1. 首页首页
  2. 科技前沿科技前沿

pass是什么服务(pass是什么功能)

科技前沿 阅读 41

pass是什么服务(pass是什么功能)p id 345R1GKA 一 账户安全及权限 p p id 345R1GKB strong 禁用 r o o t 以外的超级用户 strong p p id 345R1GKC 1 检测方法 p

大家好,我是讯享网,很高兴认识大家。




讯享网

 <p id="345R1GKA">一、账户安全及权限</p><p id="345R1GKB"><strong>禁用r o o t以外的超级用户</strong></p><p id="345R1GKC">1 . 检测方法:</p><p id="345R1GKD">cat /etc/passwd 查看口令文件,文件格式如下login_name:password:user_ID:group_ID:comment:home_dir:command若user_ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0</p><p id="345R1GKE">2 . 检测命令:</p><p id="345R1GKF">cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'</p><p id="345R1GKG">3 . 备份方法:</p><p id="345R1GKH">cp -p /etc/passwd /etc/passwd_bak</p><p id="345R1GKI">4 . 加固方法:</p><p id="345R1GKJ">使用命令passwd -l &lt;用户名&gt;锁定不必要的超级账户使用命令passwd -u &lt;用户名&gt;解锁需要恢复的超级账户或把用户shell改为/sbin/nologin</p><p id="345R1GKK"><strong>删除不必要的账号</strong></p><p id="345R1GKL">1 . 应 该删除所有默认的**作系统本身启动的并且不必要的账号, L i n u x 提供了很多默认账号, 而<br/>账 号越多, 系统就越容易受到攻击。<br/>2 . 可删除的用户, 如<br/>adm,lp,sync,shutdown,halt,mail,operator,games,ftp等</p><p id="345R1GKM">3 . 可删除的组, 如</p><p id="345R1GKN">adm,lp,games,mail等</p><p id="345R1GKO">4 . 删 除命令</p><p id="345R1GKP">userdel usernamegroupdel groupname</p><p id="345R1GKQ"><strong>用户口令设置</strong></p><p id="345R1GKR">用户口令是Linux/Unix安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能激活成功教程的用户口令,但选取得当的口令是难于激活成功教程的。</p><p id="345R1GKS">较好的用户口令是那些只有他自己容易记得并理解的一串字符,最好不要把密码记录出来,如果有需要的话,也要保管好记录密码的文件,或者将这个文件加密。生产环境口令要求:包含大写字母、小写字母、数字和特殊字符四种中的三种,并且口令整体长度大于10位,每台服务器的口令不相同。</p><p id="345R1GKT">修改密码长度/etc/login.defs</p><p id="345R1GKU">PASS_MIN_LEN 10</p><p id="345R1GKV"><strong>检查空口令账号</strong></p><p id="345R1GL0">如果发现有账号口令为空,需要强制加入符合规格的口令<br/>检查方法:</p><p id="345R1GL1">awk -F ":" '($2 =="" ) {print $1}' /etc/shadow</p><p id="345R1GL2"><strong>口令文件加锁</strong></p><p id="345R1GL3">chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。#chattr +i/etc/passwd#chattr +i/etc/shadow#chattr +i/etc/group#chattr +i/etc/gshadow</p><p id="345R1GL4">l s a t t r 只是显示文件的属性</p><p id="345R1GL5"><strong>设置r o o t 账户自动注销时限</strong></p><p id="345R1GL6">修改环境引导文件/etc/profile中的TMOUT参数,TMOUT参数按秒计算vi /etc/profile在"HISTFILESIZE="后面加入下面这行TMOUT=300改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能如果想修改某个用户的自动注销时限,可以在用户目录下的".bashrc"文件中添加该值,以便系统对该用户实行特殊的自动注销时间</p><p id="345R1GL7"><strong>限制su命令</strong></p><p id="345R1GL8">禁止任何人能够su切换为root,编辑/etc/pam.d/su文件,增加如下行:</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F107f9052j00slsmoe00end000xa00d9m.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GLA">这时,仅wheel组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令:#usermod –G 10 admin</p><p id="345R1GLB"><strong>限制普通用户无法执行关机、重启、配置网络等敏感操作</strong></p><p id="345R1GLC">删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等程序的访问控制文件,以禁止普通用户执行该命令也可以整体删除/etc/security/console.apps下的所有配置文件rm –rf /etc/security/console.apps/*</p><p id="345R1GLD"><strong>禁用C t r y+ Alt + De le t e组合键重新启动机器命令</strong></p><p id="345R1GLE">修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。</p><p id="345R1GLF"><strong>设置开机启动服务文件夹权限</strong></p><p id="345R1GLG">设置/etc/rc.d/init.d/目录下所有文件的许可权限,此目录下文件<br/>为开机启动项,运行如下命令:</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F7a8b4c9bp00slsmoe001jd000js002cm.png&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GLI">这样便仅有root可以读、写或执行上述所有脚本文件。</p><p id="345R1GLJ"><strong>避免lo g in时显示系统和版本信息</strong></p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F1349f805j00slsmod0011d000vy008gm.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GLL"><strong>限制网络访问</strong></p><p id="345R1GLM">NF S访问</p><p id="345R1GLN">使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使<br/>用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。<br/>/dir/to/exporthost1.mydomain.com(ro,root_squash)<br/>/dir/to/exporthost2.mydomain.com(ro,root_squash)</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2Ff074675dj00slsmod000xd000y0005um.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GLP">/dir/to/export是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读<br/>系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。<br/>#/usr/sbin/exportfs-a</p><p id="345R1GLQ"><strong>登录终端设置</strong></p><p id="345R1GLR">/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字<br/>列表,可以编辑/etc/securetty且注释掉如下的行。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2Fa8cabc1dp00slsmoe0010d000j30028m.png&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2Fd2de2ff8j00slsmod000od000mi00cem.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GLV">这时,root仅可在tty1终端登录。</p><p id="345R1GM0"><strong>防止攻击</strong></p><p id="345R1GM1">一、 防止I P欺骗<br/>编辑host.conf文件并增加如下几行来防止IP欺骗攻击。</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F22b341b0j00slsmoe002ld000k50065m.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GM3">1 . o r d e r h o s t s , b i n d #名称解释顺序2 . m u l t i o n #允许主机拥有多个I P 地址3 . n o s p o o f o n #禁止I P 地址欺骗</p><p id="345R1GM4"><strong>防止D o S攻击</strong></p><p id="345R1GM5">对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以<br/>在/etc/security/limits.conf中添加如下几行:</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F9e81808dj00slsmoe001od000yu00gqm.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GM7">然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。<br/>sessionrequired/lib/security/pam_limits.so</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F8a9ab177j00slsmoe00ejd000te00d8m.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GM9">上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。</p><p id="345R1GMA"><strong>阻 止p i n g , 抵御S Y N :</strong></p><p id="345R1GMB">如果没人能p i n g 通系统, 安全性自然增加了, 为此, 我们可以在/ e t c / r c . d / r c . l o c a l 文件中增<br/>加如下一行</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2F88cd2dd3p00slsmoe001od000ma0026m.png&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GMD">S Y N 攻击是利用T C P / I P 协议3 次握手的原理, 发送大量的建立连接的网络包, 但不实际 建立连接, 最终导致被攻击服务器的网络队列被占满, 无法被正常用户访问。L i n u x 内核提供了若干S Y N 相关的配置, 用命令:</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2Fdc54390bj00slsmoe001pd0011w00c6m.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GMF">t c p _ m a x _ s y n _ b a c k l o g 是S Y N 队列的长度, t c p _ s y n c o o k i e s 是一个开关, 是否打开 S Y N C o o k i e功能, 该功能可以防止部分S Y N 攻击。t c p _ s y n a c k _ r e t r i e s 和该文档由 www.xiaokuake.com 整理,版权归原作者所有。t c p _ s y n _ r e t r i e s 定义S Y N 的重试次数。</p><p id="345R1GMG">加 大S Y N 队列长度可以容纳更多等待连接的网络连接数, 打开S Y N C o o k i e功能可以阻 止部分S Y N 攻击, 降低重试次数也有一定效果。</p><p id="345R1GMH">调 整上述设置的方法是:</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1023%2Fe547e533j00slsmoe00dgd000ne00e1m.jpg&thumbnail=660x&quality=80&type=jpg"/><br/><br/></p><p id="345R1GMJ">s y s c t l - w n e t . i p v 4 . t c p _ m a x _ s y n _ b a c k l o g = 2 0 4 8 # 增加S Y N 队列长度到2 0 4 8 s y s c t l - w n e t . i p v 4 . t c p _ s y n c o o k i e s = 1 # 打开S Y N C O O K I E功能 s y s c t l - w n e t . i p v 4 . t c p _ s y n a c k _ r e t r i e s = 3 # 降低重试次数 s y s c t l - w n e t . i p v 4 . t c p _ s y n _ r e t r i e s = 3</p>

讯享网
小讯
上一篇 2025-04-27 23:10
下一篇 2025-05-11 18:41

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/197827.html