- 1selenium源码学习
- 2关系抽取任务常用数据集介绍_实体关系抽取数据集
- 3Superset,基于浏览器的开源BI工具
- 4Windows下MySQL服务启动常见的两种方式,完美适配Mysql5.7,MySql8.0_windows启动mysql
- 5解决eclipse中git插件中的cannot open git-upload-pack问题_eclipse.jgit.api 提示can not open git-upload-pack
- 6在docker上部署postgresSQL主从_docker postgrepsql
- 7QGLViewer+Qt5+VS2017开发环境搭建
- 8面向新闻评论课题笔记_如何进行新闻选题csnd
- 9深度学习与自然语言处理(4)_斯坦福cs224d 大作业测验1与解答_given dataset ! = {(%&,(&)}&+, - %: feature ve
- 10Docker 容器技术_docker容器技术
Linux:系统安全及应用_linux系统安全
赞
踩
目录
绪论:
系统安全:非常重要的对于个人、对于企业
· 数据安全:主要是防止个人的敏感信息被窃取、盗用,破坏
· 企业的法律法规要求
· 企业形象
1、账号安全基本措施
1.1 账号安全控制
1.2 锁定重要文件
查看文件状态:
lsattr /etc/passwd
lsattr /etc/shadow
锁定:
chattr +i /etc/passwd
重要文件:/etc/passwd /etc/shadow /etc/fstab
解锁:
chattr -i /etc/passwd
1.3 对密码进行安全控制
密码的有效期:到了一定的时间点强制用户修改密码
要求用户下次登录必须修改密码
· vim /etc/login.defs 修改配置,改变账号创建时密码的最大有效期,这种方式只能针对新建用户,已有用户不在此范围内
进入编辑:底行模式 set nu 到25行
passwd_max_days 30 密码有效期30天
此时新建用户密码有效期30天
· vim /etc/shadow 修改已经存在的用户,直接进去修改(不推荐)
· chage -M 30 用户 把用户密码有效期改成30天
· chage -d 0 用户 强制用户下次登录修改密码
1.4 对历史命令进行限制
限制历史命令的数量,清空历史命令:
· history -c 临时清除,重启之后还在
· vim /etc/profile
换成=4 限制为4条历史记录 保持退出
source /etc/profile
再history 展示最近的4条历史记录
· 退出终端清除历史记录 开机后清除终端的历史记录
ls -a
用户退出会清除
vim .bash_logout
编辑 :echo "" >~/.bash_logout 打一个空字符到这个文件里面
source .bash_logout
开机也清除:
vim .bashrc
编辑:echo "" >~/.bashrc
source .bashrc
1.5 设置登录的超时时间
(主要针对远程连接工具,释放资源,方式堵塞)
vim /etc/profile
底行模式:TMOUT=600 600s内不对终端操作会自动退出
保存退出
source /etc/profile
1.6 使用su命令切换用户
su - 用户 完整切换
su 用户 不完全切换,环境变量不变
再root用户下su有刷新作用
exit可以直接退出当前系统登录的用户
1.6.1 限制使用su命令切换用户
限制用户进行切换:为了方便,会给一些普通用户类似管理员的权限,这些用户是禁止切换的,只能自己用,不能随便切换到其他用户
wheel组:是一个特殊的组,通常用于控制系统管理员(root)权限的访问,加入wheel组之后可以和root管理员一样使用一些敏感命令。
有一个限制条件:sudo 可以和管理员一样执行root管理员的命令,必须要加入wheel组
wheel组默认为空的,需要手动添加,而且不会给所有权限,会进行限制,只能使用一些特定命令
vim /etc/pam.d/su 切换用户认证的模块
底行模式:set nu 看第六行 先取消注释
auth 表示权限
required 表示接受
是根据use_uid来进行认证 这一行命令就是表示普通用户之间切换su将会受到限制,除非加入wheel组,否则将不能随意进行用户切换
1.6.2 演示
useradd ky30
useradd ky31
都passwd
把ky30加入到wheel组:
gpasswd -a ky30 wheel
su - ky30
此时在ky30切换到ky31 会显示拒绝权限
root也都回不去了 可以用exit退出
1.7 pam 可插拔式认证模块
pam 可插拔式认证模块,相当于身份认证的框架,提供给用户一种标准的身份认证接口,管理员可以定制化配置各种认证方式
可插拔:即配即用,即删即失效
vim /etc/pam.d/su 切换用户认证的模块
底行模式:set nu 看第六行 加上注释就生效了,普通用户之间切换没有其他限制了
打开认证---su这个命令进行验证和限制---用户不能随便切换用户---除非加入wheel,否则不能进行用户切换
认证模式:
gpassdw -a ky30 wheel
su -ky31 su -root 配置文件---su模块是否启动---用户uid在不在wheel组---不在不允许切换---在就正常切换
1.7.1 pam认证的构成
ls /etc/pam.d 查看所有命令支不支持pam
查看su的pam的配置文件:cat /etc/pam.d/su
pam:认证模块,授权模块,模块的参数和配置项
第一列:认证类型 第二列·:控制类型 第三列:pam模块类型
认证类型:
auth:用户身份认证
account:账户的有效性
passwd:用户修改密码时的机制校验
session:会话控制,控制最多打开的文件数、能使用多少个进程等等
控制类型:
required:一票否决,表示只有认证成功,才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完才会给用户回馈
requisite:一票否决,只要返回失败会立刻终止并反馈个用户
sufficient:一票通过,如果返回成功,就不会再执行跟它相同模块内的认证,其它的模块返回失败也可以忽略
optional:可选项,可有可无。不用于验证,只显示信息
1.8 通过sudo机制提升权限
sudo核心就是普通用户可以使用管理员才能够使用的命令,但是这个权限移动要进行限制
vim /etc/sudoers 是一个只读文件,提升sudo命令的安全范围限制,只能使用特定的命令,或者禁止使用一些命令
想要退出必须使用强制命令
99行102行注释掉
然后在最后一行添加一行:用户名ky30 ALL=(root) /sbin/ifconfig,bin/passwd 多个命令逗号隔开,现在用户ky30可以用root的sbin里面的ifconfig和bin里面的passwd命令
此时普通用户ky30可以sudo ifconfig ens33:0 192.168.233.31/24 可以执行这个命令了,意思是添加虚拟网卡,重启失效,ip地址不能重复
可以在普通用户ky30里面修改另外一个普通用户的密码(不行的话看看有没有在一个wheel组)
1.8.1 对sudo命令进行限制
vim /etc/sudoers
编辑:ky30 ALL=(root) ALL
此时所有命令都能用,要进行限制
Host_Alias MYHOSTS=localhost设置主机名
User_Alias MYUSERS=ky30 禁止的用户
Cmnd_Alias MYCMNDS=/sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm
MYUSERS MYHOSTS=MYCMNDS
保存退出
此时用户ky30在主机localhost上面不能使用以上被禁用的权限
此时sudo reboot没有权限
1.8.2 永久修改主机名
在root用户hostnamectl set-hostname test永久修改主机名
su刷新一下
1.9 开关机安全控制
在grub菜单里面添加密码,禁止修改
grub2-setpassswd
reboot
10、系统弱口令检测工具
解压tar xf john-1.8.0/
yun -y install gcc gcc-c++ make 安装依赖环境
cd 文件里面的src里面
make clean linux-86-64x
