linux系统安全-弱口令检测和端口扫描

一、linux系统安全概要

二、详细说明
1)用户方面清除一些不必要的系统用户,可以减少黑客攻击我们linux的入口;锁定账号适用于员工在一段时间不适用账号的场景(usermod -L);而锁定/etc下的passwd和shadow文件可以避免非法用户建立用户(chattr +i)
2)密码方面,设置密码有效期可以做到提醒用户定期更改密码,避免长期使用同一密码导致密码被破解的情况(vim /etc/login.defs和chage -M);设置员工首次登陆更改密码其实是为了员工在登陆账号后更改属于自己的密码(chage -d 0)
3)众所周知,默认的命令历史会显示之前敲过的1000条命令,假如linux被非法用户使用,通过history查看命令历史是一件很危险的事。所以,我们可以将命令历史的行数改的比较短,或者注销后直接清空来保证安全(export HISTSIZE=和vim ~/.bash_logout)。
4)自动注销(export TMOUT),即用户长时间不登陆自动返回登陆界面
5)工作中有时需要允许普通用户登陆操作系统,但是普通用户如果可以使用su切换用户则存在比较大的危险性,通过启用pam_wheel认证可以很好的避免此类情况的产生(vim /etc/pam.d/su);而通过修改/etc/sudoers文件可以为用户分配一些必要的权限(visudo或vim /etc/sudoers)。
6)禁止ctrl+alt+del快件键可以成功避免工作的按键失误带来的无法估量的损失。我们可以统过修改/etc/init/control-alt-delete.conf文件,将该文件中的对应配置前加上#,让它变为注释即可。
7)建立grub密码。通过grub引导时进入单用户模式修改root密码,可以说是一件很容易的事了。只要稍微了解linux系统的员工都可能做到这点。所以这样我们的linux的安全性就无法保障,所以grub密码修改是linux安全的必要做的一件事。首先我们通过grub-md5-crypt生成一个md5算法加密的密码,然后我们修改/boot/grub/grub.conf文件,将生成的密码粘贴到指定位置。
8)linux默认存在6个终端,有时候利用这6个终端切换可以很好的提高工作效率,然而另一方面它在我们看来也可以是6个系统的入口,所以关闭一些入口保证安全势在必行(vim /etc/init/start-ttys.conf&vim /etc/sysconfig/init)。
9)禁止不必要的用户登录。其实root用户的权限太大,也是一个隐存的问题,如果root密码泄露,被非法用户登陆,后果不堪设想。我们通过修改配置,可以做到禁止root从某些终端登陆系统(vim /etc/securetty)。而大多时候普通用户登陆操作系统是不必要且危险的,做法是在/etc下touch一个空文件nologin。
三、举例演示
1、弱口令检测
1)首先解压Jhon的安装包。

2)进入/usr/src/john.../src下,执行make clean linux-x86-64安装john。

3)建立测试用户zhangsan,密码123;lisi,密码1234


4)复制/etc/shadow(用户密码文件)到/root/shadow,执行/usr/src/john.../run/john扫描/root/shadow文件。

5)得出以下结果

2、端口扫描
1)找到光盘中的NMAP的rpm包,然后安装

2)为linux配置一个IP地址,后面会扫描127.0.0.1,如果本地机不配置地址,无法扫描

3)扫描本地机开启了什么TCP/UDP端口

4)扫描本地机的UDP端口

5)扫描192.168.1.100到192.168.1.200有哪些机器开启了20和21端口。(多个端口用“,”分隔,连续IP地址用“-”连接)

6)扫描192.168.1.0网段有哪些主机可以ping通

#补充nmap选项
-sF:tcp端口扫描
-sU:udp端口扫描
-sP:ICMP扫描,类似于ping检测
-P0:跳过ping检测,如果目标主机ping不通,则跳过扫描该主机

原文地址:http://blog.51cto.com/13434336/2092879

时间: 2024-10-14 03:36:15

linux系统安全-弱口令检测和端口扫描的相关文章

Linux服务器的弱口令检测及端口扫描

一.弱口令检测--John the Ripper John the Ripper工具可以帮助我们扫描出系统中密码安全性较低的用户,并将扫描后的结果显示出来. 1.安装John the Ripper:John the Ripper的源码包提取地址:https://pan.baidu.com/s/117J0GZ9moOHfUr-JAuOmug 提取码:n76p 也可从官网直接下载:https://www.openwall.com/john/ [[email protected] media]# ta

弱口令检测和端口扫描

一.实验环境 在Linux 6.0 以上版本上操作,并且用远程连接虚拟机rhk-2 二.操作脚本 1.光盘挂载 > mount /dev/cdrom /mnt 2.创建用户和设置用户密码 > useradd lisi > passwd lisi 3.建立yum仓库 > cd /etc/yum.repos.d/ > vim aaa.repo > ---[aaa] > ---name=test > ---baseurl=file:///mnt > ---e

linux安全---系统更新+弱口令检测工具+nmap扫描工具

1.添加yum及更新系统 a.更新设置: echo  "0 3 * * 6 yum -y  update" >>/var/spool/cron/root b.添加repo源也叫yum源 添加国内mirrors,提速: cd  /etc/yum.repos.d/ mv  ./*  /root/ wget http://mirrors.aliyun.com/repo/Centos-6.repo   ##下载阿里云yum源 yum  makecache  ##生成缓存 yum  

CentOS 7系统安全之终端安全控制、系统弱口令检测与端口扫描

一.终端登录安全控制 1.限制root在安全终端登录安全终端配置:/etc/securetty如图我们执行"vim /etc/securetty"命令进入配置文件,只需从该文件中删除或者注释掉对应的行即可禁止 root 用户从指定的终端登录.2.禁止普通用户登录当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统.这时候,只需要简单地建立/etc/nologin 文件即可.如图执行"touch /etc/nologin"命令即可禁止普通用户登录.执

弱口令检测、端口扫描

前言:在inter环境中,过于简单的口令是服务器面临的最大风险.对于任何一个承担这安全责任的管理员,及时找出这些弱口令是非常必要的,这样便于采取进一步的安全措施, 使用John the Ripper 检测Linux.Unix系统用户的密码强度,使用NMAP扫描端口,可以找出网络中不可控的应用服务,及时关闭不安全的服务,减小安全风险. 1.弱口令探测(john  the ripper) 1)下载并安装:官方网站是http://openwall.com/john/,在该网站可以获取最新的稳定版源码包

Linux的弱口令检测

在internet环境中,过于简单的口令会使服务器面临重要的风险.作为管理人员的我们应及时找出那些密码强度较弱的用户账户,便于进行下一步的安全措施.我们可以安装John the Ripper 软件进行检测用户的密码强度.下面我们来介绍一下如何安装弱口令扫描工具,并作测试.一. 实验前的步骤挂载windows共享出来的文件夹,并对共享的文件夹下的John the Ripper进行安装.被挂载端的步骤如下: 右击被共享的文件,文件中有弱扫描安装包John the Ripper 选择"属性"

linux Redhat6.5中 使用john进行弱口令检测

弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令.弱口令指的是仅包含简单数字和字母的口令,例如"123"."abc"等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用.john the Ripper是一款密码破解工具,下面我们用它对用户密码强度进行检测,破解出弱口令的账户密码. 1:首先获取这个安装包 通过共享文件 从宿主机里拿到这个安装包扫描

弱口令检测——John the Ripper

在网络环境中,过于简单的口令是服务器面临的最大风险,对于一个承担安全责任的服务器管理员来说,及时找到一些弱口令帐户是非常必要的,这样便于采取进一步安全措施(提醒帐户重设更安全的口令密码)John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明文的密码字串,同样也允许使用密码字典进行暴力破解.所以通过这个工具可以检测linux系统用户的密码强度首先在官方网站(http://www.openwall.com/john/)下载好源码包,以redhat6.5系统的虚拟

利用Linux系统函数alarm() 来检测计算机性能

大家都知道,alarm() 是Linux系统自带的定时函数,操作系统管理进程时为每个进程分配了一个定时器,下面利用1秒钟定时,看计算机能计数多少来判断计算机的性能: #include<stdio.h> #include<unistd.h> int main() { int counter; alarm(1); for(counter=0;1;counter++) printf("counter=%d",counter); return 0; } 我的计算机测得是