首页 > 其他分享 >关于debian安全

关于debian安全

时间:2023-10-23 22:44:08浏览次数:32  
标签:grub 密码 分区 etc Debian 安全 关于 debian

目录

Debian总指南: https://www.debian.org/doc/manuals/securing-debian-manual/index.zh-cn.html

debian安全信息

保持您 Debian 系统的安全性
想收到最新的 Debian 安全警报的话,请订阅 debian-security-announce (https://lists.debian.org/debian-security-announce/) 邮件列表。

此外,您还可以使用 APT 来方便地获取最新的安全更新。要使您的 Debian 操作系统获得最新的安全更新,请把下面这行加入到您的 /etc/apt/sources.list 文件中:
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

保存修改后,请执行以下两个命令以下载并安装安全更新:
apt-get update && apt-get upgrade

安装前和安装过程中

1、选择一个 BIOS 密码
注:不使用厂家自带的默认密码

2、系统分区
2.1 选择明智的分区方案
一份明智的分区方案依赖于机器的用途. 合理使用分区是一条不错的经验, 并注意一下因素:
(1) 用户具有写入权限的任何目录树,例如 /home、/tmp 和 /var/tmp/,都应该位于单独的分区上

(2) 变化较大的分区, /var (特别是 /var/log), /var 应该放在一个独立的分区上. 在 Debian 系统中, 您创建的 /var 应当比在其它系统中稍大一点, 因为下载的软件包(apt缓存) 存放于 /var/cache/apt/archives 目录下.
(3) 您打算安装 non-distribution 软件的任何分区都应是是独立的. 根据文件层次标准, 应当是 /opt 或 /usr/local 目录. 如果这些在独立分区上, (必须)重装 Debian 系统时将不会被删除.
释义:Debian 12 中有一个关于管理“非自由”固件包的根本变化。Debian 创建了一个新的软件源,以便轻松访问那些专有包,即sources.list中
(4) 从安全的角度考虑, 应当将静态数据放在独立的分区上, 并将此分区以只读的方式挂载. 将这些数据存放在只读介质上会更好
(5) 某些情况下您可能无法确定是否需要独立的分区, 可以安装逻辑卷管理器(Logical Volume Manager), 使用lvm可创造扩展多物理容量的卷组. 


在系统分区期间,您还必须决定要使用的文件系统。在 Debian Linux 分区安装中选择的默认文件系统是ext3,一个日志文件系统。建议您始终使用日志文件系统,例如 ext3、reiserfs、jfs 或 xfs,以最大程度地减少在以下情况下系统崩溃引起的问题:
1、为笔记本电脑安装任何文件系统. 在意外的电池耗尽或因为硬件问题(如一般的 X 配置问题) 引起系统锁死, 重起后可能丢失数据.
2、对于存放大量数据的系统来说(像邮件服务器, ftp服务器, 网络文件系统...)推荐使用这些分区格式. 这样当系统出现故障时, 系统用于恢复和检查文件系统的时间就会大大缩短, 同时数据丢失的可能也会降低.


无论怎样, 在ext3下数据完整性也许更好,因为它是真正的文件-数据记录, 而其它的仅仅是元-数据记录, 参见 http://lwn.net/2001/0802/a/ext3-modes.php3

准备好前不要连入互联网

系统在安装过程中不应该被连入互联网.因为网络安装是最常用的方法. 系统安装后服务马上被激活, 如果系统连入互联网但服务没有被正确配置,那么您将面临着被攻击.
同时应当注意到您所安装软件包中的一些服务可能存在着未被修复的安全漏洞. 如果您的系统是由老版本安装的, 通常会是如此. 在这种情况下,安装完成前您的系统是非常脆弱的!

设置GRUB密码

参考
或者

在grub 2中,没有/boot/grub/menu.lst,它已被/boot/grub/grub.cfg代替,无论何时添加或删除内核或者当用户运行update-grub时grub.cfg都会被某些grub 2软件包更新覆盖
启用 grub 2 密码保护必须遵守以下条件
1、必须识别授权用户
2、必须指定他们的密码
3、必须确定要保护的菜单项
用户和密码手动添加到/etc/grub.d/00_header文件中,该文件必须由具有管理权限 (root) 的用户编辑,因为它是一个系统文件。
运行 update-grub 时用户/密码信息会自动添加到 GRUB 2 菜单配置文件 (grub.cfg)

生成加密密码
要使 GRUB 需要密码才能启动系统,我们必须使用命令 grub-mkpasswd-pbkdf2 生成加密密码。此加密密码保护已在所有版本的 grub 2 中可用
rambo@test1:~$ grub-mkpasswd-pbkdf2
Enter password:         # 这里我输入的是hackme,输入时不会显示
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.30F51D71DAC572ACF82F1F7558FDED508F0ED44FA73AB989425C3FDA3F7F912078B4C1A80F2B04D54D4B6B3F13F5F9C35C1154615DD1B0B79F4B94EF11FCF478.3FFC1A21117D847703A9173F1D3ACCF467390DCC567E759F1ABC9D8488E6C4BA56877524D5D135B2F66D5F2681EA63B816DF7F08365DC8CE480CBE6B4C9F1C66

在grub2主配置文件上设置密码
超级用户/用户信息和密码不必包含在/etc/grub.d/00_header文件中,/etc/grub.d会将该文件合并到grub.cfg中,该信息就可以放在任何文件中。
用户可能更愿意将此数据输入到自定义文件中,这样/etc/grub.d/40_custom即使在更新 grub 包时它也不会被覆盖。
rambo@test1:~$ sudo cp /etc/grub.d/40_custom{,-bak}
rambo@test1:~$ sudo vim /etc/grub.d/40_custom
方法1:本次采用该方法
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.30F51D71DAC572ACF82F1F7558FDED508F0ED44FA73AB989425C3FDA3F7F912078B4C1A80F2B04D54D4B6B3F13F5F9C35C1154615DD1B0B79F4B94EF11FCF478.3FFC1A21117D847703A9173F1D3ACCF467390DCC567E759F1ABC9D8488E6C4BA56877524D5D135B2F66D5F2681EA63B816DF7F08365DC8CE480CBE6B4C9F1C66

方法2:
set superusers="root"
password_pbkdf2 root hackme
释义:password_pbkdf2 <用户> <密码>


更新grub文件
(执行命令配置生成新的grub.cfg文件)
rambo@test1:~$ sudo grub-mkconfig -o /boot/grub/grub.cfg 
Generating grub configuration file ...
Found background image: /usr/share/images/desktop-base/desktop-grub.png
Found linux image: /boot/vmlinuz-6.1.0-10-amd64
Found initrd image: /boot/initrd.img-6.1.0-10-amd64
Warning: os-prober will not be executed to detect other bootable partitions.
Systems on them will not be added to the GRUB boot configuration.
Check GRUB_DISABLE_OS_PROBER documentation entry.
done


===============================================
fedora用户可执行如下命令
grub2-mkconfig -o /boot/efi/EFI/fedora/grub.cfg
===============================================


rambo@test1:~$ sudo reboot

下图输入密码时屏幕上不会出现任何内容,如密码正确系统就会启动
只有密码正确才可进入图2,进入图2后直接回车 或 如进入图2后按e编辑grub2菜单项 或 按c访问grub2命令行都需要密码
下图中的2个选项都需要密码正确,只有密码正确才能往下进行


只有密码保护才能编辑菜单或 grub 命令行。
即任何用户都可以启动菜单条目,但是当尝试编辑菜单,转到子菜单,访问grub命令控制台时,它会要求输入用户名和密码。
rambo@test1:~$ sudo vim /etc/grub.d/10_linux
....
    ....
CLASS="--class gnu-linux --class gnu --class os --unrestricted"          # 该行最后添加--unrestricted
SUPPORTED_INITS="sysvinit:/lib/sysvinit/init systemd:/lib/systemd/systemd upstart:/sbin/upstart"
....
    ....


rambo@test1:~$ sudo grub-mkconfig -o /boot/grub/grub.cfg 
rambo@test1:~$ sudo reboot
重启后当选择第一个默认菜单条目时可正常进入,但选择第二项菜单条目时直接回车、按e、按c等编辑条目菜单时,系统会要求输入密码

虽然可以在grub启动菜单中添加密码保护,但其他人仍然可以通过USB安装程序破解您的系统。因此,加密文件系统是迄今为止的最佳选择。
仅编辑菜单条目和命令控制台的密码保护并不完美!因为grub软件包的系统更新将覆盖 /etc/grub.d/10_linux 文件

2023-10-23 22:38 待续....

标签:grub,密码,分区,etc,Debian,安全,关于,debian
From: https://www.cnblogs.com/smlile-you-me/p/17783682.html

相关文章

  • 关于ARTS
    ARTS是陈皓在课程《左耳听风》中提出的原创概念,以周为单位,循环反复的学习活动。Algorithm:在LeetCode上做一道算法题,这一步主要是为了编程的训练和学习,如果不训练,看再多的书籍也是没有用的。Review:读一篇英文文章,主要是为了训练英文,英文能力不行,无法成为技术高手。Tips:分享......
  • 5种常用Web安全扫描工具,快来查漏补缺吧!
    漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?答案就在本文!1、AWVSAcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络......
  • debian
    debian设置镜像源在/etc/apt/sources.list下将原来的内容删去,然后改为如下内容(清华镜像源)debhttps://mirrors.tuna.tsinghua.edu.cn/debian/bookwormmaincontribnon-freenon-free-firmwaredeb-srchttps://mirrors.tuna.tsinghua.edu.cn/debian/bookwormmaincont......
  • Linux账号密码安全运维
    前言随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安......
  • 关于elementui的cascader组件多个级联大量数据滚动定位样式导致卡顿问题
    如题,多个cascader级联组件,下拉选项含大量数据,滚动时会有实时样式重新渲染,导致CUP内存溢满而卡顿解决尝试:使用elementui中的内部源码方法处理<script>import{addResizeListener,removeResizeListener}from'element-ui/src/utils/resize-event';...setu......
  • sqlserver 服务器主体 无法在当前安全上下文下访问数据库
    SELECTname,database_id,is_trustworthy_onFROMsys.databasesALTERDATABASEbole_dataSETTRUSTWORTHYONALTERAUTHORIZATIONONDATABASE::bole_dataTObole 今天使用sqlserver,发现了一个问题,就是使用insertinto数据库名.dbo.表名(字段)values(值)这样语句的......
  • 关于GB28181你了解多少?
    GB28181实时视频接入:实现安全、高效的视频监控系统一、概述GB28181是一种国家标准,它规定了公共安全视频监控联网系统的基本要求和技术指标。该协议的实时视频接入功能可以实现不同厂商的设备之间进行无缝互联互通,从而为视频监控系统提供高效、安全的数据传输和监控控制能力。......
  • windows安全事件查看及安全事件id汇总
    Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。日志路径:C:\Windows\System32\winevt\Logs查看日志:Security.evtx、System.evtx......
  • 关于高级定时器 重复计数值寄存器的使用介绍
    在使用高级定时器进行初始化的时候,相较于通用定时器,在初始化的时候会有一个重复计数的配置,如下图:该位主要是对重复计数值寄存器进行配置,如下图:关于该配置的使用说明,具体如下:以定时器中断为例:1、一般默认情况下,将重复计数值设置为0。配置为向上计数时,当从0计数到arr值的时候......
  • CSRF和SSRF有什么区别?网络安全入门
    CSRF和SSRF有什么区别?网络安全入门现在是万物互联时代,一切都是信息化的,会涉及到个人隐私信息,一些不法分子可能会利用一些手段获取我们的信息,信息泄露出去便会有危险,因此就诞生了网络安全工程师这个岗位,近几年它的需求量也很大,那CSRF和SSRF有什么区别呢?请看下文:CSRF:说到CSRF,就不得......