系统安装及应用

一、 账户安全控制
1、 锁定和解锁用户
（1） 禁止用户登录系统

[root@centos03 ~]# usermod -s /sbin/nologin bob

（2） 允许用户登录系统

[root@centos03 ~]# usermod -s /bin/bash bob

（3） 使用usermod锁定用户

[root@centos03 ~]# usermod -L bob

（4） 查看用户是否锁定

[root@centos03 ~]# passwd -S bob

（5） 解锁用户

[root@centos03 ~]# usermod -U bob

（6） 锁定账户密码文件

[root@centos03 ~]# chattr +i /etc/passwd /etc/shadow

（7） 解锁用户密码文件

[root@centos03 ~]# chattr -i /etc/passwd /etc/shadow

（8） 查看账户密码文件状态

[root@centos03 ~]# lsattr /etc/passwd /etc/shadow

（9） 删除用户和文件

[root@centos03 ~]# userdel -r tom

2、 控制用户密码有效期限
（1） 设置密码20天后过期

[root@centos03 ~]# chage -M 20 bob

（2） 设置用户下次登录修改密码

[root@centos03 ~]# chage -d 0 bob

3、 设置命令历史记录
（1） 设置命令历史记录11条

[root@centos03 ~]# vi .bash_profile
export HISTSIZE=11

退出前

退出后

（2） 自动清空历史命令

 [root@centos03 ~]# vi .bash_logout
 histroy -c
 clear

（3） 设置终端空闲600秒自动注销

[root@centos03 ~]# vi .bash_profile
export TMOUT=600

二、 用户切换和提权
1、 su命令切换用户
（1） 普通用户切换到root需要输入密码

[bob@centos03 root]$ su –
[bob@centos03 root]$ su –login
[bob@centos03 root]$ su -l

（2） 修改apm身份验证，允许wheel组用户使用su

 [root@centos03 ~]# vi /etc/pam.d/su
 #%PAM-1.0
 auth            sufficient      pam_rootok.so
 auth            required        pam_wheel.so use_uid

（3） 修改配置文件允许wheel组使用su

[root@centos03 ~]# vi /etc/login.defs
SU_WHEEL_ONLY yes

（4） 允许使用su命令用户添加到wheel组

 [root@centos03 ~]# gpasswd -a bob wheel

使用bob和tom测试

2、 配置sudo授权普通用户使用root权限命令
（1） 编辑sudo配置文件

 [root@centos03 ~]# vi /etc/sudoers
 bob   localhost=/usr/sbin/reboot

使用wq!强制保存退出
（2） 将用户添加到wheel组

 [root@centos03 ~]# gpasswd -a bob wheel

（3） 使用sudo提权执行重新启动系统命令

 [bob@centos03 ~]$ su reboot

（4） 查看授权的命令

 [root@centos03 ~]# sudo -l

三、 Linux系统开机控制
1、 禁止ctrl+alt+delete
（1） 禁用快捷键

[root@centos03 ~]# systemctl mask ctr+alt+del.target

（2） 重新启动服务

 [root@centos03 ~]# systemctl daemon-reload

2、 配置grub引导菜单密码
（1） 生成grub引导菜单密码

 [root@centos03 ~]# grub2-mkpasswd-pbkdf2

（2） 备份引导菜单

[root@centos03 ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@centos03 ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

（3） 添加grub引导菜单密码

[root@centos03 ~]# vi /etc/grub.d/00_header
cat <<EOF
set superusers="root"
password_pbkdf2 root 密码算法
EOF

（4） 重新生成引导菜单

 [root@centos03 ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

（5） 限制root在安全终端登录的个数

 [root@centos03 ~]# vi /etc/securetty

3、 弱口令检测jr工具使用
（1） 安装jr

 [root@centos03 ~]# cd /usr/src/john-1.8.0/src/
 [root@centos03 src]# make clean linux-x86-64

（2） 备份密码配置文件

 [root@centos03 ~]# cp /etc/shadow ./1.txt

（3） Jr破解密码文件

 [root@centos03 ~]# cd /usr/src/john-1.8.0/run/
 [root@centos03 run]# ./john /root/1.txt

4、 Nmap
（1） nmap常见的扫描选项

-sS：扫描关闭的服务
-sT：扫描TCP协议
-sU:扫描UDP协议
-sP：扫描icmp协议
-P0:跳过ping

（2） 安装nmap（切换光盘）

 [root@centos03 ~]# yum -y install nmap

（3） 扫描192.168.100.30开放的端口信息

 [root@centos03 ~]# nmap 192.168.100.30

（4） 扫描特定的端口

 [root@centos03 ~]# nmap -p 22 192.168.100.30

（5） 扫描多个端口

 [root@centos03 ~]# nmap -p 22,21 192.168.100.30

（6） 扫描192.168.100.0网络

 [root@centos03 ~]# nmap 192.168.100.*

再见！！！