本次实验使用的centos 7 版本

一、查找系统中是否存在空密码账户

1、使用命令: awk -F: '($2==""){print $1}' /etc/shadow 直接查看。可以看到系统中没有空密码账户

2、验证一下。添加一个账户qwe， 命令：useradd qwe（此时qwe虽然没有密码但是他还不能使用空密码登录）

3、使用root账户清除qwe密码，passwd -d qwe

4、再次使用 awk -F: '($2==""){print $1}' /etc/shadow 命令查看系统中空密码账户

二、查找uid值为0的用户。

如果passwd文件中uid值为0的话，那么这个用户就拥有root权限。

1、查找uid为0账户： awk -F: '($3==0){print $1}' /etc/passwd 可以看到当前系统只有root账户拥有root权限。

2、修改权限的话，以root用户权限修改passwd文件中的uid为0，保存退出。

在root用户下使用su - lu切换lu用户

此时切换lu用户是，依然显示的是root的状态，但是查看history明显是lu用户，而且lu已经获取到了root的权限，使用该用户可以做root用户的操作

查看uid为0命令 awk -F: '($3==0){print $1}' /etc/passwd 

接下来我想到，用lu用户修改/etc/passwd文件中root用户uid为1000，保存退出

然后切换回root用户，以此时uid为1000的root查看passwd时，文件已变为只读

三、安全加固的一些方案

1、密码策略

修改 /etc/login.defs文件中相应参数

PASS_MAX_DAYS 密码有效期

PASS_MIN_DAYS 修改密码的最短期限

PASS_MIN_LEN 密码最短长度

PASS_WARN_AGE 密码过期提醒

2、修改密码策略

修改vi /etc/pam.d/system-auth文件，将password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 注释并在其下面新增1行 password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=

备注:

try_first_pass而当pam_unix验证模块与password验证类型一起使用时，该选项主要用来防止用户新设定的密码与以前的旧密码相同。

minlen=8：最小长度8位

difok=5:新、旧密码最少5个字符不同

dcredit=-1：最少1个数字

lcredit=-1：最少1个小写字符，（ucredit=-1:最少1个大写字符)

ocredit=-1：最少1个特殊字符

retry=1:1次错误后返回错误信息

type=xxx：此选项用来修改缺省的密码提示文本

3、新口令不能与10个最近使用的相同

修改vi /etc/pam.d/system-auth文件，在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的后面添加 remember=11

4、设置会话超时

修改vi /etc/profile文件在最后添加参数export TMOUT=600。（600秒  十分钟）

5、账户锁定策略（终端登录）

修改vi /etc/pam.d/system-auth文件，在# User changes will be destroyed the next time authconfig is run.行的下面，添加 auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800（终端登录失败5次，锁定半小时）

6、禁止root通过ssh远程登录

修改vi /etc/ssh/sshd_config文件，将配置参数#PermitRootLogin yes改成PermitRootLogin no

CentOS 7安全加固的更多相关文章

1. CentOS 7 主机加固手册-下

     CentOS 7 主机加固手册-上 CentOS 7 主机加固手册-中 CentOS 7 主机加固手册-下 0x1f 删除禁用非必要的服务 删除非必要的服务 # Remove yum remove ...

2. CentOS 7 主机加固手册-中

     CentOS 7 主机加固手册-上 CentOS 7 主机加固手册-中 CentOS 7 主机加固手册-下 0x0c 设置/boot/grub2/grub.cfg权限 Set grub.conf ...

3. CentOS 7 主机加固手册-上

   TIPs: 世界上有一撮人专门研究主机安全加固基线,有兴趣的读者可以到 http://benchmarks.cisecurity.org/ 获取更加详细专业的主机安全基线配置文档.或者到 https: ...

4. CentOS服务器的加固方案

   >>>Centos账户安全 对Centos的加固首先要控制用户的权限,用户权限主要涉及到/etc下的/passwd,/shadow和/group三个文件 /passwd文件主要是存储 ...

5. 六招轻松搞定你的CentOS系统安全加固

   Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了.我们要如何为这类服务器做好安全加固工作呢?  一.  账户安全 1.1 锁定系统中多余的自建帐号 检查方 ...

6. CentOS系统安全加固常见方法

   关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习. 其中以下脚本主要实现的功能包括: *加固项包括:密码长度.session超时时间.删除不用的帐号和组.限制root用 ...

7. Linux(CentOS 7) 安全加固之非业务端口服务关闭 postfix port 25

   目录 关闭TCP 25 端口对应的服务 1. 确认对应端口的进程 2. 查找与关闭对应服务 3. 确认结果,端口已关闭 关闭TCP 25 端口对应的服务 [0 root@Qvps /root] #ca ...

8. CentOS 6.5 安全加固及性能优化 (转)

   通过修改CentOS 6.5 的系统默认设置,对系统进行安全加固,进行系统的性能优化. 环境: 系统硬件:vmware vsphere (CPU:2*4核,内存2G) 系统版本:Centos-6.5- ...

9. centos mysql 实战 第一节课 安全加固 mysql安装

   centos mysql  实战  第一节课   安全加固  mysql安装 percona名字的由来=consultation 顾问+performance 性能=per  con  a mysql ...

随机推荐

1. ionic 踩过的坑-基本布局

   目录: 标题栏 : ion-header-bar 页脚栏 : ion-footer-bar header/footer : 样式及内容 内容区 : ion-content 滚动框 : ion-scro ...

2. linux软连接和硬链接

   1.软连接(符号连接)创建方法(相当于windows的快捷方式) # ln -s 原文件 连接文件(最好使用绝对路径) 特点: 1.软连接文件是777的权限,而且很小很小: 2.可以跨分区(文件系统) ...

3. updmap-sys failed. Output has been stored in

   Ubuntu 12.04升级到Ubuntu 12.04lts的时候,出现错误: Do you want to continue? [Y/n] ySetting up tex-common (4.04) ...

4. Spring框架整合Struts2

   1,用Spring架构,及Struts2-spring-plugin插件 导入Spring的dist全部所需的jar包 Struts2的spring插件 struts2-spring-plugin.X ...

5. 【小程序开发】微信小程序开发中遇到的那些坑...

   第一坑: 设置了三个tabBar,却默认显示第二个,不能展示我的第一个[首页]. "list": [{ "pagePath":"page/KTGJ/i ...

6. php批量删除，批量操作

   批量删除多条记录,对于比较多的信息,如果没有批量删除功能是非常麻烦的. 1.从数据库中拿一张表过来,写个复选框进行选择   可以加全选复选框 连接数据库什么的都不写啦 代码: <form act ...

7. 【python】lambda创建匿名函数

8. ubuntu16&period;04下安装运行DSO

   1.下载源码 git clone https://github.com/JakobEngel/dso.git 2.安装依赖项 suitesparse and eigen3 (required). su ...

9. Android--自定义弹出框-自定义dialog

   项目要用到弹出框,还要和苹果的样式一样(Android真是没地位),所以就自己定义了一个,不是很像(主要是没图),但是也还可以. 废话不多说了,直接上代码 1.先看布局文件 <?xml vers ...

10. 解决The valid characters are defined in RFC 7230 and RFC 3986错误问题

    分析原因: 导致上述问题是因为tomcat自tomcat 8.0.35版本之后对URL参数做了比较规范的限制,必须遵循RFC 7230 and RFC 3986规范,对于非保留字字符(json格式的请 ...