IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Linux骚操作第十七话之PAM验证、sudo和开关机控制等 -> 正文阅读

[系统运维]Linux骚操作第十七话之PAM验证、sudo和开关机控制等

前言

在工作环境中,一些用户的权限都是由root系统管理员通过sudo放权给予,这样做的好处是防止某些用户存在故意之心,破坏系统。

一、PAM安全认证流程

控制类型也称为Control Flags.用于PAM验证类型的返回结果,在整个验证过程中,最为主要的就是required验证,若required验证失败,结果则为false,若required验证成功,结果则为success。
在这里插入图片描述

二、提权

1、sudo命令用途和用法
1.1、用途:以其他用户身份(root)执行授权的命令
1.2、用法:sudo 授权命令

2、配置sudo授权
2.1、visudo或者vi /etc/sudoers
2.2、第一种记录格式:用户 主机名=命令程序列表;
2.3、第二种记录格式:用户 主机名=(用户)命令程序列表

3、用户别名
3.1、命令用途:当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、 主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。
3.2、用户别名的语法格式用户:User_Alias 用户别名:包含用户、用户组,其他用户的别名主机名:Host_Alias主机别名:主机名、IP、网络地址命令路径:Cmnd_Alias 命令路劲、目录(此目录内的所有命令)、其他事先定义过的命令别名

4、启动sudo操作日志sudo日志记录以备管理员查看,如果已经启用 sudo 日志,则可以从/var/log/sudo 文件中看到用户的 sudo 操作记录

5、案例1:王三用户可以使用useradd以及usermod命令
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、案例2:chenhao\chendaoming\wangyang用户禁止使用删除和重启,可以使用mkdir创建文件夹
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
7、案例3:启动sudo操作日志
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

三、开关机安全控制

1、调整BIOS引导设置
1.1、将第一引导设备设为当前系统所在硬盘
1.2、禁止从其他设备引导系统
1.3、将安全级别设为setup,并设置管理员密码

2、GRUB密码
2.1、使用grub2-mkpasswd-pbkdf2生成密钥
2.2、修改/etc/grub.d/00_header文件中,添加密码记录
2.3、生成新的grub.cfg配置文件
2
.4、案例

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3、限制root只在安全终端登录
3.1、安全终端配置:/etc/securetty
3.2、案例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

四、系统弱口令检测

1、安装JR工具
1.1、安装方法:make clean 系统类型
1.2、主程序文件为john

2、检测弱口令账户
2.1、获得Linux/unix服务器的shadow文件
2.2、执行john程序,将shadow文件作为参数

3、密码文件的暴力破解
3.1、准备好密码字典文件,默认是password.lst
3.2、执行john程序,结合–word list=字典文件

4、案例:暴力破解系统的用户和密码
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、网络端口扫描

1、NMAP的扫描
1.1、基本命令:nmap [扫描类型] [选项] <扫描目标>

1.2、常用扫描类型:-sS、-sT、-sF、-sU、-sP、-P02、

1.3、常用选项
-p:指定扫描的端口。

-n:禁用反向DNS解析(以加快扫描速度)

-sS: TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。

-sT: TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。

-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性

-sU: UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。

-sP: ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。

-P0:跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描。

3、控制位:SYN 建立链接、ACK 确认、FIN 结束断开PSH 传送 0 数据缓存 上层应用协议、RST 重置、URG 紧急

4、案例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

总结

sudo的作用一是可以维护系统的安全。二是root控制有序的根据需求给不同的用户放权,起到管理普通用户的作用,在使用时,由于性质不同,用户的数量不定,则需要使用别名来统一管理,既高效又便捷。在GRUB菜单中,为了防止有心人擅自改动root系统,则使用密钥方式将菜单锁定,须得匹配用户和密码才能进入急救模式。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章           查看所有文章
加:2021-08-22 13:52:26  更:2021-08-22 13:55:18 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:25:33-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计