System Login Security (系统登录安全) – Page 13

July 28, 2020August 15, 2022

[命令] Linux 命令 iptables （设置防火墙日志）

内容一：iptables 防火墙开启日志的案例

1.1 案例一：让日志记录未匹配任何规则的 TCP 数据包，之后再将其丢弃的方法

在所有规则后面添加以下两条规则：

......
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP IN: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP IN: 作为前缀保存日志为例）

1.2 案例二：让日志记录未匹配任何规则的 UDP 数据包，之后再将其丢弃的方法

在所有规则后面添加以下两条规则：

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP OUT: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP OUT: 作为前缀保存日志为例）

1.3 案例三：让日志记录未匹配任何规则的 ICMP 数据包，之后再将其丢弃的方法

在所有规则后面添加以下两条规则：

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP ICMP: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP ICMP: 作为前缀保存日志为例）

内容二：显示 iptables 防火墙日志的方法

# cat /log/var/message

July 20, 2020June 18, 2022

[步骤] sudo 提权的实现（通过用户自己的密码实现 sudo 提权）（openSUSE & SLE）

步骤一：给用户添加相应的 sudo 权限

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

或者：

# visudo

将以下内容：

......
#Defaults targetpw   # ask for the password of the target user i.e. root
#ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

修改为：

......
Defaults targetpw   # ask for the password of the target user i.e. root
ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

July 20, 2020June 19, 2022

[内容] 日志记录的清除（last 版）（CentOS Linux & RHEL 版）

步骤一：显示原来的 last 记录

# last

步骤二：清除原来的 last 记录

2.1 确认原有 last 记录的日志文件

# ls -arlt /var/log/wtmp
-rw-rw-r--. 1 root utmp 294920 Jul 20 09:57 lastlog

2.2 将原有 last 记录的日志文件移走

# mv /var/log/wtmp /var/log/wtmp.backup

2.3 创建新的 last 记录的日志文件

# touch /var/log/wtmp

2.4 给新创建的 last 记录的日志文件对应的权限

# chown root:utmp /var/log/wtmp

步骤三：显示 last 记录有没有被成功清除

# last

wtmp begins Mon Jul 20 10:07:11 2020

July 15, 2020July 6, 2022

[工具] Shell 只对某个 IP 地址开放 TCP 22 端口（iptables 版）

介绍

基本信息

名称：只对某个 IP 地址开放 TCP 22 端口
作用：只对某个 IP 地址开放 TCP 22 端口

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本分割线里的变量

ipaddress=192.168.1.1 #要开放 TCP 22 端口的 IP 地址

脚本

#!/bin/bash

####################### Separator ########################
ipaddress=192.168.1.1
####################### Separator ########################

systemctl stop firewalld
systemctl disable firewalld

yum -y install iptables-services
zypper -n install iptables

systemctl enable iptables
systemctl start iptables

sysctl -w net.ipv4.ip_forward=1
iptables -t filter -F
iptables -t nat -F

iptables -P OUTPUT ACCEPT
#iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -t filter -A INPUT -j ACCEPT -s $ipaddress -p tcp --destination-port 22
iptables -t filter -A INPUT -j DROP -p tcp --destination-port 22

service iptables save
systemctl restart iptables

June 7, 2020June 18, 2022

[步骤] Linux root 系统用户密码的破解

步骤一：进入内核编辑界面

重启系统，进入内核选择界面，此时按下 “e” 键进入内核编辑界面

步骤二：修改内核参数

在 linux 开头的这 1 行将 “ro rhgb quiet” 对应位置的参数修改为 “rd.break enforcing=0”

或者：

这一步也可以换成直接在 linux 开头的这 1 行末尾添加 “rd.break console=tty0”

步骤三：进入修改后的内核

同时按下 “ctrl” 键和 “x” 键

步骤四：修改 root 密码

4.1 重新挂载 sysroot 目录并给予读写权限

switch_root:/# mount -o remount,rw /sysroot

4.2 确认 sysroot 已经挂载

switch_root:/# mount | grep sysroot

4.3 将当前根目录切换为 /sysroot

switch_root:/# chroot /sysroot

4.3 修改 root 密码

sh-4.4# echo 1 | passwd --stdin root

（补充：以上命令的作用是在修改的内核中，将 root 的密码修改为 1，并重启）

4.4 创建修改标签

sh-4.4# touch /.autorelabel

4.5 同步

sh-4.4# sync

4.6 退出将 /sysroot 目录视为根目录

sh-4.4# exit

4.7 重启系统

switch_root:/# reboot