文章目录
前言
一、账号安全基本措施
1.1、系统账号清理
1.2、密码安全控制
1.3、命令历史限制
1.4、使用su命令切换用户
1.5、Linux中的PAM安全认证
1.5.1、su命令的安全隐患
1.5.2、PAM(Pluggable Authentication Modules)可插拔式认证模块
1.5.3、PAM认证原理
1.5.4、PAM认证的构成
1.5.5、PAM安全认证流程
1.6使用sudo机制提升权限
1.6.1、su命令的缺点
1.6.2、sudo命令的用途及用法
1.6.3、配置sudo授权
二、系统引导和登录控制
2.1、开关机安全控制
2.1.1、调整BIOS引导设置
2.1.2、GRUB限制
2.2、终端及登录控制
2.2.1、禁止root用户登录
2.2.2、禁止普通用户登录
三、弱口令检测
3.1、Joth the Ripper
3.2通过john工具查看自己的密码
四、端口扫描
4.1、NMAP
Linux是完全免费使用和自由传播的符合POSIX标准的类Unix操作系统,遵循公共版权许可证(GPL),源代码公开.自由修改、自由发布，能在各类硬件平台上运行的多用户。多任务的操作系统。Linux在服务器、嵌人式等领域应用广泛并取得了很好的成绩,在桌面系统方面，也逐渐受到人们的欢迎, Linux系统的安全问题也逐渐受到人们的重视。用户可以根据自已的环境定制Linux系统.提供补丁。检查源代码中的安全漏洞，也可以对Linux系统作- - 些简单的防范措施来增强系统的安全。
1.1、系统账号清理
●将非登录用户的ShelI设为/sbin/nologin●锁定长期不使用的账号●删除无用的账号●锁定账号文件passwd、shadow
查看当前不可登录用户查看当前可登录用户
锁定长期不用的账号passwd，usermod命令都可以用来锁定和解锁账号锁定文件和解锁文件如果服务器中的用户账号已经固定，不在进行更改，还可以采取锁定账号配置文件的方法使用chattr命令，分别结合“+i”“-i”选项来锁定，解锁文件，使用lsattr命令可以查看文件锁定情况
1.2、密码安全控制
●设置密码有效期●要求用户下次登录时修改密码
对于未创建的用户，使用此命令修改配置文件对于已创建的用户，用这条命令
[root@localhost ~]# chage -M 30 tom2
要求用户下次登录时修改密码在某些情况下会要求用户初次登录的时候必须更改密码
[root@localhost ~]# chage -d 0 tom1
1.3、命令历史限制
●减少记录的命令条数●注销时自动清空命令历史
设置最多只记录200条历史命令
[root@localhost ~]# vi /etc/profile
将其中的HISTSIZE=1000，修改为HISTSIZE=200
[root@localhost ~]# source /etc/profile
[root@localhost ~]# vi .bash_logout
#~/.bash_logout
rm -rf .bash_history
##删除此文件
history -c
##清除历史命令
clear
终端自动注销闲置600秒后自动注销
[root@localhost ~]# vi /etc/profile
##适用于新登录用户
export TMOUT=60
##将闲置时间设为60S
[root@localhost ~]# source /etc/profile
##使设置生效
[root@localhost ~]# export TMOUT=30
##对当前用户生效
1.4、使用su命令切换用户
默认情况下，任何用户都允许使用su 命令，从而有机会反复尝试其他用户(如root)的登录密码，这样带来了安全风险。为了加强su命令的使用控制，可以借助于pam _wheel将允许使用su命令的用户加入wheel组
1.5、Linux中的PAM安全认证
1.5.1、su命令的安全隐患
●默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险●为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
1.5.2、PAM(Pluggable Authentication Modules)可插拔式认证模块
●是一种高效而且灵活便利的用户级别的认证方式●也是当前Linux服务器普遍使用的认证方式
1.5.3、PAM认证原理
●PAM认证一-般遵循的顺序: Service (服务) - >PAM (配置文件) - -pam *.so;
●PAM认证首先要确定哪一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于lib/security下)进行安全认证;用户访问服务器的时候，服务器的某- -个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。●如果想查看某个程序是否支持PAM认证，可以用Is 命令进行查看，例如执行以下命令可以查看su是否支持PAM模块认证。
1.5.4、PAM认证的构成
■查看某个程序是否支持PAM认证，可以用Is命令●示例:查看su是否支持PAM模块认证
Is /etc/pam.d
grep su
查看su的PAM配置文件: cat /etc/pam.d/su●每一-行都是一个独立的认证过程:●每一-行可以区分为三个字段认证类型◆控制类型◆PAM模块及其参数
1.5.5、PAM安全认证流程
■控制类型也称做Control Flags,
用于PAM验证类型的返回结果1.required验证失败时仍然继续，但返回Fail2.requisite验证失败则立即结束整个验证过程，返回Fail3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续4.optional不用于验证，只显示信息(通常用于session类型)
1.6使用sudo机制提升权限
1.6.1、su命令的缺点
用过su命令可以非常方便的切换为另一个用户，但前提条件是必须知道目标用户的登录密码对于生产环境中的Linux服务器，每多一个人知道特权密码，其安全风险也就增加一分
1.6.2、sudo命令的用途及用法
sudo 是一种权限管理机制，管理员可以授权于一些普通用户去执行一些 root 执行的操作，而不需要知道 root 的密码语法格式：sudo [参数]
1.6.3、配置sudo授权
visudo 或者 vi /etc/sudoers ：sudo机制的配置文件为/etc/sudoers，文件的默认权限是440，需要使用专门的visudo工具进行编辑。若使用vi编辑，保存时必须执行“：w！”命令强制操作，否则系统将提示为只读文件而拒绝保存
[root@localhost ~]# visudo
...
## Same thing without a password
tom1 localhost=/sbin/ifconfig
##tom1在本地主机拥有ifconfig权限
%wheel
ALL=(ALL)
NOPASSWD: ALL
[root@localhost ~]# su - tom2
##我们先切换到tom2用户
[tom2@localhost ~]$ sudo ifconfig ens33 11.11.11.11
##尝试更改IP地址
[sudo] tom2 的密码：
tom2 不在 sudoers 文件中。此事将被报告。
##无法修改IP地址
[tom2@localhost ~]$ exit
##登出
[root@localhost ~]# su - tom1
##切换到tom1用户
[tom1@localhost ~]$ sudo ifconfig ens33:2 11.11.11.11
##修改网卡地址
[sudo] tom1 的密码：
[tom1@localhost ~]$ ifconfig
##修改成功
2.1、开关机安全控制
2.1.1、调整BIOS引导设置
●将第一-引导设备设为当前系统所在硬盘●禁止从其他设备(光盘、U盘、网络)引导系统●将安全级别设为setup,并设置管理员密码
2.1.2、GRUB限制
●使用grub2-mkpasswd-pbkdf2生成密钥●修改/etc/grub.d/0O_ header文件中，添加密码记录●生成新的grub.cfg配置文件
[root@localhost ~]# grub2-setpassword
##生成grub2菜单密码
Enter password:
Confirm password:
[root@localhost ~]# cat /boot/grub2/user.cfg
##查看密码是否添加
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C3428AF0D7A62E00D540E2C8F9014F64CE6CDAD3632BD5B1D388AA09F6EE038B9494BD1E5B98AA7C7E97BC4936BDF34D8B08158E04009461BB4807BA13953D5D.DBAE85EFE16710D093B543E210F1636880957802C82141ECCB688E5D021B46DFA42778BDAF4E72C63BFC25427B78EE28BA92917A800B444556DA4D8968E1035E
[root@localhost ~]# reboot
##重新启动
在grub引导界面按e进去，发现需要输入用户名密码
2.2、终端及登录控制
在Linux服务器中，默认开启了六个ty 终端，允许任何用户进行本地登录。关于本地登录的安全控制，可以从以下几个方面着手。
2.2.1、禁止root用户登录
在Linux系统中，login 程序会读取/etc/securetty文件，以决定允许root 用户从哪些终端(安全终端)登录系统。若要禁止root 用户从指定的终端登录，只需从该文件中删除或者注释掉对应的行即可。例如，若要禁止root用户从tty5、tty6登录，可以修改/etc/securetty文件，将tty5、 tty6 行注释掉。
限制root登录6和7终端
2.2.2、禁止普通用户登录
当服务器正在进行备份或调试等维护工作时，可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin文件即可。login 程序会检查/etc/nologin文件是否存在，如果存在，则拓绝普通用户吞录系统(root用户不受限制)。
建立/etc/nologin文件删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin
##创建此文件后其他用户已经无法登陆
[root@localhost ~]# rm -rf /etc/nologin
##删除此文件即可取消限制
3.1、Joth the Ripper
Joth the Ripper, 简称为JR款密码分析工具，支持字典式的暴力破解●通过对shadow文件的口令分析，可以检测密码强度
3.2通过john工具查看自己的密码
使用xftp将John软件放到opt目录，进行解压[root@localhost opt]# tar zxvf john-1.8.0.tar.gz
##进行解压
[root@localhost opt]# cd john-1.8.0/
##进入解压后的目录
[root@localhost john-1.8.0]# cd src/
##进入src目录
[root@localhost src]# make clean linux-x86-64
##进行编译
[root@localhost src]# cd /opt/john-1.8.0
[root@localhost john-1.8.0]# cd run
##进入run目录
[root@localhost run]# cp /etc/shadow /root/shadow.tx
##拷贝shadow文件到/root/shadow.txt
[root@localhost run]# ./john /root/shadow.txt
##执行暴力破解
Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
123456
(root)
##破解成功
123456
(tom2)
2g 0:00:01:42 17% 2/3 0.01947g/s 355.0p/s 356.9c/s 356.9C/s kevin2..rocky2
Use the "--show" option to display all of the cracked passwords reliably
Session aborted
4.1、NMAP
一款强大的网络扫描，安全检测工具可以探测局域网中那些主机在线，或者某台主机中开了那些端口NMAP的扫描语法nmap [扫描类型] [选项] <扫描目标…>其中，扫描目标可以是主机名、IP地址或网络地址等，多个目标以空格分隔;常用的选项有“-p“"-n”，分别用来指定扫描的端口、禁用反向DNS解析(以加快扫描速度);扫描类型决定着检测的方式，也直接影响扫描的结果。
比较常用的几种扫描类型如下
-sS，TCP SYN打描(半开扫描):只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接;否则认为目标端口并未开放。-sT, TCP连接扫描:这是完整的TCP扫描方式，用来建立-一个 TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。-sF， TCP FIN扫描:开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。-sU,UDP扫描:探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。-sP， ICMP扫描:类似于ping检测，快速判断目标主机是否存活，不做其他扫描。-PO,跳过ping检测:这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法ping通而放弃扫描。
Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-22 20：48 CST
Nmap scan report for 192.168.50.129
Host is up.
Nmap done: 101 IP addresses (1 host up) scanned in 4.12 seconds[root@localhost run]# nmap -sT 192.168.50.129
##查看主机192.168.50.129开了哪些TCP端口
Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-22 20:51 CST
Nmap scan report for 192.168.50.129
Host is up (0.0013s latency).
Not shown: 999 closed ports
PORT
STATE SERVICE
22/tcp open
sshNmap done: 1 IP address (1 host up) scanned in 0.14 seconds}

选择擅长的领域继续答题？{@each tagList as item}
${item.tagName}
{@/each}手机回答更方便，互动更有趣，下载APP
提交成功是否继续回答问题？手机回答更方便，互动更有趣，下载APP
展开全部可以使用su命令扒孙数来切换用户，su是switchuser切换用户的缩写。可以是从普通用户切换到root用户，也可以是从root用户切换到普通用户。从普通用户切换到root用户需要输入密码，从root用户切换到普通用户不需要输入密码。\x0d\x0a命令春首格式：su[参数][-][用凯或户名]\x0d\x0a用户名的默认值为root。\x0d\x0a用法示例：\x0d\x0asuzhidao#切换到zhidao用户\x0d\x0asu#切换到root用户\x0d\x0a想了解更多linux相关，可以看下《linux就该这么学》这本书。已赞过已踩过<
你对这个回答的评价是？评论
收起
推荐律师服务： 若未解决您的问题，请您详细描述您的问题，通过百度律临进行免费专业咨询
下载百度知道APP，抢鲜体验使用百度知道APP，立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。扫描二维码下载
×个人、企业类侵权投诉
违法有害信息,请在下方选择后提交
类别
色情低俗
涉嫌违法犯罪
时政信息不实
垃圾广告
低质灌水
我们会通过消息、邮箱等方式尽快将举报结果通知您。
说明
做任务开宝箱
累计完成
0
个任务
10任务
50任务
100任务
200任务
任务列表加载中...
}

发布时间： 2018-01-08 更新时间： 2023-04-16 总字数：171 阅读时间：1m 作者：
谢先斌分享复制网址
在使用 Linux 时，有需要通过 Shell 切换命令，并指定脚本的需求，下面通过示例介绍 Linux 如何通过 Shell 实现切换用户并执行命令
方法一
cat test.sh
#!/bin/bash
su - test <<EOF
pwd;
exit;
EOF
执行结果：
[root@xiexianbin_cn ~]# sh test.sh
Last failed login: Fri May 11 22:28:05 CST 2018 from 54.223.70.254 on ssh:notty
There were 4 failed login attempts since the last successful login.
/home/test
[root@xiexianbin_cn ~]#
方法二
su - test -c "pwd"
执行结果：
[root@xiexianbin_cn ~]# su - test -c "pwd"
/home/test
[root@xiexianbin_cn ~]#
说明
切换用户只执行一条命令的可以用：
su - test -c command
切换用户执行一个shell文件可以用：
su - test -s /bin/bash shell.sh
Home Archives Categories Tags Statistics
Cookie Notice!
We use cookies and similar methods to recognise visitors and remember preferences. We also use them to measure campaign effectiveness and analyse site traffic.
By selecting 'Accept', you consent to the use of these methods by us and trusted third parties.
To find out more, read ourprivacy policy.
}