centOS账户安全控制(二)

接着上一篇文章继续为大家介绍Linxu系统中的账户安全控制

开关机安全选项
1、调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setop,并设置管理员密码
2、GRUB限制
使用gurb2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
grub菜单控制
在grub菜单中是可以直接编辑的,不是很安全,如果要进行修改的话必须要知道管理员的账号和密码。
1、首先我们用root用户登录先进行备份。
输入

cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
cp /etc/grub.d/00_header /etc/grub.d/00_header.bak(备份头文件)
grub2-mkpasswd-pbkdf2(哈希密钥加密)

2、敲击回车之后会让我们输入密码,输入123456,回车之后生成了一串密码,"is"后面的部分是有用的部分,复制后面的密码。


3、接下来设置头文件,输入

vim /etc/grub.d/00_header


4、按"G"到末行,按"o"在下一行插入,输入cat << EOF, 在下一行输入"set superusers="root",再再下一行把粘贴的密码复制过来,在密码的开头输入passwd_pbkdf2 root,wq保存退出。

5、接下来就是进行配置grub,输入

grub2-mkconfig -o /boot/grub2/grub.cfg


6、输入init 6 重新启动,看到加载界面按e,会发现要我们输入用户root和root密码。

系统弱口令检测

Joth the Ripper,简称为JR
一款密码分析工具,支持字典式的暴力破解
通过shadow文件的口令分析,可以检测密码强度
官方网站:http://www.openwall.com/john/

2.安装JR工具:
安装方法:make clean 系统类型
主程序文件为john
3.检测弱口令账号:
获得Linux/Unix服务器的shadow文件
执行john程序,将shadow文件作为参数
4.密码文件的暴力破解:
准备好密码字典文件,默认为password.lst
执行john程序,结合—wordlist=字典文件
1、输入vim /etc/shadow可以看到好多密文。

2、现在可以用密码侦测,来侦测一下账户的弱口令(密码必须是简单的组合,容易破解的),现在我们需要john-1.8.0.tar.gz的工具包。接下来我们要使用共享,输入:smbclient -L //192.168.100.3/(查看共享)

3、接下来进行挂载,输入mount.cifs //192.168.10.10/LAMP /mnt/

4、用df-hT查看挂载情况。

5、cd /mnt/里查看到压缩包,输入tar zxvf john-1.8.0.tar.gz -C /opt/。

6、cd /opt/里,输入ls可以查看到解压之后的目录,cd john-1.8.0 rh 可以看到其中的配置文件。

7、输入cd yun/中,输入ls查看到其中是还没有生成的能执行的工具,是没有脚本的,需要我们根据源码来配置。

8、切换到上一层,输入cd src/,ls查看源码,可以看到其中都是以.c为结尾的文件是C语言文件。

9、接下来安装编译器,输入yum install gcc gcc-c++ -y

10、安装完之后直接进行编译,输入make linux-x86-64

11、输入cd ../run/进入,输入ls可以看到john的脚本。

12、接下来就是执行脚本输入./john /etc/passwd /etc/shadow,看看是否能解析出来。

13、之所以能解析出来是因为其中有paaswdord.lst 字典,里面全是密码。

网络端口扫描
NMAP的扫描方法
nmap[扫描类型][选项]<扫描目标>
常用的选项
-aS:TCP SYN扫描
-sT:TCP连接扫描
-sF:TCP FIN扫描
-sU:UDP扫描
-sP:检测ping
-P0:跳过ping检测
1、输入yum install nmp -y(免交互安装工具)
netstat -ntap(查看tcp端口)

2、输入:netstat -nuap(查看udp端口)

3、我们也可以检测到对外提供的被连接的端口服务
输入:nmap -sT 127.0.0.1(显示出对外连接的端口)

4、输入yum install httpd -y 安装http服务,用nmap -sT 127.0.0.1查看是否能可能到httpd的80端口。

5、我们可以用nmap -sP查看同网段的主机是否处于在线状态。

6、如果想看某一台主机端口的详细信息可以输入nmap -sT 192.168.71.141

原文地址:https://blog.51cto.com/14307755/2433213

时间: 2024-11-04 06:35:31

centOS账户安全控制(二)的相关文章

centos账户的uid和gid

修改/etc/passwd和/etc/group文件的UID和GID为0,可以获得root权限,不过不推荐~ UID和GID Linux系统如何区别不同的用户呢?可以很自然地想到,使用不同的用户名应该是一个好主意,就像真实世界中每个人都有名字一样.但"用户名"只是一种方便让人读的字符串,对机器来说是没有意义的.事实上,Linux系统采用一个32位的整数记录和区分不同的用户,这意味着系统可以记录多达40亿个不同的用户.这个用来区分不同用户的数字被称为User ID,简称UID.系统会自动

从2个命令简单聊聊CentOS账户锁定原理

实验环境 #uname -a Linux a69.hunk.edu 2.6.32-696.el6.x86_64 #1 SMP Tue Mar 21 19:29:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux #cat /etc/redhat-release CentOS release 6.9 (Final) passwd命令 -l, --lock              lock the password for the named account (r

centOS7账户安全控制(一)

今天讲的是Linux里的账号安全控制 用户账号,是计算机使用者的身份凭证和标识,每一个要访问系统资源的人,必须凭证借其用户账号才能进入计算机. 系统账号清理 在Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程中而生成的其他大量账号.除了超级用户root之外,其他大量账户只是用来维护系统运作.自动或保持服务进程,一般是不允许登录的,因此也称为非登录用户. 1.首先输入grep "bash" /etc/passwd 查看有哪些用户可以登录当前的服务器.2.创建新

centos 安装qrcode &#160;二维码

先安装yum install  mingw64-pkg-config.x86_64 yum install cairo-devel 然后报错,好像是gcc版本有点低,现在的版本是4.4.7 那么接下来的任务就是升级gcc版本 wget http://people.centos.org/tru/devtools-2/devtools-2.repo -O /etc/yum.repos.d/devtools-2.repo yum install devtoolset-2-gcc devtoolset-

Win7+CentOS双系统(二)

在之前的文章中我们实现了Win7+CentOS6.3双系统的安装和使用,不过比较不幸的是在CentOS6.4版本时其安装文件大小已经超过了FAT文件系统所能容纳的单个文件大小4G.我们使用FAT文件系统格式的分区来存放CentOS安装文件供安装使用的操作就无法继续了. 这篇随笔介绍了使用工具在Windows环境下创建和写入ext3文件系统格式分区的方法,基于ext3文件系统,我们得以存放CentOS6.4的安装文件,让安装得以成功. 除了前文的三个软件需要使用之外,本文还使用了一个在Window

CentOS项目实例之二--DHCP配置

1. ZZSRV1上的DHCP配置 1.1. 安装 # mkdir /mnt/cdrom/ # mount /dev/cdrom  /mnt/cdrom # cd /mnt/cdrom/Packages/ # ls dhcp* dhcp-4.2.5-27.el7.centos.x86_64.rpm  dhcp-common-4.2.5-27.el7.centos.x86_64.rpm  dhcp-libs-4.2.5-27.el7.centos.x86_64.rpm # rpm -Uvh dhc

Centos DNS服务(二)-bind主从配置与基于TSIG加密的动态更新

DNS的主从配置 DNS从服务器也叫辅服DNS服务器,如果网络上某个节点只有一台DNS服务器的话,首先服务器的抗压能力是有限的,当压力达到一定的程度,服务器就可能会宕机罢工,其次如果这台服务器出现了硬件故障那么服务器管理的区域的域名将无法访问.为了解决这些问题,最好的办法就是使用多个DNS服务器同时工作,并实现数据的同步,这样两台服务器就都可以实现域名解析操作. 从服务器要点 1.应该为一台独立的名称服务器 2.主DNS服务器的区域解析库文件中必须有一条NS记录指向从服务器 3.从DNS服务器只

Postfix部署之CentOS 7系列 (二) CentOS网络设置

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 1.Minimal ISO,安装时没有设置网络,安装后ifconfig不可用 2.运行cd /etc/sysconfig/network-scripts,跳转到 /etc/sysconfig/network-scripts 目录 3. 用vi打开 ifcfg-eth0 (vi ifcfg-eth0)(也可能是eth1,或者其他,不

lduan Centos 7 KVM Centos Windos (二)