Linux系统安全及应用

已于 2024-04-24 00:58:15 修改
阅读量1k 收藏 25
点赞数 23
文章标签: linux 系统安全 运维
于 2024-04-22 17:10:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83784774/article/details/138063810
版权

目录

一.基本安全操作

(一)账号安全管理

(1)锁定长期不使用的用户

(2)查看锁定账户状态

(3)禁止程序用户登录

(4)删除不用的用户

(二)密码安全管理

(1)设置密码的有效期限

(2)强制要求用户下一次登录时进行修改密码​​​​​​​

二.su和sudo命令

(一)切换用户su

(二)限制su切换用户

​编辑

(三)sudo为用户增加权限

三.系统引导和登录控制

(一)开关机安全控制

(1)调整BIOS引导设置

(2)GRUB使用密码进入

(二)终端登录安全控制

(1)限制root只在安全终端登录

(2)禁止普通用户登录

四.系统弱口令检测及端口扫描

(一)JR弱口令检测

(1)安装 JR 工具

(2)检测弱口令账号

(3)密码文件的暴力破解

(二)端口扫描

(1)ENMAP

(2)常用的扫描类型

一.基本安全操作

(一)账号安全管理

(1)锁定长期不使用的用户

  • passwd修改

passwd -l  用户名

  • usermod修改

usermod -L  用户名

(2)查看锁定账户状态

passwd -s  用户名

(3)禁止程序用户登录

usermod -s /sbin/nologin  用户名

usermod -s /bin/bash  用户名         #允许程序用户登录

(4)删除不用的用户

userdel -r  用户名            #-r代表连带家目录一起删除

(5)禁止账号和密码修改

chattr +i /etc/passwd      #禁止账号修改;-i 取消禁止账号修改

chattr +i /etc/shadow      #禁止密码修改;-i 取消禁止密码修改

(6)查看文件的状态

lsattr  文件名

(二)密码安全管理

(1)设置密码的有效期限

  • chage设置

chage -M  天数  用户名      #天数设置99999代表密码永不过期

注意:chage设置密码有效期限只针对已经创建的用户

  • vi编辑器设置

vim /etc/login.defs

修改内容:PASS_MAX_DAYS  天数

注意:修改login.defs文件内容是针对新建的用户

(2)强制要求用户下一次登录时进行修改密码

chage -d 0  用户名

历史命令安全管理

(1)查看历史命令

history

(2)限制查看历史命令的数量

vim /etc/profile

修改内容:export HISTSIZE=XX

source /etc/profile                           #在当前shell环境中执行/etc/profile脚本文件

(3)清空历史命令

  • history 清空历史

history -c     

注意:history 清空历史记录是临时

  • vi编辑器清空历史

vim /etc/profile

~/.bash_history        #加入 ~/.bash_history 命令,即可清空历史记录

二.su和sudo命令

(一)切换用户su

su -  用户名

(二)限制su切换用户

1.先将信任的用户加入到wheel组中    

gpasswd wheel -a  用户名

2.修改su的PAM认证配置文件

vim /etc/pam.d/su

开启 auth   required   pam_wheel.so use_uid 

注意如果要求其他用户不可以使用su切换,可以直接修改此操作,达成要求

(三)sudo为用户增加权限

首先,使用 visudo vim /etc/sudoers 进入编辑器编辑命令;修改增加内容,格式为:用户名  主机名=程序列表 ;修改完成之后,使用 wq! 强制保存

visudo  vim /etc/sudoers 

增加内容:

用户名  主机名=程序列表                #给用户提权
%组名 主机名=程序列表                 #给组提权
用户名  主机名=NOPASSWD: 程序列表       #NOPASSWD: 表示sudo不需要密码验证

注意命令要用绝对路径表示,支持使用通配符 * 表示所有, ! 表示取反

三.系统引导和登录控制

(一)开关机安全控制

(1)调整BIOS引导设置

  1. 将当前系统所在硬盘设为第一引导设备
  2. 禁止光盘、U盘、网络引导系统
  3. 将安全级别设为setup,并设置管理员密码

(2)GRUB使用密码进入

  1. 使用 grub2-mkpasswd-pbkdf2 生成密钥修改
  2. 在 /etc/grub.d/00_header 文件中,添加密码记录
  3. 生成新的 grub.cfg 配置文件

(二)终端登录安全控制

(1)限制root只在安全终端登录

  • 安全终端配置:  /etc/securetty

(2)禁止普通用户登录

  1. 建立 /etc/nologin 文件
  2. 删除 nologin 文件或重启后即恢复正常

禁止普通用户登录        touch /etc/nologin

取消登录限制               rm -rf /etc/nologin

四.系统弱口令检测及端口扫描

(一)JR弱口令检测

  • 一款密码分析工具,支持字典式的暴力破解
  • 通过对shadow文件的口令分析,可以检测密码强度
  • 官方双站:http://www.openwall.com/john/

(1)安装 JR 工具

使用 make clean  命令安装JR工具

make clean 系统类型

(2)检测弱口令账号

  • 获得Linux/Unix服务器的shadow文件
  • 执行john程序,将shadow文件作为参数

(3)密码文件的暴力破解

  • 准备好密码字典文件,默认为 password.lst
  • 执行 john 程序,结合 --wordlist= 字典文件

(二)端口扫描

  • 一款强大的网络扫描、安全检测工具
  • 官方网站:http://nmap.org/eCentOS 7.3光盘中安装包 nmap-6.40-7.el7.x86 64.rpm

(1)ENMAP

使用nmao命令扫描端口

nmap  [扫描类型]   [选项]   <扫描目标 ..>

(2)常用的扫描类型

  • -sT、-sT、-sF、-sU、-SP、-P0
  • 分别查看本机开放的TCP端口、UDP端口

         nmap -sT127.0.0.1

         nmap -sU 127.0.0.1

  • 检测192.168.4.0/24网段有哪些主机提供FTP服务

         nmap -p 21 192.168.4.0/24

  • 检测192.168.4.0/24网段有哪些存活主机

         nmap -n -sP 192.168.4.0/24

linux系统安全应用
xy_1212的博客
01-02 2602
目录 一、账号安全控制 1.1基本安全措施 1.1.1系统账号的清理 1.1.2密码安全控制 1.1.3命令历史、自动注销 1.2用户切换与提权(加入wheel组) 1.2.1su命令—切换用户 1.2.2sudo命令—提升执行权限 1.3PAM安全认证 二、系统引导和登录控制 2.1开关机安全控制 2.1.1调整BIOS引导设置原则 2.1.2GRUB菜单设置 2.1.3GRUB限制的实现 2.2终端及登录控制 2.2.1限制root用户只在安全终端登录 ​2.2.2禁止普通用户登录 三、弱口令检测、端口
Linux系统管理——系统安全应用(1)
baimao__Ch的博客
08-07 931
su 的 PAM 配置文件的具体内容如下所示。每一行都是一个独立的认证过程;控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。1)required 验证失败时仍然继续,但返回 Fail2)requisite 验证失败则立即结束整个验证过程,返回 Fail3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续4)optional 不用于验证,只是显示信息(通常用于 session 类型)验证流程如图 10.1 所示。
Linux主机安全配置
ghjzzhg的博客
10-14 947
安全配置规范 身份鉴别 账号检查 安全配置编号 操作系统--LINUX--配置-1 配置名称 用户账号分配检查,避免共享账号存在 配置要求内容 1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南 参考配置操作: cat /etc/passwd查看当前所有用户的情况; 配置方法 如需建立用户,参考如下: #useraddusernam...
实现远程访问Linux堡垒机:通过JumpServer系统进行安全的服务器管理_linux 堡垒机
heike_Ch的博客
09-20 984
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问jump server 管理界面.从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Linux系统安全应用(账号控制、su、sudo、开关机安全控制、终端登录安全控制等)
IHBOS的博客
02-03 1301
Linux系统安全应用一、账号安全控制系统账号清理密码安全控制命令历史限制终端自动注销二、su命令使用su命令切换用户禁止用户使用su命令查看su操作记录三、Linux中的PAM安全认证PAM认证原理PAM认证的构成四、使用sudo机制提升权限(sudo)配置sudo授权授权格式别名的创建五、开关机安全控制调整BIOS引导设置GRUB限制六、终端登录安全控制限制root只在安全终端登录禁止普通用户登录七、系统弱口令检测八、网络扫描——NMAP 一、账号安全控制 系统账号清理 密码安全控制 命令历史限制 终
SECURITY - 01 Linux基本防护 用户切换与提权、SSH访问控制SELinux安全
李俊的博客
07-02 735
  SECURITY DAY01 案例1:Linux基本防护措施 案例2:使用sudo分配管理权限 案例3:提高SSH服务安全 案例4:SELinux安全防护   1 案例1:Linux基本防护措施 1.1 问题 本案例要求练习Linux系统的基本防护措施,完成以下任务: 修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登录) 临时锁定用户lisi的账户,...
Linux系统安全
网络安全研究
11-05 6660
Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。
Linux系统安全应用加固———最适合新手学,新手都能看懂!超详细的理论+超详细的实验!呕心沥血之作完成!
热门推荐
CSDN著名博主
07-22 1万+
系统安全应用一、账号安全控制1.1、账号安全基本措施1.1.1、系统帐号清理1.1.2、密码安全控制1.1.3、命令历史限制1.1.4、终端自动注销二、系统引导和登录控制2.1、使用su命令切换用户2.1.1、用途和用法2.1.2、限制使用su命令的用户三、Liunx中的PAM安全认证3.1、su命令的安全隐患3.2、PAM认证原理3.3、PAM认证的构成3.4、PAM安全认证流程四 、使用sudo机制提升权限4.1、su命令的缺点4.2、sudo命令的用途及用法4.3、配置sudo授权4.4、查看sudo
浅谈Linux系统安全应用.pdf
09-06
浅谈Linux系统安全应用 Linux系统安全Linux系统中非常重要的一方面。随着Linux系统的普及,Linux系统安全也逐渐受到人们的重视。Linux系统安全机制主要包括身份验证、访问控制、加密、防火墙等多个方面。 身份...
Linux】如何使用docker快速部署Stirling-PDF并实现远程处理本地文档
2301_77053417的博客
07-22 3514
本篇文章我们将在Linux上使用Docker在本地部署一个开源的PDF工具——Stirling PDF,并且结合cpolar的内网穿透实现公网随时随地访问。Stirling PDF一个强大的本地托管的基于Web的PDF操作工具,使用Docker,允许您对PDF文件执行各种操作,如分割、合并、转换、重组、添加图片、旋转、压缩等。这个本地托管的Web应用程序最初是一个100%由ChatGPT制作的应用程序,现在已经发展到包含了一系列的功能,以满足您所有的PDF需求。
Linux】网络编程3
m0_73839343的博客
11-12 714
该数组里列出这个进程打开的所有文件的文件描述符。数组的下标是文件描述符,是一个整数,而数组的内容是一个指针,指向内核中所有打开的文件的列表,也就是说内核可以通过文件描述符找到对应打开的文件。然后每个文件都有一个inode,Socket 文件的 inode指向了内核中的Socket 结构,在这个结构体里有两个队列,分别是发送队列和接收队列,这个两个队列里面保存的是一个个struct sk_buff,用链表的组织形式串起来。在TCP通信的过程,服务器端会产生两类不同的文件描述符,一个是监听的文件描述符;
Linux编辑/etc/fstab文件不当,不使用快照;进入救援模式
feng68_的博客
11-14 668
如果遇到任何问题,您可能需要进一步的故障排除,比如检查文件系统的完整性或修复文件系统错误。1)当出现以下警告时不要慌,如果文件系统默认挂载为只读模式,将其重新挂载为读写模式就好了,应该是吧。您可以选择1继续,或者选择2以只读模式挂载文件系统,或者选择3跳过直接进入shell。后面加), 把只读模式改成读写模式 ,然后ctrl+x重启。然后会出现一串红色的字,太快了,看不清,然后就重启成功了。如果您在虚拟控制台(VC)1或VC2中,可以使用。获取root权限,这样您就可以编辑。2)挂载根文件系统为读写模式。
Linux】多线程(中)
Eristic0618的博客
11-14 1380
本篇文章围绕Linux中的多线程展开讲解,包含线程互斥的概念、互斥量mutex和相关API、互斥量原理、重入和线程安全、死锁、线程同步和条件变量等内容
Linux】阿里云服务器搭建gradio实例
Explore_Zhou
11-13 1241
因为课程原因,需要做一个大模型相关的大作业,想到之前买的阿里云服务器,便想在服务器基于大模型API部署一个聊天机器人。因为是新手,特地做个记录,供初学者参考。从上面安装的几个软件来看,其实Linux端安装软件还是有规律可循的,主要就是那么几步:configure,make,make installlink1link2。
Linux从入门到精通
最新发布
qq_54384621的博客
11-16 392
Linux的图形化界面并不稳定,因此往往使用命令行去接触Linux操作系统linux的terminal终端中输入指令ifconfig就可以获取到本机的ip地址了。然后通过finalshell配置好相关的信息连接上就可以直接使用了。拓展:WSL获取轻量化虚拟机WSL全称为windows subsystem for linux可以在windows中获取linux系统环境并完全直连计算机硬件,无需通过虚拟机的虚拟硬件,因此完全可以替换掉vmware打开方式:1右键开始找到应用与功能。
20241114在飞凌的OK3588-C的核心板上跑Linux R4时通过iperf3测试以太网卡的实际网速
南岭笑笑生之家
11-14 935
创建一个eth0配置文件, 配置文件的路径为:/etc/network/interfaces.d/eth0,设置动态ip的配置文件。虽然 飞凌的OK3588-C的核心板 使用的是千兆网卡RTL8211F-CG,但是只接了4根线,作为百兆网卡使用了。OK3588-C板载两个千兆网卡,插入网线连接网络的情况下,出厂时默认配置为动态IP。跑iperf3的时候,以 飞凌的OK3588-C的核心板Linux R4 为服务器,设置完后使用sync文件同步指令,重启开发板或者重启服务,配置生效。双方通过交换机连接。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值