Linux基本防護措施

1.1 問題

本案例要求練習linux系統的基本防護措施，完成以下任務：

修改使用者zhangsan的賬號屬性，設定為2019-12-31日失效（禁止登入）臨時鎖定使用者lisi的賬戶，使其無法登入，驗證效果後解除鎖定修改tty終端提示，使得登入前看到的第一行文字為「windows server 2012 enterprise r2」，第二行文字為「nt 6.2 hybrid」鎖定檔案/etc/resolv.conf、/etc/hosts，以防止其內容被無意中修改

1.2 步驟

實現此案例需要按照如下步驟進行。

步驟一：修改使用者zhangsan的賬戶屬性，設定為2019-12-31日失效（禁止登入）

1）正常情況下，未過期的賬號可以正常登入，使用chage可以修改賬戶有效期。

chage命令的語法格式： chage –l 賬戶名稱 //檢視賬戶資訊 chage –e 時間賬戶名稱 //修改賬戶有效期

2）失效的使用者將無法登入

使用chage命令將使用者zhangsan的賬戶設為當前已失效（比如已經過去的某個時間）：

[root@proxy ~]# useradd zhangsan
[root@proxy ~]# chage -e 2019-12-31 zhangsan

嘗試以使用者zhangsan重新登入，輸入正確的使用者名稱、密碼後直接閃退，返回登入頁，說明此帳號已失效。

3）重設使用者zhangsan的屬性，將失效時間設為2019-12-31

[root@proxy ~]# chage -e 2019-12-31 zhangsan //修改失效日期 [root@proxy ~]# chage -l zhangsan //檢視賬戶年齡資訊 last password change : may 15, 2017 password expires : never password inactive : never account expires : dec 31, 2019 minimum number of days between password change : 0 maximum number of days between password change : 99999 number of days of warning before password expires : 7

4）定義預設有效期（擴充套件知識）

/etc/login.defs這個配置檔案，決定了賬戶密碼的預設有效期。

[root@proxy ~]# cat /etc/login.defs pass_max_days 99999 //密碼最長有效期 pass_min_days 0 //密碼最短有效期 pass_min_len 5 //密碼最短長度 pass_warn_age 7 //密碼過期前幾天提示警告資訊 uid_min 1000 //uid最小值 uid_max 60000 //uid最大值

步驟二：臨時鎖定使用者zhangsan的賬戶，使其無法登入，驗證效果後解除鎖定

1）鎖定使用者賬號

使用passwd或usermod命令將使用者zhangsan的賬戶鎖定。

[root@proxy ~]# passwd -l zhangsan                       //鎖定使用者賬號lock
鎖定使用者 zhangsan 的密碼。
passwd: 操作成功
[root@proxy ~]# passwd -s zhangsan                      //檢視狀態status
zhangsan lk 2018-02-22 0 99999 7 -1 (密碼已被鎖定。)

2）驗證使用者zhangsan已無法登入，說明鎖定生效

輸入正確的使用者名稱、密碼，始終提示「login incorrect」，無法登入。

3）解除對使用者zhangsan的鎖定

[root@proxy ~]# passwd -u zhangsan                       //解鎖使用者賬號
解鎖使用者 zhangsan 的密碼 。
passwd: 操作成功
[root@proxy ~]# passwd -s zhangsan                      //檢視狀態
zhangsan ps 2018-08-14 0 99999 7 -1 (密碼已設定，使用 sha512 加密。)

步驟三：修改tty登入的提示資訊，隱藏系統版本

1）賬戶在登入linux系統時，缺省會顯示登陸資訊（包括作業系統核心資訊）

/etc/issue這個配置檔案裡儲存的就是這些登陸資訊，修改該檔案防止核心資訊洩露。

[root@proxy ~]# cat /etc/issue                              //確認原始檔案
red hat enterprise linux server release 6.5 (santiago)
kernel \r on an \m
[root@proxy ~]# cp /etc/issue /etc/issue.origin              //備份檔案
[root@proxy ~]# vim /etc/issue                              //修改檔案內容
windows server 2012 enterprise r2
nt 6.2 hybrid

2）測試版本偽裝效果

退出已登入的tty終端，或者重啟linux系統，重新整理後的終端提示資訊會變成自定義的文字內容，如圖-1所示。

圖-1步驟四：鎖定檔案/etc/resolv.conf、/etc/hosts

1）語法格式：

# chattr +i 檔名 //鎖定檔案（無法修改、刪除等） # chattr -i 檔名 //解鎖檔案 # chattr +a 檔名 //鎖定後檔案僅可追加 # chattr -a 檔名 //解鎖檔案 # lsattr 檔名 //檢視檔案特殊屬性

使用+i鎖定檔案，使用lsattr檢視屬性

[root@proxy ~]# chattr +i /etc/resolv.conf

[root@proxy ~]# lsattr /etc/resolv.conf

----i---------- /etc/resolv.conf

3）使用+a鎖定檔案(僅可追加)，使用lsattr檢視屬性

[root@proxy ~]# chattr +a /etc/hosts
[root@proxy ~]# lsattr /etc/hosts
-----a---------- /etc/hosts

4）測試檔案鎖定效果

[root@proxy ~]# rm -rf /etc/resolv.conf
rm: 無法刪除"/etc/resolv.conf": 不允許的操作
[root@proxy ~]# echo xyz > /etc/resolv.conf
-bash: resolv.conf: 許可權不夠
[root@proxy ~]# rm -rf  /etc/hosts                         //失敗
[root@proxy ~]# echo "192.168.4.1  xyz" > /etc/hosts     //失敗
[root@proxy ~]# echo "192.168.4.1  xyz" >> /etc/hosts    //成功

5）恢復這兩個檔案原有的屬性（避免對後續實驗造成影響）

[root@proxy ~]# chattr -i /etc/resolv.conf 
[root@proxy ~]# chattr -i /etc/hosts
[root@proxy ~]# lsattr /etc/resolv.conf /etc/hosts
--------------- /etc/resolv.conf
--------------- /etc/hosts

Linux基本防護措施

Linux基本防護措施

Linux基本防護措施

Linux基本防護措施

相關推薦