# Password 安全加固 #### 博客作者:联系请[点击](https://hezhiqiang.gitbook.io/about-the-author/lian-xi-zuo-zhe),搬运不易,希望请作者喝咖啡,可以点击[联系博客作者](https://hezhiqiang.gitbook.io/about-the-author/lian-xi-zuo-zhe) 在针对服务器的入侵事件中,有近一半的比例是弱口令爆破攻击,每年由此类攻击引发的勒索和挖矿行为给用户带来巨大的损失,为了减少此类入侵事件带来的损失,您可以参考本文完成弱口令的安全加固和攻击防御。 ## 一、背景信息 据部分行业媒体报导,近年来由弱口令引发的安全事件占到云上安全事件总数的一半以上,并且有逐年上升的趋势。有研究机构预测2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。 ## 二、弱口令攻击防御方法 您可以通过以下两种方法防御弱口令攻击: * 设置复杂密码复杂密码应同时满足以下要求: * 密码长度大于等于8个字符。 * 至少包含大写字母(A\~Z)、小写字母(a\~z)、数字(0\~9)、特殊字符(\`\~!@$%^&\*()-\_=+#|\[{}];:'",<.>/?)中三种字符的组合。 * 密码不能为用户名或用户名的倒序。 * 不使用常见或公开的弱口令。 * 已公开的常用弱口令。例如abcd1234、admin、root、admin\@123等。 * 数字或字母连排或混排,键盘字母连排。例如123456、abcdef、123abc、qwerty、1qaz2wsx等。 * 短语密码。例如5201314、woaini1314等。 * 公司名称、 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份等。 * 避免服务端口开放到互联网 如果服务器的运维端口和数据库服务端口暴露在互联网上,则存在被黑客扫描发现和暴力破解的风险。您可以使用防火墙或者安全组减小服务端口的暴露面,仅将端口开放给有业务需要的服务器访问。 ## 三、常见系统及服务口令修改方法 以下表格介绍修改Linux服务器、MySQL数据库、Redis数据库等常见系统的登录弱口令的操作方法。 | 系统名称 | 修改登录口令操作步骤 | 说明 | | --------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Linux系统 | 在Linux系统服务器中,执行passwd \[\]命令修改用户登录口令。 | 其中``为登录用户名,如果不输入则修改的是当前用户的口令。执行完命令后请根据提示输入新口令。 | | Windows系统 |

本处以Windows 10为例,说明修改用户登录口令的方法。

  1. 登录Windows服务器后,在左下角单击开始图标图标。
  2. 单击设置图标图标。
  3. 在Windows设置页面,单击帐户。
  4. 在左侧导航栏单击登录选项。
  5. 根据页面提示更改服务器密码。
| 无。 | | MySQL数据库 |
  1. 登录MySQL数据库。

  2. 执行以下命令查看数据库用户密码信息。

    SELECT user, host, authentication\_string FROM user;                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    |                                                                                                                                                                        |
|

    说明 部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息,请您执行以下命令。

    SELECT user, host, password FROM user; |                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         |                                                                                                                                                                        |
|

  3. 执行以下命令,根据查询结果及弱密码告警信息修改用户的密码。

    SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');                           |                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         |                                                                                                                                                                        |
|
  4. 执行刷新命令flush privileges;
| 无。 | | | Redis数据库 |
  1. 打开Redis数据库的配置文件redis.conf。

  2. 执行以下命令修改或增加口令。

    requirepass \;                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     |                                                                                                                                                                        |
|
  3. 重启Redis服务。
| 其中``为登录口令。如果已存在登录口令,则将其修改为复杂口令;如果不存在登录口令,则添加新口令。 | | | SQL Server数据库 |

  • Linux系统登录登录SQL Server数据库,执行以下命令修改登录口令。

     exec sp\_password '\','\','\'                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          |                                                                                                                                                                        |
|

  • Windows认证登录

    在SQL Server数据库客户端,依次选择安全性 > 登录名 ,选中用户后将弱口令修改为复杂口令。

| 其中``为旧口令,``为新口令,``为用户名。 | | | MongoDB数据库 |
  1. 登录MongoDB数据库。
  2. 执行use admin命令切换到admin用户。
  3. 执行use \命令切换到需要修改登录口令的数据库。
  4. 执行db.updateUser('\',{pwd:'\'})命令修改数据库的登录名和口令。
|
  • db\_name为需要修改登录口令的数据库名称。
  • username为待修改口令的用户名,newpassword为新口令。
  • 修改口令完成后,需等待15分钟才能检测修改后的口令是否为弱口令。
| | PostgreSQL数据库 |
  1. 登录PostgreSQL数据库。

  2. 执行以下命令修改弱口令。

    ALTER USER \ WITH PASSWORD '\';                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       |                                                                                                                                                                        |
|
| 其中``为用户名,``为新口令。 | | | Tomcat |
  1. 打开Tomcat根目录下的配置文件conf/tomcat-user.xml。
  2. 修改user节点的password属性值为复杂口令。
| 无。 | | Rsync |
  1. 打开Rsync的配置文件rsyncd.conf。
  2. 找到secrets file配置项,并在该配置项中找到rsyncd.secret文件的路径。
  3. 将rsyncd.secret文件按用户名:口令的形式编辑,修改对应用户的口令为新的复杂口令。
  4. 重启Rsync服务。
| 无。 | | SVN |
  1. 打开版本库目录。
  2. 在配置文件\/conf/svnserve.conf中找到password-db
  3. 根据password-db配置找到口令配置文件路径,将该文件中的口令修改为指定的口令(默认为passwd文件)。
  4. 重启SVN服务。
| 无。 | | vsftpd服务器软件 |

  • 本地用户

    1. 打开配置文件vsftpd.conf。

    2. 增加或修改配置项anonymous\_enable的值为NO。

      anonymous\_enable的值为NO表示禁止匿名登录。

    3. 执行passwd \命令修改FTP用户的口令。

      \为ftp用户的用户名。

    4. 根据提示设置符合要求的新的复杂口令。

  • 虚拟用户

    1. 打开文件/etc/vsftpd/login.txt。

    2. 修改用户名对应的口令并保存。

      该文件格式为:第1行是用户A的用户名,第2行是用户A的口令,第3行是用户B的用户名,第4行是用户B的口令,以此类推。

    3. 执行db\_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db命令。
    4. 修改/etc/pam.d/vsftpd文件。在存在auth pam\_userdb.soaccount pam\_userdb.so的行后分别添加语句db=/etc/vsftpd/login,修改完成后保存。具体位置见下图。vsftpd文件修改位置
    5. 重启vsftpd。
| |