一、开关机安全控制

调整BIOS引导设置

·将第一引导设备设为当前系统所在硬盘。
·禁止从其他设备 (光盘、U盘、网络) 引导系统。
·将安全级别设为setup，并设置管理员密码。

GRUB限制

·使用grub2-mkpasswd-pbkdf2生成密钥
·修改/etc/grub.d/00 header文件中，添加密码记录
·生成新的grub.cfg配置文件

按e后进入选择菜单，就是grub的引导参数

按e后在里面删了命令后就会出错，想要改回原样就要进入急救模式

·设置密码串

·设置备份文件

grub2-mkpasswd-pbkdf2

在行尾加入用户名和字符串

vim /etc/grub.d/00_header

加个引导文件，让开机时有密码

grub2-mkconfig -o /boot/grub2/grub.cfg

设置完后，进入后要输入密码

二、终端登录安全控制

2.1、限制root只在安全终端登录

安全终端配置：

/etc/securetty

1、按快捷键“Ctrl+Alt+T”即可打开终端窗口；
2、按“Ctrl+Alt+F1-F6”均可进入终端（模拟终端，不显示桌面）

2.2、如何限制虚拟终端

输入以下命令后查看到终端，想要关闭终端就在前面加上#

vim /etc/securetty

2.3、禁止普通用户登录

touch /etc/nologin  禁止普通用户登录
rm -rf /etc/nologin  取消登录限制

三、系统弱口令检测

3.1、Joth the Ripper，简称为 JR

·一款密码分析工具，支持字典式的暴力破解
·通过对shadow文件的口令分析，可以检测密码强度

解压工具包
cd /opt
tar zxf john-1.8.0.tar.gz安装软件编译工具
yum install -y gcc gcc- c++ make切换到src子目录
cd /opt/john-1.8.0/src进行编译安装
make clean linux-x86-64准备待破解的密码文件
cp /etc/shadow /opt/shadow.txt执行暴力破解
cd /opt/john-1.8.0/run
./john /opt/shadow.txt

查看已破解出的账户列表
./john --show /opt/shadow.txt

使用密码字典文件
> john.pot#清空已破解出的账户列表，以便重新分析
./john --wordlist=./parsword.lst /opt/shadow.txt
./john --wordlist=指定文件
使用指定的字典文件进行破解

四、网络端口扫描

4.1、NMAP

·一款强大的网络扫描，安全检测工具
·CentOS 7.3光盘中安装包nmap-6.40-7.el7.x86_64.rpm

mount /dev/sr0 /mnt  进行挂载
yum install -y nmap  安装nmap工具

4.2、nmap的使用

nmap的扫描

nmap  [扫描类型] [选项] <扫描目标...>

nmap的常用选项

netstat -natp 查看正在运行的使用TCP协议的网络状态信息netstat -naup 查看正在运行的使用UDP协议的网络状态信息

示例：
分别查看本机开发的TCP端口，UDP端口
nmap -sT 127.0.0.1
nmap -sU 127.0.0.1

检测192.168.80.0/24网段有哪些主机提供HTTP服务
nmap -p 80 192.168.80.0/24

检测192.168.80.0/24网段有哪些存活主机
nmap -n -sP 192.168.80.0/24

netstat常用选项