linux 系统入侵后处理
我们经常听到有关安全漏洞的信息,用户名和密码都是在网上获取和发布的。 在大多数情况下,揭示的是大多数密码非常简单或与先前版本(例如,12345,然后是下一个更改的123456)迭代。 实施密码要求可以帮助将弱密码拒之门外。 这些强制更改各有优缺点,但归根结底,认证方面仍然存在缺陷。
在Linux中管理与密码和安全性相关的问题很重要,但是您可以采取一些简单的步骤来使系统更加安全。 这里是一些可供考虑的选项。 首先让我们看一下管理这些密码和帐户,然后再介绍人们尝试访问这些帐户的频率。 最后,我们将介绍一些我们可以限制这些尝试的事情。
Linux密码管理
使用
passwd
命令更改用户密码非常简单,但是还有很多事情可以做。 您知道吗,您还可以使用它来锁定和解锁帐户? 通过stdin传递密码呢?
修改密码
passwd
[
username
]
通过stdin更改密码
echo
“Some_STRONG_PASSWORD”
|
passwd
—stdin root
锁定和解锁密码
passwd
-l
[
username
]
passwd
-u
[
username
]
档案
使用密码时,
/ etc / passwd
和
/ etc / shadow
文件都将更新。 passwd文件包含很多信息,但具有讽刺意味的是,没有足够的实际密码哈希值。 哈希包含在/ etc / shadow文件中。
为什么使用/ etc / shadow文件?
早期,哈希密码存储在/ etc / password文件中,但是存在一个问题-每个人都必须能够读取该文件。 每个人都可以使用密码的哈希值不是一件好事。 因此,实际的哈希已移至/ etc / shadow文件,该文件仅可由特权用户读取。
尝试闯入的频率是多少?
有没有想过有人尝试登录您的公共访问服务器多少次?
最后一条
命令向我们显示成功尝试的次数。
lastb
命令向我们显示失败尝试的次数。 举例来说,我的服务器在过去12小时内尝试了7464次失败。
额外提示:last和lastb命令分别写入
/ var / log / wtmp
和
/ var / log / btmp
文件。 如果您看到这些文件归零,则可能有问题。
我们还能做什么?
我们已经看到,可以进行大量尝试登录可公开访问的系统。 所以,我们能做些什么? 我们可以做一些事情来限制或减轻尝试次数。
更改端口
我们可以做的第一件事是更改SSH侦听的端口。 这可以减轻某些尝试,但是还有像
nmap
这样的工具可以扫描打开的端口。
防火墙
防火墙(iptables,UFC和firewalld)很棒。 他们的目标是将对SSH的访问限制在较小的服务器上。 缺点是,如果您的IP发生更改或尝试从新位置登录,您有时可能会锁定自己。
失败2禁
知道了从lastb命令了解的信息后,我们可以借助Fail2Ban之类的工具在经过一定次数的失败尝试后自动阻止IP。
我希望这有助于您深入了解服务器上的密码,并为限制攻击媒介提供一些指导。
翻译自:
https://opensource.com/business/16/6/managing-passwords-security-linux
linux 系统入侵后处理