应用及安全

目录

一、PAM 安全认证及配置
        1.1配置 su 命令的认证
        1.2PAM 配置文件结构
二、账号和密码安全管理
        2.1账号管理
        2.2系统账号清理
        2.3密码安全控制
        2.4密码重设示例
        2.5参考命令
三、命令历史限制
        3.1设置命令历史记录条数
        3.2自动清除命令历史记录
        3.4终端自动注销
        3.5结论
四、Linux 系统安全管理：PAM 安全认证
        4.1什么是 PAM
        4.2PAM 的工作原理
        4.3PAM 配置文件结构​​​​​​​
        4.4PAM 认证模块的控制标记
        4.5实际应用
        4.6结论
五、Linux 系统安全管理：使用 sudo 提升权限
        5.1什么是 sudo
        5.2sudo 配置文件 /etc/sudoers
        5.3sudo 常用参数
        5.4实例：配置 sudo 提权
        5.5使用别名简化 sudo 配置
        5.6启用 sudo 操作日志
        5.7验证 sudo 配置
        5.8总结
六、如何确保服务器的开关机安全
        6.1 物理环境安全防护
        6.2 限制更改GRUB引导参数
        6.3终端登录安全控制
        6.4系统弱口令检测
        6.5总结
七、使用Nmap进行网络端口扫描与安全管理
        7.1 网络协议基础
        7.2 安装Nmap
        7.3.基本Nmap扫描类型
        7.4实例演示
        7.5禁用与启用Ping
        7.6 PAM模块防止暴力破解
        7.7 使用netstat查看网络状态
        ​​​​​​​7.8总结

---

一、PAM 安全认证及配置

PAM（Pluggable Authentication Modules，可插拔认证模块）是 Linux 系统中用于管理认证的一个灵活机制。PAM 配置文件位于 /etc/pam.d/ 目录下，每个文件对应一个服务或命令的认证设置。

1.1配置 su 命令的认证

默认情况下，所有用户都可以使用 su 命令切换到其他用户。这带来了一定的安全风险，因为恶意用户可以反复尝试其他用户（如 root）的登录密码。通过配置 pam_wheel 认证模块，可以限制只有特定组（如 wheel 组）的用户才能使用 su 命令。

配置步骤

1. 编辑 /etc/pam.d/su 文件：

   vim /etc/pam.d/su

2. 修改内容： 默认情况下，文件内容可能如下：

   # auth       sufficient   pam_rootok.so
   # auth       required     pam_wheel.so use_uid

   配置文件的每一行是一个独立的认证过程，它们按从上往下的顺序依次由 PAM 模块调用。以下是几种配置状态的解释：

   a) 默认状态： plaintext auth sufficient pam_rootok.so # auth required pam_wheel.so use_uid - 允许所有用户使用 su 命令进行切换。

   b) 两行都注释： plaintext # auth sufficient pam_rootok.so # auth required pam_wheel.so use_uid - 所有用户可以使用 su 命令，但 root 用户切换到其他用户需要输入密码。

   c) 开启第二行： plaintext # auth sufficient pam_rootok.so auth required pam_wheel.so use_uid - 只有 root 用户和 wheel 组内的用户可以使用 su 命令。

   d) 注释第一行，开启第二行： plaintext # auth sufficient pam_rootok.so auth required pam_wheel.so use_uid - 只有 wheel 组内的用户可以使用 su 命令，root 用户也被禁用。

3. 将用户添加到 wheel 组：

   gpasswd -a zhangsan wheel

   • 添加用户 zhangsan 到 wheel 组中。

4. 确认 wheel 组成员：

   grep wheel /etc/group

   • 确认 wheel 组的成员列表。

5. 启用 pam_wheel 认证：

   #%PAM-1.0
   auth sufficient pam_rootok.so
   auth required pam_wheel.so use_uid

   • 未加入到 wheel 组的其他用户将无法使用 su 命令，尝试进行切换时将提示“拒绝权限”。

6. 切换用户测试：

   • 使用 su 命令切换用户的操作会记录到 /var/log/secure 文件中，可以根据需要进行查看。

1.2PAM 配置文件结构

PAM 配置文件中的每一行由四部分组成：

1. 模块类型：

   • auth：对用户身份进行识别。

   • account：对账号各项属性进行检查。

   • password：使用用户信息来更新数据。

   • session：定义登录前及退出后所要进行的会话操作管理。

2. 控制标记：

   • required：该行及所涉及模块的成功是用户通过鉴别的必要条件。

   • requisite：与 required 相似，但失败会立即返回错误。

   • sufficient：该行及所涉及模块验证成功是用户通过鉴别的充分条件。

   • optional：即使该行所涉及的模块验证失败用户仍能通过认证。

   • include：调用其他 PAM 配置文件。

3. 模块名称：

   • 默认在 /lib64/security/ 目录下，如 pam_wheel.so。

4. 模块参数：

   • 传递给模块的参数，可以有多个，之间用空格分隔开。

实例说明

以下是一个 PAM 认证过程的实例：

auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth required pam_deny.so

用户通过 PAM 模块进行认证的过程：

• 用户1：成功通过所有 auth 模块的认证。

• 用户2：在 pam_unix.so 认证失败，因此最终认证失败。

• 用户3：通过 pam_unix.so 认证，但失败于 pam_deny.so。

• 用户4：成功通过所有 auth 模块的认证。

二、账号和密码安全管理

在 Linux 系统中，账号和密码安全管理是确保系统安全的重要措施之一。以下是一些常见的操作和配置方法。

2.1账号管理

2.1.1锁定和解锁账号：

锁定账号：

usermod -L zhangsan  # 锁定账号 zhangsan
passwd -S zhangsan   # 查看账号状态
passwd -l zhangsan   # 锁定用户账户

解锁账号：

usermod -U zhangsan  # 解锁账号 zhangsan
passwd -u zhangsan   # 解锁用户账户

删除无用账号：

userdel -r 用户名  # 删除无用的账号，并删除用户的主目录

锁定账号配置文件：

使用 chattr 命令锁定或解锁账号配置文件，防止账号配置文件被修改：

chattr +i /etc/passwd /etc/shadow  # 锁定文件
lsattr /etc/passwd /etc/shadow     # 查看文件锁定状态
chattr -i /etc/passwd /etc/shadow  # 解锁文件

测试文件是否锁住：

useradd lisi  # 查看是否能添加用户

2.2系统账号清理

查找使用 /sbin/nologin 作为登录 shell 的用户：

grep "/sbin/nologin$" /etc/passwd

修改用户的登录 shell：

usermod -s /sbin/nologin 用户名

2.3密码安全控制

编辑 /etc/login.defs 文件：

vi /etc/login.defs

设置密码有效期：

PASS_MAX_DAYS 30  # 设置密码有效期为30天

设置最小密码修改间隔：

PASS_MIN_DAYS 0  # 密码最小修改间隔为0天

设置密码最小长度：

PASS_MIN_LEN 5  # 密码最小长度为5

设置密码到期警告天数：

PASS_WARN_AGE 7  # 密码到期前7天开始警告

使用 chage 命令设置密码时限：

设置用户密码最大有效期：

chage -M 30 lisi  # 设置lisi用户的密码最大有效期为30天

强制用户下次登录时重设密码：

chage -d 0 zhangsan  # 强制zhangsan下次登录时重设密码

查看用户密码到期信息：

chage -l zhangsan
chage -l lisi

2.4密码重设示例

当密码过期时，用户会被强制要求在下次登录时更改密码，具体操作如下：

登录提示：

WARNING: Your password has expired.
You must change your password now and login again!

用户更改密码：

(当前) UNIX 密码：
新的 密码：
无效的密码：密码未通过字典检查 - 它基于字典单词
新的 密码：
无效的密码：密码未提供
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

2.5参考命令

锁定文件：

chattr +i /etc/passwd /etc/shadow

解锁文件：

chattr -i /etc/passwd /etc/shadow

查看文件锁定状态：

lsattr /etc/passwd /etc/shadow

 

三、命令历史限制

        在 Linux 系统中，命令历史记录可以帮助用户追溯以前执行的命令，但在某些情况下（如安全或隐私需要），我们可能希望限制命令历史的记录和保存。

3.1设置命令历史记录条数

3.1.1为新登录用户设置历史记录条数：

编辑 /etc/profile 文件（适用于所有用户）：

vim /etc/profile

添加以下行：

HISTSIZE=18

3.1.2为当前用户设置历史记录条数：

编辑用户的 ~/.bashrc 文件：

vim ~/.bashrc

添加以下行：

export HISTSIZE=15

使配置生效：

source ~/.bashrc

验证效果：

history

确认 history 命令只显示最近的 15 条记录。

3.1.3临时清除历史记录：

清除当前 session 的历史记录：

history -c

3.1.4永久清除历史记录：

清空 .bash_history 文件：

echo " " > ~/.bash_history

3.2自动清除命令历史记录

3.2.1配置自动清除命令历史记录：

在用户的 ~/.bashrc 文件中添加：

echo '' > ~/.bash_history

3.2.2每次用户登出时清除历史记录：

编辑 /etc/skel/.bash_logout 文件，确保新用户创建时包含该配置：

vim /etc/skel/.bash_logout

添加以下行：

rm -f $HOME/.bash_history

3.3.3环境变量的读取顺序

用户登录顺序：

用户登录时，首先加载 ~/.bash_profile 文件。

~/.bash_profile 中通常配置加载 ~/.bashrc 文件：

if [ -f ~/.bashrc ]; then. ~/.bashrc
fi

3.4终端自动注销

为了防止用户长时间闲置在终端，可以设置自动注销时间。

3.4.1设置自动注销时间：

编辑 /etc/profile 文件（适用于所有用户）：

vim /etc/profile

添加以下行：

export TMOUT=600  # 闲置600秒后自动注销

使配置生效：

source /etc/profile

为当前用户设置自动注销时间：

export TMOUT=600

取消自动注销：

unset TMOUT

3.4.2登出时清除历史记录：

编辑用户的 ~/.bash_logout 文件：

vim ~/.bash_logout

添加以下行：

history -c
clear

通过以上配置和操作，能够有效地管理 Linux 系统的命令历史记录和终端自动注销，确保系统安全和用户隐私。

3.5结论

        在 Linux 系统中，通过合理配置账号和密码管理策略、限制命令历史记录以及设置终端自动注销时间，可以显著提升系统的安全性和用户隐私保护。这些措施在企业环境和个人使用中都具有重要的实际意义。

 

四、Linux 系统安全管理：PAM 安全认证

        在 Linux 系统中，确保系统的安全性是至关重要的。PAM（Pluggable Authentication Modules）提供了一种灵活和可定制的认证机制，使得系统管理员可以根据需要配置和管理各种服务的认证方式。

4.1什么是 PAM

        PAM 是 Linux 系统中的可插拔认证模块，允许系统管理员灵活地配置和管理各种服务的认证方式。PAM 的可插拔性并不意味着它是一个物理上的设备（如外部设备或 U 盘），而是指其可配置、可定制的特性。通过编辑配置文件，管理员可以定制某个服务的认证模块，实现灵活高效的用户级认证。

4.1.1以 .so 结尾的模块是什么？

        这些模块是动态函数库模块。当一个服务运行时，会将认证过程交给 PAM，PAM 读取相应的配置文件，然后根据配置调用适当的 PAM 认证模块来实现认证功能。如果认证不成功，用户将无法访问该服务。

4.2PAM 的工作原理

PAM 认证的基本流程可以分为以下几个步骤：

1. 确定服务：首先确定哪个服务需要进行认证。

2. 加载配置文件：加载该服务对应的 PAM 配置文件，通常位于 /etc/pam.d/ 目录下。

3. 调用认证模块：根据配置文件中的指示，调用相应的 PAM 认证模块，这些模块通常位于 /lib64/security/ 目录下。

具体来说，PAM 认证遵循以下顺序：服务 -> 配置文件 -> 认证模块。

• 服务：用户访问服务器时，某个服务程序会接收到用户的请求。

• 配置文件：该服务会查找并加载对应的 PAM 配置文件。

• 认证模块：根据配置文件中的内容，服务会调用相应的 PAM 认证模块，进行安全认证。

如果认证成功，用户将被允许访问该服务；如果认证失败，用户将被拒绝访问。

4.3PAM 配置文件结构

PAM 配置文件中的每一行都是一个独立的认证过程，包含以下四个字段：

4.3.1认证类型：

• auth：对用户身份进行识别，如提示输入密码。
• account：检查账号属性，如是否允许登录系统。
• password：用于修改用户密码。
• session：管理会话，如记录登录信息。

4.3.2控制标记：

• required：模块必须成功，失败则整个认证失败，但要继续执行其他模块。
• requisite：模块必须成功，失败则立即返回失败，终止认证过程。
• sufficient：模块成功则立即返回成功，忽略其他模块，失败则继续执行其他模块。
• optional：模块的成功与否无关紧要，通常用于 session 类型。
• include：表示在验证过程中调用其他的 PAM 配置文件。

模块名称：指定使用的 PAM 模块，如 pam_unix.so。

模块参数：传递给模块的参数，可以有多个，之间用空格分隔。

以下是一个示例配置文件 /etc/pam.d/su：

#%PAM-1.0
auth       sufficient   pam_rootok.so
auth       required     pam_wheel.so use_uid

4.3.3示例解释

• auth sufficient pam_rootok.so：如果调用者是 root 用户，则认证立即成功。

• auth required pam_wheel.so use_uid：只有 wheel 组的用户才可以使用 su 命令。

4.4PAM 认证模块的控制标记

PAM 的控制标记决定了各个模块的执行顺序和结果处理方式：

required：

解释：表示该行及所涉及模块的成功是用户通过鉴别的必要条件。如果失败，不会立刻返回失败，而是继续执行其他模块，所有此类型的模块都执行完毕后再返回失败。

举例：如同面试时，面试官虽然对某个问题的回答不满意，但仍然继续面试，最后才决定结果。

requisite：

解释：与 required 类似，但如果该模块失败，则立即返回失败，终止认证过程。

举例：如同面试时，只要有一个问题回答不上来，面试官立即宣布面试失败。

sufficient：

解释：如果该模块成功，则立即返回成功，忽略后续的模块；如果失败，继续执行其他模块。

举例：如同面试时，如果有关系背景，只要回答上来某个关键问题，就直接通过面试。

optional：

解释：表示该行及所涉及模块的成功与否无关紧要，通常用于 session 类型的模块。

举例：如同面试时，某个问题的回答仅作参考，不影响最终结果。

include：

解释：表示在验证过程中调用其他的 PAM 配置文件。

举例：如同面试时，某个问题需要引用其他人的评价来辅助判断。

4.5实际应用

通过配置 PAM，可以限制 su 命令的使用。例如，只有 wheel 组的用户才能使用 su 命令：

将用户添加到 wheel 组：

gpasswd -a username wheel

修改 /etc/pam.d/su 文件：

auth       sufficient   pam_rootok.so
auth       required     pam_wheel.so use_uid

验证配置：

su - anotheruser  # 尝试切换用户

4.6结论

        Linux 系统的安全管理需要多方面的努力，通过灵活配置 PAM 安全认证，可以显著提升系统的安全性。PAM 提供了一种高效、灵活的认证机制，允许管理员根据需要对服务进行细粒度的认证控制，从而确保系统和用户数据的安全。通过深入理解和正确配置 PAM 模块，可以有效地防止未经授权的访问，保护系统的完整性和机密性。

五、Linux 系统安全管理：使用 sudo 提升权限

        在 Linux 系统中，确保系统的安全性和管理的便捷性是至关重要的。使用 su 命令可以方便地切换为另一个用户，但前提是必须知道目标用户的密码。这对于生产环境中的 Linux 服务器来说，每多一个人知道特权密码，其安全风险也就增加一分。那么有没有一种折中的办法，既可以让普通用户拥有部分管理权限，又不需要将 root 用户的密码告诉他们呢？答案是肯定的，使用 sudo 命令就可以提升执行权限。本文将详细介绍 sudo 的使用方法和配置。

5.1什么是 sudo

sudo（superuser do）命令允许普通用户在不泄露 root 密码的情况下执行特权命令。管理员可以预先进行授权，指定哪些用户可以以超级用户（或其他用户）的身份执行哪些命令。

5.2sudo 配置文件 /etc/sudoers

/etc/sudoers 文件是 sudo 的配置文件，用于定义哪些用户可以在哪些主机上以谁的身份执行哪些命令。该文件的默认权限为 440，因此需要使用 visudo 工具进行编辑。虽然也可以用 vi 进行编辑，但保存时必须执行 :w! 命令来强制操作，否则系统将提示为只读文件而拒绝保存。

5.2.1sudoers 文件的基本格式

user MACHINE=COMMANDS

• user：可以是一个具体的用户名，也可以是一个用户组（使用 %组名 表示）。

• MACHINE：主机名，通常设置为 ALL 代表所有主机。

• COMMANDS：用户被允许执行的命令的完整路径，多个命令之间以逗号 , 分隔。

5.3sudo 常用参数

• -l：列出用户在主机上可用的和被禁止的命令。

• -v：验证用户的时间戳。

• -u：指定以某个用户执行特定操作。

• -k：删除时间戳，下一个 sudo 命令要求用户提供密码。

5.4实例：配置 sudo 提权

5.4.1案例一：用户 wangliu 可以使用 useradd 和 usermod 命令

1. 编辑 sudoers 文件：

   visudo

2. 添加以下配置：

   wangliu ALL=(root) /usr/sbin/useradd,/usr/sbin/usermod

3. 验证配置：

   su - wangliu
   sudo /usr/sbin/useradd tom

5.4.2案例二：用户 Tom 可以临时创建网卡

1. 编辑 sudoers 文件：

   visudo

2. 添加以下配置：

   Tom ALL=(root) NOPASSWD:/usr/sbin/ifconfig

3. 验证配置：

   su - Tom
   sudo /usr/sbin/ifconfig ens33:0 192.168.1.11/24

5.5使用别名简化 sudo 配置

当使用相同授权的用户较多，或者授权的命令较多时，可以采用集中定义的别名。用户、主机、命令部分都可以定义为别名，通过关键字 User_Alias、Host_Alias、Cmnd_Alias 来进行设置。

5.5.1案例一：定义用户别名、主机别名和命令别名

1. 编辑 sudoers 文件：

   visudo

2. 添加以下配置：

   Host_Alias MYHOSTS = kgc,localhost
   User_Alias MYUSERS = zhangsan,wangwu,lisi
   Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm
   MYUSERS MYHOSTS=NOPASSWD:MYCMNDS

3. 解释：

• MYHOSTS 定义了主机别名，包含 kgc 和 localhost。
• MYUSERS 定义了用户别名，包含 zhangsan、wangwu 和 lisi。
• MYCMNDS 定义了命令别名，包含 /sbin/ 目录下的所有命令，但排除了 reboot、poweroff、init 和 rm 命令。

5.5.2案例二：用户别名和命令别名的综合使用

1. 编辑 sudoers 文件：

   visudo

2. 添加以下配置：

   User_Alias USERADMIN = wangliu,%wangliu,%useradmin
   Cmnd_Alias USERADMINCMND = /usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
   USERADMIN ALL=(root) NOPASSWD: USERADMINCMND

3. 解释：

• USERADMIN 定义了用户别名，包含 wangliu 用户和 wangliu、useradmin 两个用户组。
• USERADMINCMND 定义了命令别名，包含 useradd、usermod、userdel 和 passwd 命令，但排除了 passwd root。
• USERADMIN 在所有主机上可以无密码执行 USERADMINCMND 别名下的命令。

5.6启用 sudo 操作日志

为了更好地审计和追踪 sudo 操作，可以启用 sudo 操作日志。

1. 编辑 sudoers 文件：

   visudo

2. 添加以下配置：

   Defaults logfile="/var/log/sudo"

3. 解释：

• 该配置将 sudo 的操作日志记录到 /var/log/sudo 文件中。

5.7验证 sudo 配置

1. 使用 sudo -l 查看当前用户获得的 sudo 授权：

   sudo -l

2. 通过 sudo 执行特权命令：

   sudo /sbin/ifconfig ens33:0 192.168.1.11/24

5.8总结

        通过合理配置 sudo，可以在不泄露 root 密码的情况下，灵活地为普通用户分配特权命令的执行权限。这不仅提高了系统的安全性，还使得管理更加方便和高效。通过定义别名和启用操作日志，可以进一步简化配置和加强审计，确保系统的安全性和可追溯性。对于初学者，理解 sudo 的基本概念和配置方法是迈向 Linux 系统管理的重要一步。

六、如何确保服务器的开关机安全

在互联网环境中，大部分服务器是通过远程登录进行管理的，而本地引导和终端登录过程往往容易被忽视，从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时，防止其他用户的非授权介入就变得尤为重要。本文将详细介绍如何确保服务器的开关机安全，包括物理安全防护、GRUB引导参数的限制、更改终端登录安全控制、以及系统弱口令检测等方面的内容。

6.1 物理环境安全防护

服务器的物理环境安全防护至关重要：

• 机箱和机柜保护：确保机箱完好，机柜锁闭，防止非授权人员接触硬件设备。

• 人员进出控制：严格控制机房的人员进出，只有授权人员才能进入机房。

• 硬件设备接触：限制对硬件设备的现场接触，防止设备被非法操作或破坏。

6.2 限制更改GRUB引导参数

修改GRUB引导参数可以修复系统问题，但如果任何人都能修改GRUB引导参数，对服务器的安全构成极大威胁。为此，可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

6.2.1设置GRUB菜单密码步骤：

1. 生成加密密码：

   grub2-mkpasswd-pbkdf2

   按提示输入并确认密码，生成的PBKDF2加密字符串会被用于GRUB配置。

2. 备份配置文件：

   cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
   cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

3. 修改配置文件： 编辑/etc/grub.d/00_header文件，添加以下内容：

   cat << EOF
   set superusers="root"
   password_pbkdf2 root grub.pbkdf2.sha512.10000.<加密字符串>
   EOF

4. 生成新的GRUB配置文件：

   grub2-mkconfig -o /boot/grub2/grub.cfg

重启系统进入GRUB菜单时，按e键需要输入账号和密码才能修改引导参数。

6.3终端登录安全控制

为了增强终端登录的安全性，限制root只在安全终端登录，并且在需要时禁止普通用户登录。

6.3.1限制root只在安全终端登录：

编辑/etc/securetty文件，注释掉不需要的终端，例如：

#tty4

禁止普通用户登录：

当服务器进行备份或调试时，可以暂时禁止普通用户登录：

touch /etc/nologin

删除/etc/nologin文件或重启主机后恢复正常。

使用last命令显示用户或终端登录情况：

last

6.4系统弱口令检测

检测系统中的弱口令可以有效提高安全性。使用John the Ripper工具进行弱口令检测。

6.4.1安装和使用John the Ripper：

1. 下载和解包：

   tar zxvf john-1.8.0.tar.gz -C /opt/

2. 安装编译环境：

   yum install gcc gcc-c++ -y
   cd /opt/john-1.8.0/src
   make clean linux-x86-64

3. 添加测试用户并准备文件：

   useradd zhangsan
   passwd zhangsan
   cp /etc/shadow /root/shadow.txt

4. 运行John the Ripper：

   cd /opt/john-1.8.0/run
   ./john /root/shadow.txt
   ./john --show /root/shadow.txt

5. 使用字典文件检测弱口令：

   ./john --wordlist=./password.lst /root/shadow.txt

通过上述步骤，可以有效检测并处理系统中的弱口令，提升系统安全性。

6.5总结

        确保服务器的开关机安全涉及多个方面，包括物理环境安全防护、限制GRUB引导参数、更改终端登录安全控制、以及系统弱口令检测。通过实施这些措施，可以大大减少服务器被非授权用户介入的风险，提升服务器的整体安全性。

七、使用Nmap进行网络端口扫描与安全管理

        网络端口扫描是网络安全评估的重要步骤。通过Nmap，可以检测网络中开放的端口和服务，从而识别潜在的安全风险。本文将详细介绍Nmap的使用方法及相关的网络安全管理措施，适合初学者。

7.1 网络协议基础

在开始使用Nmap之前，了解一些基本的网络协议是非常重要的：

• SYN (synchronous 建立联机)

• ACK (acknowledgement 确认)

• PSH (push 传送)

• FIN (finish 结束)

• RST (reset 重置)

• URG (urgent 紧急)

        每个TCP包都包含顺序号码（Sequence number）和确认号码（Acknowledge number），这些字段用于确保数据的有序传输和确认。

7.2 安装Nmap

首先，确保Nmap已安装在你的系统中：

rpm -qa | grep nmap
yum install -y nmap

7.3.基本Nmap扫描类型

Nmap支持多种扫描类型，每种类型适用于不同的检测需求：

• -sS，TCP SYN 扫描（半开扫描）：发送SYN数据包，如果收到SYN/ACK响应包，就认为端口开放。

  nmap -sS <target>

• -sT，TCP 连接扫描：建立完整的TCP连接，确认端口是否开放。

  nmap -sT <target>

• -sF，TCP FIN 扫描：发送FIN数据包，开放的端口会忽略，关闭的端口会回应RST数据包。

  nmap -sF <target>

• -sU，UDP 扫描：探测目标主机提供的UDP服务。

  nmap -sU <target>

• -sP，ICMP 扫描：类似于ping检测，快速判断目标主机是否存活。

  nmap -sP <target>

• -P0，跳过ping检测：直接扫描目标主机，适用于对方不响应ICMP请求的情况。

  nmap -P0 <target>

7.4实例演示

下面是一些具体的Nmap使用实例：

• 扫描本地主机的常用TCP端口：

  nmap -sT 127.0.0.1

• 扫描本地主机的常用UDP端口：

  nmap -sU 127.0.0.1

• 使用ICMP扫描判断主机是否存活：

  nmap -sP 127.0.0.1

• 跳过ping检测，扫描一个网段：

  nmap -P0 192.168.10.0/24

• 扫描特定端口（如文件共享服务端口）：

  nmap -p 139,445 192.168.4.100-200

7.5禁用与启用Ping

临时禁用Ping：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

启用Ping：

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

永久禁用Ping： 编辑/etc/sysctl.conf文件，添加或修改以下行：

net.ipv4.icmp_echo_ignore_all = 1

刷新配置：

sysctl -p

7.6 PAM模块防止暴力破解

通过PAM模块，可以防止暴力破解登录： 编辑/etc/pam.d/sshd，在第一行下面添加：

auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200

参数说明：

• deny：指定最大认证错误次数。

• unlock_time：锁定多长时间（秒）。

• even_deny_root：锁定root用户。

• root_unlock_time：root用户锁定时间。

手动解除锁定： 查看某用户错误登录次数：

pam_tally2 --user <username>

清空某用户错误登录次数：

pam_tally2 --user <username> --reset

7.7 使用netstat查看网络状态

netstat命令可以查看当前操作系统的网络连接状态、路由表、接口统计等信息：

netstat -natp   # 查看正在运行的使用TCP协议的网络状态信息
netstat -naup   # 查看正在运行的使用UDP协议的网络状态信息

常用参数：

• -n：以数字形式显示主机地址和端口。

• -r：显示路由表信息。

• -a：显示所有活动的网络连接信息。

• -l：显示处于监听状态的网络连接及端口信息。

• -t：查看TCP相关信息。

• -u：查看UDP相关信息。

• -p：显示与网络连接相关联的进程信息（需要root权限）。

7.8总结

        通过使用Nmap和其他工具，可以有效地检测和管理网络端口，确保网络安全。同时，结合PAM模块和netstat命令，可以进一步加强系统的安全性。希望这篇博客能帮助初学者快速掌握这些基本的网络安全技能。