
[root@localhost /]# vim /etc/sudoers
## Allow root to run any commands anywhere 
root    ALL=(ALL)       ALL
lisi    localhost = /usr/sbin/ifconfig  ‘新加入这一行‘
## Allows members of the ‘sys‘ group to run networking, software, 
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL
:wq! 保存
[root@localhost /]# gpasswd -d lisi wheel   ‘把lisi从wheel删除‘
正在将用户“lisi”从“wheel”组中删除
[root@localhost /]# id lisi
uid=1001(lisi) gid=1001(lisi) 组=1001(lisi)
[root@localhost /]# su lisi ‘切换lisi‘
[lisi@localhost /]$ ifconfig ens33 13.13.13.13i ‘直接使用命令‘    
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
[lisi@localhost /]$ sudo ifconfig ens33 13.13.13.13 ‘加上sudo‘
[sudo] lisi 的密码:
[lisi@localhost /]$ ifconfig    ‘查看ens33配置,发现已修改‘
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 13.13.13.13  netmask 255.0.0.0  broadcast 13.255.255.255
        inet6 fe80::413b:c9ad:e0e:1afc  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:d6:c0:8a  txqueuelen 1000  (Ethernet)
        RX packets 4927  bytes 874213 (853.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 812  bytes 95433 (93.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[lisi@localhost /]$ sudo -l ‘再次查看sudo的权限‘
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin:/bin:/usr/sbin:/usr/bin

用户 lisi 可以在 localhost 上运行以下命令:
    (root) /usr/sbin/ifconfig   ‘可用权限‘
[lisi@localhost /]$ 

4.4 查看sudo操作记录

  • 需启用Defaults logfile配置
  • 默认日志文件: /var/log/sudo
[root@localhost ~]# visudo  ‘或者 vim /etc/sudoers也可以‘

......
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
lisi    localhost = /usr/sbin/ifconfig
Defaults        logfile = "/var/log/sudo"   ‘输入设置‘
## Allows members of the ‘sys‘ group to run networking, software,

在启用默认配置文件/var/log/sudo后进行的sduo操作都会在此文件内记录

[root@localhost ~]# cat /var/log/sudo   
Nov 14 19:24:15 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ;
    COMMAND=/sbin/ifconfig ens33 14.14.14.14
Nov 14 19:25:00 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ; COMMAND=list
Nov 14 19:28:28 : lisi : TTY=pts/1 ; PWD=/home/lisi ; USER=root ;
    COMMAND=/sbin/ifconfig ens33 15.15.15.15

su -l 也是切换到root的指令

五 : 开关机安全控制

5.1 调整Bios引导设置

  • 将第一引导设备设为当前系统所在硬盘
  • 禁止从其他设备(光盘、U盘、网络)引导系统
  • 将安全级别设为isetup,并设置管理员密码

备注:禁止从其他设备引导系统操作,感觉若是出现忘记root密码就可能无法从光驱去修改,所以还是谨慎操作

5.2 GRUB限制

  • 使用grub2-mkpasswd-pbkdf2生成密钥
  • 修改/etc/grub.d/00_header文件中,添加密码记录
  • 生成新的grub.cfg配置文件

pbkdf2 是一种算法

使用方向键来改变选择。按“e”来编辑选择的项目,或“c”作为命令提示符。所选条目将在4s中自动启动

技术图片

按e的界面

技术图片

按c的界面

技术图片

直接就可以进入编辑,可以对其进行设置密码,以保证安全性

设置grub密码步骤:

[root@localhost ~]# cd /boot/grub2  ‘切换到内核/boot/grub2目录‘
[root@localhost grub2]# ls  ‘查看‘
device.map  fonts  grub.cfg  grubenv  i386-pc  locale
[root@localhost grub2]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak    ‘做操作前先把配置文件备份一份,防止做错无法恢复‘
[root@localhost grub2]# ls  ‘查看‘
device.map  fonts  grub.cfg  ‘grub.cfg.bak‘  grubenv  i386-pc  locale   ‘备份配置文件成功‘
[root@localhost grub2]# cd /etc/grub.d/     ‘切换到配置/etc/grub.d目录‘
[root@localhost grub.d]# ls ‘查看‘
00_header  01_users  20_linux_xen     30_os-prober  41_custom
00_tuned   10_linux  20_ppc_terminfo  40_custom     README
[root@localhost grub.d]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak 
‘把grub的头部文件备份‘
[root@localhost grub.d]# ls
00_header      00_tuned  10_linux      20_ppc_terminfo  40_custom  README
00_header.bak  01_users  20_linux_xen  30_os-prober     41_custom
[root@localhost grub.d]# grub2-mkpasswd-pbkdf2  ‘使用mkpasswd-pbkdf2算法去加密密码‘
输入口令:   ‘输入要设置的密码‘
Reenter password: 
PBKDF2 hash of your password is     grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B19594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7 ‘grub.pbkdf2.sha512往后是密码,复制粘贴‘
[root@localhost grub.d]# vim /etc/grub.d/00_header

if [ "x${GRUB_BADRAM}" != "x" ] ; then
  echo "badram ${GRUB_BADRAM}"
fi
cat << EOF          ‘从这开始编辑‘
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.0A69A269813E2E719399E15405F9006F0370B5812D9912FCC8E3F10E565AA70202B19594A592F399B6F96240E6E6572D6F9CEC1E0F032962A315D97E61E90.7291C86820FB883DC5D1339D991292DED755221AEAA381AF70232A7223CCA6AAE4039D3DDEA9E9400613894B6BA29D81FD1B72386285B7A534CFDA0CAD881AC7
EOF
:wq 
[root@localhost grub.d]# grub2-mkconfig -o /boot/grub2/grub.cfg ‘重新输出配置文件‘
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-693.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-693.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-33c124456fa34c50a98483245dfea58d
Found initrd image: /boot/initramfs-0-rescue-33c124456fa34c50a98483245dfea58d.img
done
[root@localhost grub.d]# 
[root@localhost grub.d]# init 6 ‘重启‘

技术图片

按e或c

技术图片

技术图片

输入错误的用户或密码就会退出去,正确则会安全进入

六 :终端登录安全控制

6.1 限制root只在安全终端登录

  • 安全终端配置:/etc/securetty
  • 不想root再哪登录,就把哪个给注释掉
[root@localhost etc]# vim /etc/securetty

#console    ‘默认没有#,都可以登陆,不想让用户从consle登录就注释掉‘
vc/1
vc/2
vc/3
:wq! 修改成自己想要的结果就保存退出

6.2 禁止普通用户登录

  • 建立/etc/nologin文件 (用于维护时创建使用,设置这个文件可以方便有效防止变量出现)
  • 删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin      ‘禁止普通用户登录‘
[root@localhost etc]# find -name "nologin"  
./nologin
[root@localhost etc]# rm -rf /etc/nologin   ‘删除掉/etc/nologin文件即可恢复正常‘

七 : 系统弱口令检测

7.1 John the Ripper,简称为JR

  • 一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度
  • 无法通过yum下载,想要的评论处+1

技术图片

[root@localhost etc]# mkdir /aaa
[root@localhost etc]# mount.cifs //192.168.254.10/linuxs /aaa
Password for root@//192.168.254.10/linuxs:  
[root@localhost etc]# cd /aaa
[root@localhost aaa]# ls
apr-1.4.6.tar.gz  apr-util-1.4.1.tar.gz  httpd-2.4.2.tar.gz  john-1.8.0.tar.gz
[root@localhost aaa]# tar xzvf john-1.8.0.tar.gz -C /mnt
john-1.8.0/README
john-1.8.0/doc/CHANGES
john-1.8.0/doc/CONFIG
......
[root@localhost aaa]# ls /mnt
john-1.8.0
[root@localhost aaa]# cd /mnt/john-1.8.0/
[root@localhost john-1.8.0]# ls
doc  README  run  src   ‘readme 使用说明书,doc文档没啥用,src源码文件目录,需要对其进行配置安装‘
[root@localhost john-1.8.0]# cd run
[root@localhost run]# ls
ascii.chr   john.conf     mailer   password.lst
digits.chr  lm_ascii.chr  makechr  relbench
[root@localhost run]# ls /mnt/john-1.8.0/src
AFS_fmt.c   common.h    external.c  LM_fmt.c      misc.h      rpp.h       tty.h
alpha.h     compiler.c  external.h  loader.c      nonstd.c    rules.c     unafs.c
alpha.S     compiler.h  formats.c   loader.h      options.c   rules.h     unique.c
batch.c     config.c    formats.h   logger.c      options.h   sboxes.c    unshadow.c
batch.h     config.h    getopt.c    logger.h      os.h        sboxes-s.c  vax.h
bench.c     cracker.c   getopt.h    Makefile      params.c    signals.c   wordlist.c
bench.h     cracker.h   ia64.h      Makefile.dep  params.h    signals.h   wordlist.h
best.c      crc32.c     idle.c      math.c        pa-risc.h   single.c    x86-64.h
best.sh     crc32.h     idle.h      math.h        path.c      single.h    x86-64.S
BF_fmt.c    DES_bs_b.c  inc.c       MD5_fmt.c     path.h      sparc32.h   x86-any.h
BF_std.c    DES_bs.c    inc.h       MD5_std.c     ppc32alt.h  sparc64.h   x86-mmx.h
BF_std.h    DES_bs.h    john.asm    MD5_std.h     ppc32.h     status.c    x86-mmx.S
BSDI_fmt.c  DES_fmt.c   john.c      memory.c      ppc64alt.h  status.h    x86.S
c3_fmt.c    DES_std.c   john.com    memory.h      ppc64.h     symlink.c   x86-sse.h
charset.c   DES_std.h   john.h      mips32.h      recovery.c  times.h     x86-sse.S
charset.h   detect.c    list.c      mips64.h      recovery.h  trip_fmt.c
common.c    dummy.c     list.h      misc.c        rpp.c       tty.c

安装这个工具包需要使用手动编译安装

[root@localhost run]# yum install gcc gcc-c++ -y    ‘安装环境包‘
若是出现yum.pid被锁定,就先kill -9 pid,再去yum安装
作为依赖被安装:
  cpp.x86_64 0:4.8.5-39.el7              glibc-devel.x86_64 0:2.17-292.el7             
  glibc-headers.x86_64 0:2.17-292.el7    kernel-headers.x86_64 0:3.10.0-1062.4.3.el7   
  libmpc.x86_64 0:1.0.1-3.el7            libstdc++-devel.x86_64 0:4.8.5-39.el7         

作为依赖被升级:
  glibc.x86_64 0:2.17-292.el7              glibc-common.x86_64 0:2.17-292.el7         
  libgcc.x86_64 0:4.8.5-39.el7             libgomp.x86_64 0:4.8.5-39.el7              
  libstdc++.x86_64 0:4.8.5-39.el7         

完毕!
[root@localhost run]# ls /mnt/john-1.8.0/src
AFS_fmt.c   common.h    external.c  LM_fmt.c      misc.h      rpp.h       tty.h
alpha.h     compiler.c  external.h  loader.c      nonstd.c    rules.c     unafs.c
alpha.S     compiler.h  formats.c   loader.h      options.c   rules.h     unique.c
batch.c     config.c    formats.h   logger.c      options.h   sboxes.c    unshadow.c
batch.h     config.h    getopt.c    logger.h      os.h        sboxes-s.c  vax.h
bench.c     cracker.c   getopt.h    Makefile      params.c    signals.c   wordlist.c
bench.h     cracker.h   ia64.h      Makefile.dep  params.h    signals.h   wordlist.h
best.c      crc32.c     idle.c      math.c        pa-risc.h   single.c    x86-64.h
best.sh     crc32.h     idle.h      math.h        path.c      single.h    x86-64.S
BF_fmt.c    DES_bs_b.c  inc.c       MD5_fmt.c     path.h      sparc32.h   x86-any.h
BF_std.c    DES_bs.c    inc.h       MD5_std.c     ppc32alt.h  sparc64.h   x86-mmx.h
BF_std.h    DES_bs.h    john.asm    MD5_std.h     ppc32.h     status.c    x86-mmx.S
BSDI_fmt.c  DES_fmt.c   john.c      memory.c      ppc64alt.h  status.h    x86.S
c3_fmt.c    DES_std.c   john.com    memory.h      ppc64.h     symlink.c   x86-sse.h
charset.c   DES_std.h   john.h      mips32.h      recovery.c  times.h     x86-sse.S
charset.h   detect.c    list.c      mips64.h      recovery.h  trip_fmt.c
common.c    dummy.c     list.h      misc.c        rpp.c       tty.c
[root@localhost run]# cd ../src
[root@localhost src]# make linux-x86-64
ln -sf x86-64.h arch.h
make ../run/john ../run/unshadow ../run/unafs ../run/unique     JOHN_OBJS="DES_fmt.o DES_std.o DES_bs.o DES_bs_b.o BSDI_fmt.o MD5_fmt.o MD5_std.o BF_fmt.o BF_std.o AFS_fmt.o LM_fmt.o trip_fmt.o dummy.o batch.o bench.o charset.o common.o compiler.o config.o cracker.o crc32.o external.o formats.o getopt.o idle.o inc.o john.o list.o loader.o logger.o math.o memory.o misc.o options.o params.o path.o recovery.o rpp.o rules.o signals.o single.o status.o tty.o wordlist.o unshadow.o unafs.o unique.o c3_fmt.o x86-64.o"     CFLAGS="-c -Wall -Wdeclaration-after-statement -O2 -fomit-frame-pointer  -DHAVE_CRYPT"     LDFLAGS="-s  -lcrypt"
make[1]: 进入目录“/mnt/john-1.8.0/src”
......
rm -f ../run/unshadow
ln -s john ../run/unshadow
rm -f ../run/unafs
ln -s john ../run/unafs
rm -f ../run/unique
ln -s john ../run/unique
make[1]: 离开目录“/mnt/john-1.8.0/src”
[root@localhost src]# ls
doc  README  run  src
[root@localhost john-1.8.0]# cd run
[root@localhost run]# ls
ascii.chr   john       lm_ascii.chr  makechr       relbench  unique
digits.chr  john.conf  mailer        ‘password.lst‘  unafs     unshadow
[root@localhost run]# ./john /etc/passwd /etc/shadow    ‘运行john去查看账号文件‘
Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])
Press ‘q‘ or Ctrl-C to abort, almost any other key for status   ‘会停止一会,此时无法操作,是因为在匹配密码‘
123123           (root) ‘匹配出来了‘
123123           (lisi)
123123           (gsy)
3g 0:00:00:25 100% 2/3 0.1184g/s 364.1p/s 402.0c/s 402.0C/s leslie..boston
Use the "--show" option to display all of the cracked passwords reliably
Session completed
[root@localhost run]# 

password.list是密码字典,john的工作原理就是将帐号文件中的密码去与密码字典匹配比对,以此来验证密码的安全级别是否高

7.2 安装JR工具

  • 安装方法:make clean 系统类型
  • 主程序文件为john

7.3 检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序,将shadow文件作为参数

7.4 密码文件的暴力破解

  • 准备好密码字典文件,默认为password.lst
  • 执行john程序,结合--wordlist=字典文件

八 : 网络端口扫描

8.1 NMAP

  • 一款强大的网络扫描、安全检测工具
  • 官方网站:http://nmap.org/
  • 可从CentOS 7.3 光盘中安装nmap-6.40-7.el7.x86_64.rpm包
  • 可以使用yum下载

8.2 NMAP的扫描语法

nmap 【扫描类型】 【选项】 <扫描目标...>

8.3 常用的扫描类型

-sS TCP的syn扫描

-sT 查看目标主机的TCP端口 例如:nmap -sT 目标IP地址

-sF TCP的fin的扫描

-sU 查看目标主机的UDP端口 例如:nmap -sU 目标IP地址

-sP ping扫描

--help 翻译

[root@localhost run]# nmap --help

Usage: nmap [Scan Type(s)] [Options] {target specification}
使用方法:nmap[扫描类型][选项]{目标规范}
TARGET SPECIFICATION:
目标说明:
Can pass hostnames, IP addresses, networks, etc.
可以传递主机名、IP地址、网络等。
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1;
例如:scanme.nmap.org, microsoft.com/24, 192.168.0.1;
10.0.0-255.1-254
10.0.0-255.1-254
-iL <inputfilename>: Input from list of hosts/networks
-iL <inputfilename>:来自主机/网络列表的输入
-iR <num hosts>: Choose random targets
-iR <num主机>:随机选择目标
--exclude <host1[,host2][,host3],...
——排除< host1 [, host2] [host3],…
>: Exclude hosts/networks
>:排除主机/网络
--excludefile <exclude_file>: Exclude list from file
——exclude_file>:从文件中排除列表
HOST DISCOVERY:
主人发现:
-sL: List Scan - simply list targets to scan
列表扫描-简单地列出要扫描的目标
-sn: Ping Scan - disable port scan
Ping扫描-禁用端口扫描
-Pn: Treat all hosts as online -- skip host discovery
-Pn:对待所有主机在线-跳过主机发现
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP或SCTP发现给定的端口
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PE/PP/PM: ICMP echo、时间戳和netmask请求发现探测
-PO[protocol list]: IP Protocol Ping
-PO[协议列表]:IP协议Ping
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
-n/-R:从不做DNS解析/总是解析[默认:有时]
--dns-servers <serv1[,serv2],...
——dns服务器<即serv1 [、serv2]…
>: Specify custom DNS servers
>:指定自定义DNS服务器
--system-dns: Use OS‘s DNS resolver
——系统DNS:使用OS的DNS解析器
--traceroute: Trace hop path to each host
——traceroute:跟踪到每个主机的hop路径
SCAN TECHNIQUES:
扫描技术:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon扫描
-sU: UDP Scan
- su: UDP扫描
-sN/sF/sX: TCP Null, FIN, and Xmas scans
-sN/sF/sX: TCP Null, FIN,和圣诞扫描
--scanflags <flags>: Customize TCP scan flags
——scanflags <flags>:自定义TCP扫描标志
-sI <zombie host[:probeport]>: Idle scan
-sI <zombie host[:probeport]>:空闲扫描
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
SCTP INIT/COOKIE-ECHO扫描
-sO: IP protocol scan
IP协议扫描
-b <FTP relay host>: FTP bounce scan
-b <FTP中继主机>:FTP反弹扫描
PORT SPECIFICATION AND SCAN ORDER:
端口规格和扫描顺序:
-p <port ranges>: Only scan specified ports
-p <端口范围>:只扫描指定的端口
Ex: -p22;
例:第22位;
-p1-65535;
p1 - 65535;
-p U:53,111,137,T:21-25,80,139,8080,S:9
T - p U: 53111137: 21 - 25日,80139年,8080年,史:9
-F: Fast mode - Scan fewer ports than the default scan
快速模式-扫描较少的端口比默认扫描
-r: Scan ports consecutively - don‘t randomize
-r:连续扫描端口-不要随机化
--top-ports <number>: Scan <number> most common ports
——顶部端口<number>:扫描<number>最常见的端口
--port-ratio <ratio>: Scan ports more common than <ratio>
——端口比<ratio>:扫描端口比<ratio>更常见
SERVICE/VERSION DETECTION:
服务/版本检测:
-sV: Probe open ports to determine service/version info
探测打开的端口以确定服务/版本信息
--version-intensity <level>: Set from 0 (light) to 9 (try all probes)
—版本强度<级别>:设置从0(光)到9(尝试所有探测)
--version-light: Limit to most likely probes (intensity 2)
——版本光:限制最有可能的探测(强度2)
--version-all: Try every single probe (intensity 9)
——version-all:尝试每个探针(强度9)
--version-trace: Show detailed version scan activity (for debugging)
——版本跟踪:显示详细的版本扫描活动(用于调试)
SCRIPT SCAN:
脚本扫描:
-sC: equivalent to --script=default
-sC:相当于——script=默认值
--script=<Lua scripts>: <Lua scripts> is a comma separated list of
——script=<Lua scripts>: <Lua scripts>是一个逗号分隔的列表
directories, script-files or script-categories
目录、脚本文件或脚本类别
--script-args=<n1=v1,[n2=v2,...
——script-args = < n1 = v1, n2 = v2,…
]>: provide arguments to scripts
]>:为脚本提供参数
--script-args-file=filename: provide NSE script args in a file
——script-args-file=filename:在文件中提供NSE脚本参数
--script-trace: Show all data sent and received
——脚本跟踪:显示所有发送和接收的数据
--script-updatedb: Update the script database.
——script-updatedb:更新脚本数据库。
--script-help=<Lua scripts>: Show help about scripts.
——script-help=<Lua scripts>:显示关于脚本的帮助。
<Lua scripts> is a comma separted list of script-files or
<Lua scripts>是一个逗号分隔的脚本文件列表或
script-categories.
script-categories。
OS DETECTION:
操作系统检测:
-O: Enable OS detection
启用操作系统检测
--osscan-limit: Limit OS detection to promising targets
——osscan-limit:将OS检测限制在有希望的目标上
--osscan-guess: Guess OS more aggressively
——osscan-guess:更大胆地猜测
TIMING AND PERFORMANCE:
时间和性能:
Options which take <time> are in seconds, or append ‘ms‘ (milliseconds),
使用<time>的选项以秒为单位,或附加‘ms‘(毫秒),
‘s‘ (seconds), ‘m‘ (minutes), or ‘h‘ (hours) to the value (e.g. 30m).
‘s‘(秒),‘m‘(分钟),或‘h‘(小时)的值(如30m)。
-T<0-5>: Set timing template (higher is faster)
-T<0-5>:设置定时模板(越高越快)
--min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
——min-hostgroup/max-hostgroup <size>:并行主机扫描组大小
--min-parallelism/max-parallelism <numprobes>: Probe parallelization
——最小并行度/最大并行度<numprobes>: Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
——min-rtt-timeout / max-rtt-timeout initial-rtt-timeout <时间>:指定
probe round trip time.
探测往返时间。
--max-retries <tries>: Caps number of port scan probe retransmissions.
—max-retries <尝试>:端口扫描探针重发的上限。
--host-timeout <time>: Give up on target after this long
——主机超时<时间>:过了这么长时间,放弃目标
--scan-delay/--max-scan-delay <time>: Adjust delay between probes
—scan-delay/—max-scan-delay <time>:调整探测器之间的延迟
--min-rate <number>: Send packets no slower than <number> per second
—最小速率<number>:发送数据包的速度不低于每秒<number>
--max-rate <number>: Send packets no faster than <number> per second
—最大速率<number>:发送数据包的速度不超过每秒<number>
FIREWALL/IDS EVASION AND SPOOFING:
防火墙/IDS规避和欺骗:
-f;
- f;
--mtu <val>: fragment packets (optionally w/given MTU)
——mtu <val>:片段包(可选w/给定mtu)
-D <decoy1,decoy2[,ME],...
- d < decoy1, decoy2[我],…
>: Cloak a scan with decoys
用诱饵遮盖扫描
-S <IP_Address>: Spoof source address
-S <IP_Address>:欺骗源地址
-e <iface>: Use specified interface
-e <iface>:使用指定的接口
-g/--source-port <portnum>: Use given port number
-g/——源端口<portnum>:使用给定的端口号
--data-length <num>: Append random data to sent packets
——数据长度<num>:向发送的数据包追加随机数据
--ip-options <options>: Send packets with specified ip options
——ip-options <options>:发送指定ip选项的数据包
--ttl <val>: Set IP time-to-live field
——ttl <val>:设置IP的生存时间字段
--spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
——Spoof -mac <mac地址/前缀/供应商名>:欺骗你的mac地址
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
——badsum:发送带有伪TCP/UDP/SCTP校验和的数据包
OUTPUT:
输出:
-oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3,
-oN/-oX/-oS/-oG <文件>:输出扫描在正常,XML, s|<rIpt kIddi3,
and Grepable format, respectively, to the given filename.
和Grepable格式,分别指定的文件名。
-oA <basename>: Output in the three major formats at once
-oA <basename>:同时输出三种主要格式
-v: Increase verbosity level (use -vv or more for greater effect)
-v:增加冗余级别(使用-vv或更多以获得更好的效果)
-d: Increase debugging level (use -dd or more for greater effect)
-d:增加调试级别(使用-dd或更多以获得更好的效果)
--reason: Display the reason a port is in a particular state
——原因:显示端口处于特定状态的原因
--open: Only show open (or possibly open) ports
——打开:只显示打开的(或可能打开的)端口
--packet-trace: Show all packets sent and received
——包跟踪:显示所有发送和接收的包
--iflist: Print host interfaces and routes (for debugging)
——iflist:打印主机接口和路由(用于调试)
--log-errors: Log errors/warnings to the normal-format output file
——Log -errors:将错误/警告记录到正常格式的输出文件
--append-output: Append to rather than clobber specified output files
——追加输出:追加到指定的输出文件而不是clobber
--resume <filename>: Resume an aborted scan
——resume <filename>:恢复中止的扫描
--stylesheet <path/URL>: XSL stylesheet to transform XML output to html
—样式表<path/URL>: XSL样式表,用于将XML输出转换为HTML
--webxml: Reference stylesheet from Nmap.
——webxml:从Nmap引用样式表。
Org for more portable XML
获得更可移植的XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
——无样式表:防止XSL样式表与XML输出相关联
MISC:
MISC:
-6: Enable IPv6 scanning
-6:启用IPv6扫描
-A: Enable OS detection, version detection, script scanning, and traceroute
启用操作系统检测、版本检测、脚本扫描和traceroute
--datadir <dirname>: Specify custom Nmap data file location
——datadir <dirname>:指定自定义Nmap数据文件位置
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
——发送-eth/——发送- IP:使用原始以太网帧或IP数据包发送
--privileged: Assume that the user is fully privileged
——特权:假设用户是完全特权的
--unprivileged: Assume the user lacks raw socket privileges
——无特权:假设用户缺少原始的套接字特权
-V: Print version number
-V:打印版本号
-h: Print this help summary page.
打印这个帮助摘要页面。
EXAMPLES:
例子:
nmap -v -A scanme.nmap.org
nmap -v -A scanme.nmap。org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
nmap -v -iR 10000 -Pn - p80
SEE THE MAN PAGE (http://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES
有关更多选项和示例,请参见MAN页面(http://nmap.org/book/man.html)

九 :总结

账号基本安全措施

  • 系统账号清理、密码安全控制、命令历史清理、自动注销

用户切换与提权

  • su、sudo

开关机安全控制

  • BIOS引导设置、禁止Ctrl+Alt+Del快捷键、GRUB菜单设置密码

终端控制

john the ripper工具

namp命令

本章主要讲单方面的主机安全,没有从网络层面去管理安全

以上是关于理论:linux系统安全及应用的主要内容,如果未能解决你的问题,请参考以下文章

系统安全及应用(理论理论)

Linux系统安全及应用

Linux系统安全及应用

Linux系统安全及应用

Linux/Centos7系统管理之系统安全及应用

Linux系统管理11——系统安全及应用