基本安全措施

1、系统账号清理

1、将非登陆用户的shell设为 /sbin/nologin

2、无法确定是否应该删除可以暂时锁定，长期不使用的账号

3、如果系统中账号已经固定，不再更改，还可以采用锁定账号配置文件的方法。

解锁方法如下

2、密码安全控制

1、设定密码有效期

适用与配置之后的新建用户

直接更改已有用户的

3、命令历史、自动注销

1、设置历史记录条数，适用配置之后的新建用户

适用当前用户

2、修改宿主目录中的文件。添加清空命令历史的操作语句，这样当用户退出当前登陆bash环境后，记录的命令历史自动清空

3、设置闲置超时时间。

适用当前用户

用户切换与提权

1、su切换用户

限制谁可以使用su命令

su切换用户会记录到/var/log/secre文件中

2、sudo命令提权 命令部分允许使用 * ！

1、单个定义

格式 用户名 主机名列表=命令程序列表
格式 %组名 主机名列表=命令程序列表

或者直接进

2、集中定义

User_Alias (用户别名声明) 别名（必须大写）=用户1，用户2，用户3
Host-Alias（主机声明） 别名（必须大写）=主机1，主机2
Cmnd-Alias（命令声明） 别名（必须大写）=绝对路径命令，绝对路径命令
然后用别名声明就可以了。

定义日志存放

查看sudo配置

系统引导和登陆控制

1、禁用ctrl+alt+del重启

2、限制更改grub参数

终端登陆及登陆控制

1、减少开放的tty终端个数

重启之后只开启3、5终端

2、设置禁止root用户登陆的tty终端

3、禁止普通用户登陆

建立/etc/nologin文件即可，手动删除或重启失效。

弱口令检测

1、下载安装John the Ripper

官网http://www.openwall.com/john/

2、检测弱口令账号

3、使用密码字典文件

网络端口扫描

1、安装nmap

2、扫描语法及类型

sS：TCP SYN扫描（半开扫描）、只向目标发出syn包，如果收到SYN/ACK响应，认为目标端口正在监听，并立即断开连接。
-sT：TCP连接扫描（完整扫描）、用来建立一个TCP连接。如果成功认为端口正在监听服务。
-sF：TCP FIN 扫描
-sU：UDP扫描
-sP：ICMP扫描
-P0：跳过ping检测
-p：指定扫描的端口
-n：禁用反向dns解析

3、扫描操作示例