标签:措施 lisi svr5 reboot 用户 防护 etc Linux root
1.Linux基本防护措施
问题
本案例要求练习Linux系统的基本防护措施,完成以下任务:
1)禁止普通用户使用reboot、halt、poweroff程序
2)修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录)
3)锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
4)锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改
5)修改tty终端提示,使得登录前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”
步骤
实现此案例需要按照如下步骤进行。
步骤一:禁止普通用户使用reboot、halt、poweroff程序
1)测试默认的控制台程序权限
Linux系统的ConsoleHelper机制允许普通用户执行一部分特权程序,以方便用户使用Linux主机。比方说,普通用户(如zengye)登录后,可以执行reboot来重启Linux系统,也可以执行poweroff来关闭系统。
默认情况下,这些控制台程序的配置放在/etc/security/console.apps/目录下:
[root@svr5 ~]# ls /etc/security/console.apps/
authconfig halt subscription-manager system-config-keyboard
authconfig-gtk poweroff subscription-manager-gui system-config-network
authconfig-tui reboot system-config-authentication system-config-network-cmd
config-util rhn_register system-config-date system-config-users
eject setup system-config-kdump xserver
2)禁止个别高风险的控制台程序
只要从/etc/security/console.apps/目录下移除reboot、halt、power命令配置,普通用户就会失去对这些程序的执行权限。
使用tar命令将这些文件归档备份,结合–remove选项可以在完成打包后将被归档的文件删除:
[root@svr5 ~]# cd /etc/security/console.apps/
[root@svr5 console.apps]# tar zcpvf pw-app.tgz reboot halt poweroff --remove
reboot
halt
poweroff
确认移除结果:
[root@svr5 console.apps]# ls reboot halt poweroff
ls: 无法访问reboot: 没有那个文件或目录
ls: 无法访问halt: 没有那个文件或目录
ls: 无法访问poweroff: 没有那个文件或目录
3)测试调整结果
再次以普通用户执行reboot等程序时,将不起作用:
[zengye@localhost ~]$ which reboot
/usr/bin/reboot
[zengye@localhost ~]$ reboot
[zengye@localhost ~]$
步骤二:修改用户zhangsan的账户属性,设置为2015-12-31日失效(禁止登录)
1)未过期的用户账号可以正常登录
以用户zhangsan登录测试。
2)失效的用户将无法登录
使用chage命令将用户zhangsan的账户设为当前已失效(比如前一天):
[root@svr5 ~]# date
2015年 05月 16日 星期六 14:16:25 CST
[root@svr5 ~]# chage -E 2015-05-15 zhangsan //设为当日的前一天
尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。
3)重设用户zhangsan的属性,将失效时间设为2015-12-31
[root@svr5 ~]# chage -E 2015-12-31 zhangsan //修改失效日期
[root@svr5 ~]# chage -l zhangsan //查看账户年龄信息
Last password change : May 15, 2015
Password expires : never
Password inactive : never
Account expires : Dec 31, 2015
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
步骤三:锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
1)未锁定的用户账号可以正常登录
以用户lisi登录测试。
2)锁定用户账号
使用passwd或usermod命令将用户lisi的账户锁定。
[root@svr5 ~]# passwd -l lisi //锁定用户账号
锁定用户 lisi 的密码 。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态
lisi LK 2013-08-14 0 99999 7 -1 (密码已被锁定。)
3)验证用户lisi已无法登录,说明锁定生效
输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。
4)解除对用户lisi的锁定
[root@svr5 ~]# passwd -u lisi //解锁用户账号
解锁用户 lisi 的密码 。
passwd: 操作成功
[root@svr5 ~]# passwd -S lisi //查看状态
lisi PS 2013-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)
步骤四:锁定文件/etc/resolv.conf、/etc/hosts
1)使用chattr锁定文件,lsattr确认结果
[root@svr5 ~]# chattr +i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
----i--------e- /etc/resolv.conf
----i--------e- /etc/hosts
2)测试文件锁定效果
[root@svr5 ~]# rm -rf /etc/resolv.conf
rm: 无法删除"/etc/resolv.conf": 不允许的操作
[root@svr5 ~]# echo “192.168.4.1 gateway.tarena.com” >> /etc/hosts
bash: /etc/hosts: 权限不够
3)恢复这两个文件原有的属性(避免对后续实验造成影响)
[root@svr5 ~]# chattr -i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
-------------e- /etc/resolv.conf
-------------e- /etc/hosts
注意:使用passwd锁定用户账号时,会在/etc/shadow文件中的密码字段上增加两个感叹号,而usermod锁定只增加一个叹号。因此,对于使用passwd锁定的账号,如果用usermod去解锁的话,得解除两次。
步骤五:修改tty登录的提示信息,隐藏系统版本
1)备份原有的/etc/issue配置文件,然后按照要求改写内容
[root@svr5 ~]# cat /etc/issue //确认原始文件
Red Hat Enterprise Linux Server release 6.5 (Santiago)
Kernel \r on an \m
[root@svr5 ~]# cp /etc/issue /etc/issue.origin //备份文件
[root@svr5 ~]# vim /etc/issue //修改文件内容
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
2)测试版本伪装效果
退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容,如图-1所示。
图-1
标签:措施,lisi,svr5,reboot,用户,防护,etc,Linux,root 来源: https://blog.csdn.net/weixin_44792344/article/details/90896061
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。