Linux下如何限制Root用户进行远程登陆

linux 操作系统安全试卷Linux 操作系统安全试卷一、选择题（每题 2 分，共 30 分）1、在 Linux 中，以下哪个命令用于更改文件或目录的权限？（）A chmodB chownC umaskD mkdir2、下列关于 Linux 密码策略的描述，错误的是（）A 可以设置密码的最小长度B 可以设置密码的过期时间C 密码复杂度要求是强制的，无法修改D 可以限制密码重复使用的次数3、为了增强 Linux 系统的安全性，应该定期对系统进行更新，以下哪个命令用于更新系统软件包？（）A aptget updateB yum updateC pacman SyuD 以上都是4、在 Linux 中，SELinux 是一种强制访问控制机制，以下关于SELinux 的说法，正确的是（）A SELinux 总是能提高系统的安全性B SELinux 可能会导致某些应用程序无法正常运行C 关闭 SELinux 不会对系统安全造成影响D SELinux 的配置非常简单，不需要专业知识5、以下哪种方式不是 Linux 系统中常见的用户认证方式？（）A 本地用户认证B LDAP 认证C 指纹认证D Kerberos 认证6、要限制某个用户只能在特定的时间段登录 Linux 系统，可以通过修改以下哪个配置文件实现？（）A ／etc/passwdB ／etc/shadowC ／etc/logindefsD ／etc/security/timeconf7、在 Linux 中，以下哪个命令可以查看系统中正在运行的进程？（）A psB topC killD jobs8、为了防止恶意用户通过暴力破解密码登录系统，可以采取以下哪种措施？（）A 启用防火墙B 安装杀毒软件C 配置账户锁定策略D 以上都是9、以下哪个文件用于存储 Linux 系统的日志信息？（）A ／var/log/messagesB ／etc/logrotateconfC ／var/log/secureD 以上都是10、当发现 Linux 系统存在安全漏洞时，应该首先（）A 安装补丁B 评估漏洞的影响C 通知所有用户D 关闭相关服务11、在 Linux 中，以下哪个命令用于查看文件的内容？（）A catB moreC lessD 以上都是12、为了保护 Linux 系统中的敏感文件，应该（）A 设置合适的权限B 定期备份C 加密文件D 以上都是13、以下哪种工具可以用于检测 Linux 系统中的恶意软件？（）A ClamAVB NortonC McAfeeD 360 安全卫士14、在Linux 中，以下哪个目录通常用于存储系统配置文件？（）A ／etcB ／varC ／usrD ／home15、为了防止网络攻击，Linux 系统中的防火墙应该默认（）A 开放所有端口B 关闭所有端口C 只开放必要的端口D 随机开放端口二、填空题（每题 2 分，共 20 分）1、 Linux 系统中的超级用户是________。

在Linux中，可以使用以下方法来限制登录：
1. 修改用户配置文件：打开`/etc/shadow`文件，将需要限制登录的用户的第二栏设置为“*”，该用户将无法登录。

但这种方法会导致该用户的密码丢失，如果需要再次使用该帐号，需要重新设置密码。

2. 使用命令锁定帐号：使用`usermod -L`命令锁定用户帐号，使用`usermod -U`命令解锁用户帐号。

3. 修改shell类型：将用户的shell更改为`/sbin/nologin`，用户将无法登录。

但这种方式更加人性化，因为可以向用户解释禁止登录的原因。

如果需要解禁用户，只需将shell 更改回原有的类型即可。

4. 禁止所有用户登录：如果你是root用户，并且不想让所有用户登录（例如，在进行系统维护或升级时），可以修改`/etc/securetty`文件，移除或注释掉其中所有的行，这将禁止所有用户从tty设备登录。

5. 使用TCP Wrappers服务访问控制：在Linux中，可以使用TCP Wrappers服务来实现访问控制，以限制哪些IP地址可以访问特定的服务。

例如，编辑`/etc/hosts.allow`和`/etc/hosts.deny`文件，根据需要进行配置。

这些方法都可以用来限制Linux中的登录行为，但需要根据
具体情况选择合适的方法。

Linux命令高级技巧使用chroot命令将进程限制在特定目录：1. 什么是chroot命令2. chroot命令的基本用法3. 利用chroot命令限制进程4. chroot命令的高级用法5. chroot在系统安全中的应用6. chroot的局限性与注意事项1. 什么是chroot命令chroot命令是Linux系统中的一个命令，其作用是将进程的根目录更改为指定的目录，从而限制进程访问的文件系统范围。

对于系统管理和安全性方面的需求，chroot命令是一种非常有用的工具。

2. chroot命令的基本用法使用chroot命令的基本语法如下：```chroot [选项] <目录> [命令]```其中，目录参数指定了新的根目录。

命令参数是一个可选的命令，它指定了在新的根目录环境中执行的命令。

例如，要将当前目录限制在`/home/chroot`中，可以使用以下命令：```chroot /home/chroot```这将把当前进程的根目录更改为`/home/chroot`，进程只能访问该目录及其子目录下的文件和文件系统。

3. 利用chroot命令限制进程通过使用chroot命令，可以限制进程的访问权限，从而增加系统的安全性。

可以将敏感的系统文件或应用程序放在一个独立的根目录环境中，限定进程只能在该环境中执行。

例如，可以创建一个名为`/var/chroot/apache`的目录，将Apache Web服务器相关文件放入其中，并使用chroot命令将Apache进程限制在该目录中，从而有效地隔离了Apache服务器的运行环境。

具体实现如下：```mkdir /var/chrootmkdir /var/chroot/apachecp -r /usr/sbin/apache /var/chroot/apachecp -r /var/www /var/chroot/apachechroot /var/chroot/apache /usr/sbin/apache```这样，Apache进程将被限制在`/var/chroot/apache`中，只可以访问该目录下的文件和文件系统。

素质测试a)作为一名技术，在接到客户电话时首先要做什么？该用什么样的典范语言？b)作为一名技术，出差时你认为必须要带的东西有哪些？（至少三样，笔记本除外）c)两道算术题，一题是6个带小数的数字相加之和，有选择项。

另一题要详细讲一下，因为我到现在都还没搞清楚。

d)题目的内容是：迈克和托德的薪水相差$21 。

迈克的薪水比托德多$20 。

迈克的薪水是多少？托德的薪水是多少？（起初我以为题目出错了，回来后查了一下，网上居然有，是微软公司IT技术专家碰到的一次面试题。

职业目标a)英文描述为什么选择中联绿盟？你的短期和长期的职业目标是什么？你想要有什么的成就？b)情景题：假如你在电梯里遇到绿盟的HR，你如何在30秒内给HR留下深刻印象？（虽然考试试题绝大部分是一些基础试题，但是明显可以看得出来，如果没有深厚的功底，是答不好的）专业题第一题：描述tcp的三次握手，写出syn ack的关系。

三次握手：握手过程的第一个段的代码位设置为SYN，序列号为x，表示开始一次握手。

接收方收到这个段后，向发送者回发一个段。

代码位设置为SYN和ACK，序列号设置为y，确认序列号设置为x+1。

发送者在受到这个段后，知道就可以进行TCP数据发送了，于是，它又向接收者发送一个ACK段，表示，双方的连接已经建立。

Client --> 置SYN标志序列号= J，确认号= 0 ----> ServerClient <-- 置SYN标志置ACK标志序列号= K, 确认号= J + 1 <-- ServerClinet --> 置ACK标志序列号= J + 1，确认号= K + 1 --> Servera 发起方b接受方a发送一个SYN包给b，b回一个[SYN,ACK]给b，a再回一个ACK包给b；数据交换：a ----》ba 发送数据完毕，（PSH,ACK）aseq = x，ack=y，datalen = zb 接受到以后发送（ACK）bseq = aack，back = aseq + alen，datalen=blenb 发送数据完毕（PSH,ACK）bseq = bseq + blen，back = back，datalen = blena 确认接受（ACK）aseq = back ，aack = bseq + blen注：PSH标志指示接收端应尽快将数据提交给应用层。

linux 服务器禁止root用户的远程直接登录并修改ssh的
默认端口
1.创建用户任意比如oracle。

2.root下设置密码。

3.打开修改/etc/ssh/sshd_config文件配置文件
################################################################# ##########
LoginGraceTime 120
PermitRootLogin no
AllowUsers root.adminssh
#StrictModes yes
将PermitRootLogin项改为no，即禁止ROOT直接登陆，相反改为yes,则可以ROOT 用户直接登陆
系统中新建一用户，如何允许其SSH登陆
同样修改/etc/sshs/shd_config文件配置文件
将用户名称添加到文件中，加入新建一用户oracle
################################################################# ##########
AllowUsers wangluo
次句加在任意位置，但是保证前面没有#注释掉。

4.找到port一项，将本行前面的#号去掉，将22改成某一非有名端口号。

退出保存。

5.etc/init.d/sshd restart 重启sshd
oracle用户即可直接SSH连接登陆，但是如果已经在root上登录了不会断掉。

如何在Linux终端中进行系统安全加固在计算机领域，系统安全是一项至关重要的任务。

对于使用Linux 操作系统的用户来说，通过在终端中进行系统安全加固是一种有效的方法。

本文将介绍如何在Linux终端中进行系统安全加固，以保护系统免受恶意攻击和数据泄露的威胁。

一、更新系统和软件首先，确保您的Linux系统和应用程序处于最新的稳定版本。

及时更新系统和软件可以修复已知的漏洞，提高系统的安全性。

在终端中使用以下命令可以更新系统和软件：sudo apt update //更新软件包列表sudo apt upgrade //升级可升级的软件包二、强化用户权限管理1. 创建受限用户：除了root用户外，应为系统创建一个仅拥有有限权限的用户。

使用以下命令创建新用户：sudo adduser newuser2. 授予sudo权限：在保留root用户的完全访问权限的同时，将sudo权限授予受限用户。

使用以下命令将用户添加到sudo组：sudo usermod -aG sudo newuser三、防火墙设置配置防火墙是保护Linux系统的关键步骤。

通过限制对系统的网络访问，可以防止未经授权的入侵。

在终端中使用以下命令配置防火墙：1. 查看防火墙状态：sudo ufw status2. 启用防火墙：sudo ufw enable3. 设置允许的网络访问规则：sudo ufw allow ssh //允许SSH访问sudo ufw allow http //允许HTTP访问sudo ufw allow https //允许HTTPS访问四、禁用不必要的服务Linux系统默认启动了一些可能不必要的服务，这些服务可能存在潜在的安全风险。

在终端中使用以下命令可以列出当前正在运行的服务：sudo service --status-all根据自己的需求，禁用不需要的服务：sudo service servicename stop //停止服务sudo systemctl disable servicename //禁用服务五、设置密码策略强密码是防止未经授权访问的有效措施。

一、单选题1、下列不属于网络安全测试范畴的是（C）A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护2、下列关于安全审计的内容说法中错误的是（D）A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息C．应能够根据记录数据进行分析，并生成审计报表D．为了节约存储空间，审计记录可以随意删除、修改或覆盖3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A）A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 104、用于发现攻击目标（A）A.ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描ping扫描：用于发现攻击目标操作系统识别扫描：对目标主机运行的操作系统进行识别端口扫描：用于查看攻击目标处于监听或运行状态的。

5、路由器工作在（C）A.应用层B.链接层C.网络层D.传输层6、防火墙通过____控制来阻塞邮件附件中的病毒。

（A）A.数据控制B.连接控制C.ACL控制D.协议控制7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B）A.10.110.12.0B.10.110.12.30C.10.110.12.31D.10.110.12.328、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A）A.show running-configB.show buffersC. show starup-configD.show memory9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B）A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

一、单选题1、下列不属于网络安全测试范畴的是（C）A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护2、下列关于安全审计的内容说法中错误的是（D）A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息C．应能够根据记录数据进行分析，并生成审计报表D．为了节约存储空间，审计记录可以随意删除、修改或覆盖3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A）A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 104、用于发现攻击目标（A）A.ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描ping扫描：用于发现攻击目标操作系统识别扫描：对目标主机运行的操作系统进行识别端口扫描：用于查看攻击目标处于监听或运行状态的。

5、路由器工作在（C）A.应用层B.链接层C.网络层D.传输层6、防火墙通过____控制来阻塞邮件附件中的病毒。

（A）A.数据控制B.连接控制控制D.协议控制7、与mask 属于同一网段的主机IP地址是（B）8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A）running-config buffers C. show starup-config memory9、路由器命令“Router（config）#access-list 1 permit 的含义是：（B）A．不允许源地址为的分组通过，如果分组不匹配，则结束B．允许源地址为的分组通过，如果分组不匹配，则结束C．不允许目的地址为的分组通过，如果分组不匹配，则结束D．允许目的地址为的分组通过，如果分组不匹配，则检查下一条语句。

10、配置如下两条访问控制列表：access-list 1 permit access-list 2 permit 访问列表1和2，所控制的地址范围关系是（A）A．1和2的范围相同的范围在2之内的范围在1之内和2没有包含关系11、网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内信息不外泄的前提下，完成网络间数据的安全交换，下列隔离技术中，安全性最好的是（D）A．多重安全网关B.防火墙隔离D.物理隔离12、Windows系统默认Terminal Services服务所开发的端口为（D）A．2113、在命令模式下，如何查看Windows系统所开放的服务端口（B）A．NETSTAT –AN –AN14、某人在操作系统中的账户名为LEO，他离职一年后，其账户虽然已经禁用，但是依然保留在系统中，类似于LEO的账户属于以下种类型（A）A．过期账户 B.多余账户 C.共享账户 D.以上都不是15、在Linux系统中要禁止root用户远程登录访问编辑/etc/security/user文件，在root相中制定FALSE 作为（B）的值A．login16、OSPF使用什么来计算到目的网络的开销（A）A．带宽 B.带宽和跳数 C.可靠性 D.负载和可靠性17、依据GB/T 22239-2008，三级信息系统在应用安全层面说过对通讯完整性的要求是（C）A．应采用约定通信会话方式的方法保证通信过程中数据的完整性B．应采用校验码技术保证通信过程中数据的完整性C．应采用密码技术保证通信过程中数据的完整性D．第三级信息系统在应用层面上没有对通信完整性的要求18、依据GB/T 22239-2008，三级信息系统应对以下哪些数据实现存储保密性（D）A．系统管理数据B.鉴别信息C.重要业务数据D.以上都是19、依据GB/T 22239-2008，以下哪些条不是三级信息系统对备份和恢复的要求（A）A．应根据本地数据备份与恢复功能，重要信息数据备份至少每天一次，备份介质场外存放B．应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地C．应该用冗余技术设计网络拓扑结构，避免关键节点存在单点故障D．应提供主要网络设备，通信线路和数据处理系统的硬件冗余，保证系统的高可用性20、在oracle中查看其是否开启审计功能的SQL语句是（B）A．show parmeterB．select value from v$ parameter where name=’audit_trail’21、以下哪些不属于工具测试的流程（C）A．规划工具测试接入点 B.制定《工具测试作业指导书》C．查看主机安全策略 D.测试结果整理22、cisco的配置通过什么协议备份（B）A．ftp23、交换机收到未知源地址的帧时：（B）A．广播所有相连的地址B.丢弃C.修改源地址转发D……..24、功能测试不能实现以下哪个功能（D）A．漏洞 B.补丁 C.口令策略 D.全网访问控制策略25、等保3级别中，恶意代码应该在___进行检测和清除（B）A．内网 B.网络边界 C.主机D………26、_____是作为抵抗外部人员攻击的最后防线（A）A．主机安全 B.网络安全…………….27、按照等保要求，第几级开始增加“抗抵赖性”要求（C）A．一 B.二 C.三 D.四28、哪项不是开展主机工具测试所必须了解的信息（D）A．操作系统 B.应用 D.物理位置29、查询sql server中是否存在弱口令的sql语句是（A）A．select name from xx_logins where password is null30、Linux查看目录权限的命令（B）A．ls –a –l –a –l31、win2000中审核账户登录是审核（C）A．用户登录或退出本地计算机 B.管理员创建添加删除用户账户C．用户申请域控制登录验证 D.日志记录管理32、下面属于被动网络攻击的是（D）A．物理破坏 B.重放 C.拒绝服务 D.口令嗅探33、《基本要求》三级系统中，要求对网络设备进行登录失败处理功能。