本案例要求練習linux系統的基本防護措施,完成以下任務:
禁止普通使用者使用reboot、halt、poweroff程式
修改使用者zhangsan的賬號屬性,設定為2015-12-31日失效(禁止登入)
鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定
鎖定檔案/etc/resolv.conf、/etc/hosts,以防止其內容被無意中修改
修改tty終端提示,使得登入前看到的第一行文字為「windows server 2012 enterprise r2」,第二行文字為「nt 6.2 hybrid」
實現此案例需要按照如下步驟進行。
步驟一:禁止普通使用者使用reboot、halt、poweroff程式
1)測試預設的控制台程式許可權
linux系統的consolehelper機制允許普通使用者執行一部分特權程式,以方便使用者使用linux主機。比方說,普通使用者(如zengye)登入後,可以執行reboot來重啟linux系統,也可以執行poweroff來關閉系統。
authconfig halt subscription-manager system-config-keyboard
authconfig-gtk poweroff subscription-manager-gui system-config-network
authconfig-tui reboot system-config-authentication system-config-network-cmd
config-util rhn_register system-config-date system-config-users
eject setup system-config-kdump xserver
2)禁止個別高風險的控制台程式
使用tar命令將這些檔案歸檔備份,結合--remove選項可以在完成打包後將被歸檔的檔案刪除:
reboot
halt
poweroff
確認移除結果:
ls: 無法訪問reboot: 沒有那個檔案或目錄
ls: 無法訪問halt: 沒有那個檔案或目錄
ls: 無法訪問poweroff: 沒有那個檔案或目錄
3)測試調整結果
再次以普通使用者執行reboot等程式時,將不起作用:
[zengye@localhost ~]$ which reboot
/usr/bin/reboot
[zengye@localhost ~]$ reboot
[zengye@localhost ~]$
步驟二:修改使用者zhangsan的賬戶屬性,設定為2015-12-31日失效(禁止登入)
1)未過期的使用者賬號可以正常登入
以使用者zhangsan登入測試。
2)失效的使用者將無法登入
使用chage命令將使用者zhangsan的賬戶設為當前已失效(比如前一天):
[root@svr5 ~]# date
2023年 05月 16日 星期六 14:16:25 cst
[root@svr5 ~]# chage -e 2015-05-15 zhangsan
//設為當日的前一天
嘗試以使用者zhangsan重新登入,輸入正確的使用者名稱、密碼後直接閃退,返回登入頁,說明此帳號已失效。
3)重設使用者zhangsan的屬性,將失效時間設為2015-12-31
[root@svr5 ~]# chage -e 2015-
12-3
1zhangsan
//修改失效日期
[root@svr5 ~]# chage -l zhangsan
//檢視賬戶年齡資訊
last password change
: may 15, 2015
password expires
: never
password inactive
: never
account expires
: dec 31, 2015
minimum number of days between password change
: 0
maximum number of days between password change
: 99999
number of days of warning before password expires
: 7
步驟三:鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定
1)未鎖定的使用者賬號可以正常登入
以使用者lisi登入測試。
2)鎖定使用者賬號
使用passwd或usermod命令將使用者lisi的賬戶鎖定。
[root@svr5 ~]# passwd -l lisi
//鎖定使用者賬號
鎖定使用者 lisi 的密碼 。
passwd: 操作成功
[root@svr5 ~]# passwd -s lisi
//檢視狀態
lisi lk 2013-08-14 0 99999 7 -1 (密碼已被鎖定。)
3)驗證使用者lisi已無法登入,說明鎖定生效
輸入正確的使用者名稱、密碼,始終提示「login incorrect」,無法登入。
4)解除對使用者lisi的鎖定
[root@svr5 ~]# passwd -u lisi
//解鎖使用者賬號
解鎖使用者 lisi 的密碼 。
passwd: 操作成功
[root@svr5 ~]# passwd -s lisi
//檢視狀態
lisi ps 2013-08-14 0 99999 7 -1 (密碼已設定,使用 sha512 加密。)
步驟四:鎖定檔案/etc/resolv.conf、/etc/hosts
1)使用chattr鎖定檔案,lsattr確認結果
[root@svr5 ~]# chattr +i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
----i--------e- /etc/resolv.conf
----i--------e- /etc/hosts
2)測試檔案鎖定效果
[root@svr5 ~]# rm -rf /etc/resolv.conf
rm: 無法刪除"/etc/resolv.conf": 不允許的操作
[root@svr5 ~]# echo "192.168.4.1 gateway.tarena.com" >> /etc/hosts
bash: /etc/hosts: 許可權不夠
3)恢復這兩個檔案原有的屬性(避免對後續實驗造成影響)
[root@svr5 ~]# chattr -i /etc/resolv.conf /etc/hosts
[root@svr5 ~]# lsattr /etc/resolv.conf /etc/hosts
-------------e- /etc/resolv.conf
-------------e- /etc/hosts
注意:使用passwd鎖定使用者賬號時,會在/etc/shadow檔案中的密碼欄位上增加兩個感嘆號,而usermod鎖定只增加乙個嘆號。因此,對於使用passwd鎖定的賬號,如果用usermod去解鎖的話,得解除兩次。
步驟五:修改tty登入的提示資訊,隱藏系統版本
1)備份原有的
/etc/issue配置檔案,然後按照要求改寫內容
[root@svr5 ~]# cat /etc/issue
//確認原始檔案
red hat enterprise linux server release 6.5 (santiago)
kernel \r on an \m
[root@svr5 ~]# cp /etc/issue /etc/issue.origin
//備份檔案
[root@svr5 ~]# vim /etc/issue
//修改檔案內容
windows server 2012 enterprise r2
nt 6.2 hybrid
2)測試版本偽裝效果
退出已登入的tty終端,或者重啟linux系統,重新整理後的終端提示資訊會變成自定義的文字內容,如圖-
1所示。
Linux基本防護措施
root svr5 passwd s lisi 檢視狀態 lisi lk 2013 08 14 0 99999 7 1 密碼已被鎖定。3 驗證使用者lisi已無法登入,說明鎖定生效 輸入正確的使用者名稱 密碼,始終提示 login incorrect 無法登入。4 解除對使用者lisi的鎖定 roo...
Linux基本防護措施
實現此案例需要按照如下步驟進行。步驟一 禁止普通使用者使用reboot halt poweroff程式 1 測試預設的控制台程式許可權 linux系統的consolehelper機制允許普通使用者執行一部分特權程式,以方便使用者使用linux主機。比方說,普通使用者 如zengye 登入後,可以執行...
Linux基本防護措施
1.1 問題 本案例要求練習linux系統的基本防護措施,完成以下任務 修改使用者zhangsan的賬號屬性,設定為2019 12 31日失效 禁止登入 臨時鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定 修改tty終端提示,使得登入前看到的第一行文字為 windows server 2...