开关机安全控制
调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备引导系统
将安全级别设为step,并设置管理员密码
GRUB限制
使用grub2-mkpasswd-pbkdf2生成秘钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
终端安全控制
在 Linux 系统中,默认开启了 tty 终端,允许任何用户进行本地登录
禁止root用户登录
vim /etc/securetty
禁止普通用户登录
输入删除命令即可取消该命令
弱口令检测与端口扫描
弱口令检测——John the Ripper
一款密码分析工具,支持字典式的暴力破解
通过对shadow文件的口令分析,可以检测密码强度
官方网站: http://www.openwall.com/john/
1.安装JR工具
安装方法 -----make clean系统类型
主程序文件为john
2.检测弱口令账号
获得Linux/Unix服务器的shadow文件
执行john程序,将shadow文件作为参数
3.密码文件的暴力破解
准备好密码字典文件,默认为password.lst
执行john程序,结合–wordlist=字典文件
网络扫描 NMAP
NMAP是一个强大的端口扫描类安全评测工具,支持ping 扫描、多端口检测等多种技术。
安装NMAP软件包
rpm -qa I grep nmap
yum install -y nmap
nmap常用选项和扫描类型
| 选项 | 功能 |
|---|---|
| -p | 指定扫描的端口 |
| -n | 禁用反向DNS解析(加快扫描速度) |
| -sS | TCP的SYN扫描(搬开扫描)指向目标发送SYN数据包,如果收到SYN/ACK响应包则认为端口正在监听,并立即断开,否则认为目标端口为开放 |
| -sT | TCP连接扫描,完整的TCP扫描方式(默认扫描类型)用来建立一个TCP连接,如果成功则认为端口正在监听,否则认为目标端口未开放 |
| -sF | TCP的FIN扫描,开放的端口会忽略这种数据包 |
| -sU | UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢 |
| -sP | ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描 |
| -P0 | 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应IcwP请求时,使用这种方式可以避免因无法ping通而放弃扫描 |
netstat -natp ##查看正在运行的使用TCP协议的网络状态信息
netstat -naup ##查看正在运行的使用UDP协议的网络状态信息
常用命令选项:
-a:显示主机中所有活动的网络连接信息(包括监听,非监听的服务端口)
-n:以数字的形式显示相关的主机地址、端口等信息
-t:查看TCP相关协议的信息
-u:显示UDP相关协议的信息
-p:显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r:显示路由表信息
-l:显示处于监听状态网络连接及端口信息
转载:https://blog.csdn.net/weixin_55609833/article/details/116142076
查看评论