1、基本安全措施

         （1）修改认证文件/etc/pa.d/su. 启用pam_whee;.so认证模块

vim /etc/pam.d/su auth required pam_wheel.so use_uid （去#注释） 

        （2）将radmin用户加入wheel组

讯享网useradd radmin gpasswd -a radmin wheel （创建用户并加入到wheel组）

        （3） 验证除root，radmin用户外，其他用户不能使用su命令进行切换

useradd zs passwd zs su - zs su - root

2、 设置sudo授权

         （1）授权用户zs使用useradd、userdel、password、usermod命令，但禁止其执行password root、usermod * root操作

讯享网useradd ls passwd ls （创建用户zls并设置密码）

        （2）授权ls用户使用/sbin/* ,  /usr/sbin/*命令，添加NOPASSSWD,以取消验证，添加Defaults logfile配置行，以启用sudo日志

visudo （添加） zs localhost=/usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd,/usr/sbin/us ermod,!/usr/bin/passwd root,!/usr/sbin/usermod * root ls localhost=NOPASSWD:/sbin/*/usr/sbin* Defaults logfile = "/var/log/sudo"

         （3）分别以zs、ls用户登录，验证授权的sudo操作，并查看日志

讯享网su - zs sudo -l sudo /usr/sbin/useradd xiaoming sudo /usr/bin/passwd xiaoming 

3、 限制引导及登录过程

        （1）禁止Ctrl+ Alt+Del快捷键重启

cat /etc/inittab ll /usr/lib/systemd/system/ctrl-alt-del.target systemctl mask ctrl-alt-del.target （注销ctrl-alt-del.target服务） systemctl daemon-reload （重新加载systemd配置）

        （2）限制更改GRUB引导参数 

讯享网grub2-mkpasswd-pbkdf2 （根据提示指定密码） PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.1D775A815A74FCA0D1B7823E9BAFEF26AC8A1A8D3B5E81970D73F5CEDE01BCEFFA854DECFFEA418AA05CD1558AF9BB71654CECEA7D0CEA.57EFE5954A8DE323F11CAB9C6F6516C7EBD7D174A1CA45AA593F9C5D13D0E41860F6334FA26B8CB7E1A393B5B44FB21F280B8246A6E4FEE64B971F4204 cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak cp /etc/grub.d/00_header /etc/grub.d/00_header.bak vim /etc/grub.d/00_header （添加） cat <<EOF set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.1D775A815A74FCA0D1B7823E9BAFEF26AC8A1A8D3B5E81970D73F5CEDE01BCEFFA854DECFFEA418AA05CD1558AF9BB71654CECEA7D0CEA.57EFE5954A8DE323F11CAB9C6F6516C7EBD7D174A1CA45AA593F9C5D13D0E41860F6334FA26B8CB7E1A393B5B44FB21F280B8246A6E4FEE64B971F4204 grub2-mkconfig -o /boot/grub2/grub.cfg （生成新的grub.cfg文件） reboot （重启） 开机时无法按E进入修改引导参数

4、终端及登录控制

         （1）禁止root用户登录tty5、tty6

讯享网

vim /etc/securetty #tty5 #tty6 （注释掉）

        （2）禁止普通用户登录

讯享网touch /etc/nologin

5、弱口令检测、端口扫描 

tar zxf john-1.8.0.tar.gz -C /usr/src/ cd /usr/src/john-1.8.0/src/ make clean linux-x86-64 ls ../run/john （确认已生成可执行程序） 

        （2）检测弱口令账户

讯享网cp /etc/shadow /root/shadow.txt （准备待激活成功教程的密码文件） cd ../run/ ./john /root/shadow.txt （执行暴力激活成功教程） ./john --show /root/shadow.txt （查看已激活成功教程出的账户列表）

        （3）使用密码字典字典文件激活成功教程

:> joho.pot （清空已激活成功教程出的账户列表，以便重新分析） ./john --wordlist=./password/lst /root/shadow.txt 

 6、网络扫描—NMAP

讯享网rpm -ivh nmap-6.40-7.el7.x86_64.rpm

        （2）检查开放那些TCP端口、UDP端口 

nmap 127.0.0.1 （查看tcp端口） nmap -sU 127.0.0.1 （查看udp端口）

        （3）检查网段中有哪些主机提供ftp服务

讯享网nmap -p 21 192.168.1.0/24

        （4）快速检查网段中存活的主机（能ping通的）

nmap -n -sP 192.169.1.0/24 

        （5）检查IP地址位于192.168.1.100~200的主机是否开启文件共享服务

讯享网 nmap -p 139,445 192.168.1.100-200