标签:系统安全 sudo 用户 vim etc 应用 Linux root localhost
本章结构:
账号安全控制
系统引导和登陆控制
弱口令检测
端口扫描
(一)、账户安全基本措施:
1、系统帐号清理
将非登录用户的shell设立为/sbin/nologin
锁定厂区不使用的账号
删除无用的账号
锁定帐号文件passwd、shadow
[root@localhost ~]#chattr +i /etc/passwd /etc/shadow 帐号文件加锁
[root@localhost ~]#lsattr /etc/passwd /etc/shadow 锁定文件并查看状态
----i------------ /etc/passwd
----i------------ /etc/shadow
[root@localhost ~]#chattr -i /etc/passwd /etc/shadow 帐号文件解锁
2、密码安全控制
设置密码有效期
[root@localhost ~]#vim /etc/login.defs 适用于新建用户
......
PASS_MAX_DAYS 30
[root@localhost ~]#chage -M 30 zhangsan 适用于已有用户
要求用户下次登陆时修改密码
[root@localhost ~]#chage -d 0 zhangsan 强制在下次登陆时更改密码
3、账号安全基本措施
命令历史限制 默认为1000条
[root@localhost ~]#vim /etc/profile vim编辑/etc/profile设置历史命令记录条数
减少记录的命令条数
注销时自动清空命令历史
[root@localhost ~]# vim ~/.bash_logout
终端自动注销
闲置15秒后自动注销
[root@localhost ~]vim ~/.bash_profile
.......
export TMOUT=15
(二)使用su命令切换用户:
1、用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户
2、密码验证
root到任意用户,不验证码密码
普通用户到其他用户。验证目标用户的密码
3、限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su 开启pam认证模块
[root@localhost ~]# vim /etc/group 查看wheel组里的用户
可以看到zhangsan在组里(shangsan默认在组里)
4、查看su操作记录
[root@localhost ~]# vim /var/log/secure
安全日志文件:/var/log/secure
5、PAM安全认证流程
控制类型可以称作Control Flags,用于PAM验证类型的返回结果
a、required验证失败时仍然继续,但返回FALL
b、requisite验证失败则立即结束整个验证过程,返回Fall
c、sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
d、optional不用于验证,只显示信息(通常用于session类型)
(三)使用sudo机制提升权限
1、sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
2、配置sudo授权
visudo或者vim /etc/sudoers
记录格式:用户 主机名列表 = 命令程序列表
3、查看sudo操作记录
需启用Defaults logfile 配置
默认日志文件:"/var/log/sudo"
[root@localhost ~]# tail /var/log/sudo
(四)、开关机安全控制
1、调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
2、GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
(五)、终端登录安全控制
1、限制root只在安全终端登录
安全终端配置:/etc/securetty
[root@localhost ~]# vim /etc/securetty
2、禁止普通用户登陆
建立/etc/nolongin文件
删除nologin文件或重启后即恢复正常
[root@localhost ~]#touch /etc/nologin 禁止普通用户登录
[root@localhost ~]#rm -rf /etc/nologin 取消上述登陆限制
标签:系统安全,sudo,用户,vim,etc,应用,Linux,root,localhost 来源: https://blog.51cto.com/14475876/2433151
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。