福州网站制作维护服务,深圳网站设计clh,做网站有维护费是什么费用,17网站一起做网店浙江目录
一. PAM认证
1.2 初识PAM
1.2.1 PAM及其作用
1.2.2 PAM认证原理
1.2.3 PAM认证的构成
1.2.4 PAM 认证类型
1.2.5 PAM 控制类型
二. limit
三. GRUB加密 /etc/grub.d目录
四. 暴力破解密码
五. 网络扫描--NMAP
六. 总结 一. PAM认证
1.2 初识PAM
PAM是Linux系…目录
一. PAM认证
1.2 初识PAM
1.2.1 PAM及其作用
1.2.2 PAM认证原理
1.2.3 PAM认证的构成
1.2.4 PAM 认证类型
1.2.5 PAM 控制类型
二. limit
三. GRUB加密 /etc/grub.d目录
四. 暴力破解密码
五. 网络扫描--NMAP
六. 总结 一. PAM认证
1.2 初识PAM
PAM是Linux系统可插拔认证模块。
1.2.1 PAM及其作用
1PAM是一种高效且灵活便利的用户级别认证方式也是当前Linux服务器普遍使用的认证方式。
2PAM提供了对所有服务进行认证的中央机制适用于本地登录远程登录如telnet,rlogin,fsh,ftp,点对点协议PPPsu等应用程序中系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。
3系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。 1.2.2 PAM认证原理
1PAM认证一般遵循这样的顺序Service(服务)→PAM(配置文件)→pam_*.so。
2PAM认证首先需要确定哪一项服务然后加载相应的PAM的配置文件在/etc/pam.d中 最后调用认证文件在/lib/security下进行安全认证。
3用户访问服务器的时候服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果我想查看某个程序是否支持PAM认证可以使用ls命令进行查看。如图所示 1.2.3 PAM认证的构成
每一行都是一个独立的认证过程 每一行可以区分为三个字段 认证类型 控制类型 PAM 模块及其参数 1.2.4 PAM 认证类型
认证管理authentication management接受用户名和密码进而对该用户的密码进行认证 帐户管理account management检查帐户是否被允许登录系统帐号是否已经过 期帐号的登录是否有时间段的限制等密码管理password management主要是用来修改用户的密码 会话管理session management主要是提供对会话的管理和记账。 1.2.5 PAM 控制类型
控制类型也可以称做 Control Flags用于PAM验证类型的返回结果
1required 验证失败时仍然继续但返回 Fail 2requisite 验证失败则立即结束整个验证过程返回 Fail 3sufficient 验证成功则立即返回不再继续否则忽略结果并继续 4optional 不用于验证只是显示信息通常用于 session 类型 二. limit
功能在用户级别实现对其可使用的资源的限制例如可打开的文件数量可运行的进程数量可用内存空间 修改限制的办法
使用 ulimit 命令
ulimit是linux shell的内置命令它具有一套参数集用于对shell进程及其子进程进行资源限制。
ulimit的设定值是 per-process 的也就是说每个进程有自己的limits值。使用ulimit进行修改立即生效。ulimit只影响shell进程及其子进程用户登出后失效。当然可以在profile中加入ulimit的设置变相的做到永久生效。选项参考上图。 三. GRUB加密
/etc/grub.d目录
定义每个菜单项的所有脚本都存放在/etc/grub.d目录中这些脚本的名称必须有两位的数字前缀其目的是构建GRUB 2菜单时定义脚本的执行顺序以及相应菜单项的顺序比如00_header文件首先被读取。 文件 描述 00_header 设置grub默认参数 10_linux 系统中存在多个linux版本 20_ppc_terminfo 设置tty控制台 30_os_prober 设置其他分区中的系统(硬盘中有多个操作系统时设置) 40_custom和41_custom 用户自定义的配置 由于GRUB 2负责引导linux系统其作为系统中的第一道屏障的安全性非常重要对GRUB 2进行加密可以实现安全性。 在默认情况下GRUB 2对所有可以在物理上进入控制台的人都是可访问的。任何人都可以选择并编辑任意菜单项并且可以直接访问GRUB命令行。要启用认真支持必须将环境变量超级用户设置为一组用户名(可以使用空格、逗号、分号作为分隔符)这样就只允许超级用户使用GRUB命令行、编辑菜单项以及执行任意菜单项。 GRUB 2密码支持以下两种格式 明文密码密码数据没有经过加密安全性差 PBKDF2加密密码密码经过PBKDF2哈希算法进行加密在文件中存储的是加密后的密码数据安全性较高。 先要使用grub2-mkpasswd-pbkdf2命令生成PBKDF2加密口令然后在/etc/grub.d/00_header文件中添加超级用户和PBKDF2加密口令最后使用grub2-mkconfig命令生成grub配置文件。 四. 暴力破解密码 弱口令检测一 -John the Ripper. John the Ripper是一-款开源的密码破解工具可使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。 对于密码的暴力破解字典文件很关键。只要字典文件足够完整密码破解只是时间上的问题。 五. 网络扫描--NMAP NMAP是一个强大的端口扫描类安全评测工具支持ping扫描多端口检测OS识别等多种技术。使用NMAP定期扫描内部网络可以找出网络中不可控的应用服务及时关闭不安全的服务减小安全风险。不过使用前记得需要安装。 NMAP的扫描程序位于/usr/bin/nmap下使用时的基本命令格式如下 nmap [扫描类型] [选项] 扫描目标... 扫描目标可以是主机名IP地址或网段等多个目标以空格隔开扫描类型决定着检测的方式也直接影响到扫描的结果。 nmap命令常用的选项和描类型 -p 指定扫描的端口。 -n 禁用反向DNS解析(以加快扫描速度) ip转换成 域名 12222 2www.baidu.com -sS 断开连接;否则认为目标端口并未开放。 -sT TCP连接扫描这是完整的TCP扫描方式(默认扫描类型)用来建立一个TCP连接如果成功则认为目标端口正在监听服务否则认为目标端口并未开放。 -sF TCP的FIN扫描开放的端口会忽略这种数据包关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。 -sU UDP扫描探测目标主机提供哪些UDP服务UDP扫描的速度会比较慢。 -sP ICMP 扫描类似于ping检测快速判断目标主机是否存活不做其他扫描。 -P0 跳过ping检测 这种方式认为所有的目标主机是存活的当对方不响应ICMP请求时使用这种方式可以避免因无法ping通而放弃扫描。 六. 总结 系统安全加固方案 1设置复杂密码2设置密码策略3对密码强度进行设置4 对用户的登录次数进行限制5禁止root用户远程登录6更改ssh端口7安全组关闭没必要的端口8设置账户保存历史命令条数超时时间 9定期查看查看系统日志 10定期备份数据
