CentOS7 系统安全及应用(一)

最新推荐文章于 2024-07-17 16:14:05 发布
最新推荐文章于 2024-07-17 16:14:05 发布
阅读量954 收藏 10
点赞数 14
文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84240129/article/details/139801364
版权

[root@localhost ~]# source ~/.bash_profile #使其生效

[root@localhost ~]# 等待输入超时:自动登出

在这里插入图片描述

  • 验证完后,将终端自动注销时间改为 600 秒。

二、用户切换及提权

============================================================================

1.使用 Su 命令切换用户

1)用途及用法

  • 用途:Substitute User,切换用户。

格式:su - 目标用户 # 带 - 选项表示将使用目标用户的登录 Shell 环境

2)密码验证

  • root --> 任意用户, 不验证密码。

  • 普通用户 --> 其他用户,验证目标用户的密码。

在这里插入图片描述

[root@localhost ~]# whoami # 查看当前登录用户名

3)限制使用 Su 命令的用户

  • 默认都可以使用 Su 命令,防止密码穷举危险,只允许少量用户使用。

启用 pam_wheel 认证模块:

[root@localhost ~]# vim /etc/pam.d/su

#%PAM-1.0

auth sufficient pam_rootok.so # 默认就有

auth required pam_wheel.so use_uid # 将前面 # 去掉

[root@localhost ~]# grep wheel /etc/group

[root@localhost ~]# su - zhangsan

[zhangsan@localhost ~]$ su -

[zhangsan@localhost ~]$ exit

不能切换到 root 用户,需要将用户 tom 加入到 wheel 组中:

[root@localhost ~]# gpasswd -a ajbn wheel

[root@localhost ~]# su - ajbn

[zhangsan@localhost ~]$ su -

在这里插入图片描述

4)查看 Su 操作记录

  • 安全日志文件:/var/log/secure

[root@localhost ~]# tail /var/log/secure

在这里插入图片描述

5)Su 命令的缺点

  • 知道 root 密码的用户越少越安全。

2.使用 Sudo 机制提升权限

  • sudo:普通用户拥有一部分管理权限,又不需要知道 root 密码。

1)Sudo 命令的用途及用法

  • 用途:以其他用户身份(如 root)执行授权的命令。

格式:sudo 执行的授权命令

2)配置 Sudo 授权 /etc/sudoers

  • 因为该文件的默认权限为 440,所以在编辑(visudovi /etc/sudoers )完后需在输入模式中使用 w! 保存。

记录格式:用户 主机名=命令程序列表

  • 用户:用户名或 %组名(组内所有用户)

  • 主机名:一般为 localhost 或实际主机名。

  • 命令列表:命令的绝对路径,多命令用 , 号分割。

分别使用 zhangsan 用户和 wangwu 用户进行测试:

[root@localhost ~]# su - wangwu

[wangwu@localhost ~]$ sudo /bin/df -hT | grep ‘/$’

[wangwu@localhost ~]$ exit

[root@localhost ~]# su - zhangsan

[zhangsan@localhost ~]$ sudo /bin/df -hT | grep ‘/$’

在这里插入图片描述

[zhangsan@localhost ~]$ sudo -l # 查看用户对应权限

在这里插入图片描述

使 wheel 组成员不需验证密码即可执行任何命令:

[root@localhost ~]# vim /etc/sudoers

将:

%wheel ALL=(ALL) NOPASSWD: ALL

改为:

%wheel ALL=(ALL) NOPASSWD: ALL

使 wangwu 可使用 df 命令:

wamgwu localhost=/bin/df # 加上这个表示可以执行 /bin/df 命令

在这里插入图片描述

可以使用通配符 * 和 取反符号 !

[root@localhost ~]# vim /etc/sudoers

wangwu localhost=/usr/sbin/*,!/usr/sbin/useradd,/usr/bin/cat /etc/shadow

  • 可以使用 /usr/sbin 下所有命令,但不能创建用户。

  • 可以查看 /etcshadow 文件内容。

3)查看 Sudo 操作记录

  • 需启用 Defaults logfile 配置(默认日志文件:/var/log/sudo

启用日志配置以后,Sudo 操作过程才会被记录

在第二行添加:

Defaults logfile = “/var/log/sudo”

[root@localhost ~]# su - wangwu

[wangwu@localhost ~]$ sudo /usr/sbin/ss -anpt | grep 22

[wangwu@localhost ~]$ sudo /usr/sbin/useradd Coco

[wangwu@localhost ~]$ sudo /usr/bin/cat /etc/shadow

在这里插入图片描述

[root@localhost ~]# tail /var/log/sudo # 查看日志

在这里插入图片描述

三、系统引导和登录控制

==============================================================================

  • 服务器一般用远程登录的方式进行管理,而本地引导和终端登录过程被忽视,会留下安全隐患;

  • 因此需要加强对其他用户的非授权介入的安全管理。

1.开关机安全控制

1)设置 BIOS 密码

  • 防止 U 盘破解 root 密码,从网络启动等;重启虚拟机一直按 F2,进入如下:

在这里插入图片描述

在这里插入图片描述

2)禁用重启热键 Ctrl+Alt+Del

  • 避免因用户误操作导致重启。

在不影响此文件的前提下禁用此热键(注销此服务)

[root@localhost ~]# systemctl mask ctrl-alt-del.target

Created symlink from /etc/systemd/system/ctrl-alt-del.target to /dev/null.

重新加载 systemd 配置:

[root@localhost ~]# systemctl daemon-reload

3)设置 GRUB 引导密码

  • 使用 grub2-mkpasswd-pbkdf2 生成密钥;pbkdf 算法加密更安全。在 /etc/grub.d/00_header 配置文件中,添加用户密码。

  • 注意:实验中每个人生成的密码不一样。

[root@localhost ~]# grub2-mkpasswd-pbkdf2 # 生成密钥

输入口令: # 设置密码

Reenter password: # 再次输入密码

在这里插入图片描述

修改 /etc/grub.d/00_header 文件中,添加密码记录

[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak

[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

[root@localhost ~]# vim /etc/grub.d/00_header

在末尾添加:

cat << EOF

set superusers=“root”

password_pbkdf2 root

PBKDF2 hash of your password is

grub.pbkdf2.sha512.10000.922DA3FC35888D451ED9B45347F3E2C3F413BD1B41116622655D4B701DE26F5000D7FC7B9C26E4837BC58F16745FAF1E4A349AC39FE68D7AE52FC007732CCEDD.2E6B1CE241AD55D48639FD4EC0B2CA5ACB5620A530C0983B653F8CE8FF54DBBE071E152A2A98E0B567A6AF00B1C340B87C150752A25C80B685C2CED89911D20E

EOF

在这里插入图片描述

生成新的 grub.cfg 配置文件

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

在这里插入图片描述

验证:重启进入 grub 菜单,按 E 键将无法修改引导参数

在这里插入图片描述

2.终端登录安全控制

1)限制 root 只在安全终端登录

[root@localhost ~]# sed -i ‘/tty5/c#tty5’ /etc/securetty

[root@localhost ~]# sed -i ‘/tty6/c#tty6’ /etc/securetty

[root@localhost ~]# sed -n ‘/#/p’ /etc/securetty

在这里插入图片描述

在这里插入图片描述

2)禁止普通用户登录(建议在服务器维护期间临时使用)

  • 创建 /etc/nologin 文件,login 程序会检查此文件是否存在。如果存在则拒绝普通用户登录系统(root 不受限制)`

[root@localhost ~]# touch /etc/nologin

使用普通用户在终端登录验证:

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2401_84240129
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7系统安全漏洞及修复方案
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
Linux系统安全应用centos7
m0_71518373的博客
07-14 943
linux的系统安全方面的层面及设置
CentOS7 系统安全应用
愿许浪尽天涯的博客
09-29 1407
Linux 系统安全
CentOS 7系统优化
ycchenG7的博客
03-11 1936
本文主旨为优化系统,让系统运行以及操作管理更舒服些。
CentOS系统安全合规配置
逆水行舟,不进则退。
07-26 3315
CentOS系统作为主流的linux系统分支,目前广泛部署应用于服务器作为服务器系统使用,为了提高服务器系统的安全行,需要根据自身安全工作需求,进一步对安装的CentOS系统进行简单的配置,来提高安全性,本文主要是总结工作中的一些简单安全配置一、CentOS系统密码策略以上主要是根据实际使用中遇到的需求进行收集配置,后续会继续补充。
Linux服务器系统安全加固(centos7系列)
cbc_19的博客
08-01 4679
安全加固就是对系统进行优化配置,杜绝系统配置不当出现的弱点,提高操作系统和服务器的防御能力,防止黑客攻击和病毒入侵,提升系统和网络安全
centos7系统安全应用(su,sudo,nmap,John then Ripper)
weixin_45308292的博客
09-17 1109
系统安全 实验材料 centos7一台足够,后面有一些工具我会提供百度云 账号安全控制 1.系统账号清理 禁止登陆终端的账号 [root@CentOS7-02 ~]# grep “/sbin/nologin$” /etc/passwd 对于linux服务器中长期不用的账号,若无法确定是否删除,可以暂时将其锁定 [root@CentOS7-02 ~]# useradd zhangsan [root@...
centOS7安装nginx及nginx配置
热门推荐
Snow、杨
05-09 30万+
安装所需插件 1、安装gcc gcc是linux下的编译器在此不多做解释,感兴趣的小伙伴可以去查一下相关资料,它可以编译C,C++,Ada,Object C和Java等语言 命令:查看gcc版本 gcc -v 一般阿里云的centOS7里面是都有的,没有安装的话会提示命令找不到, 安装命令: yum -y install gcc 2、pcre、pcre-...
Centos7迁移Anolis OS7系统
爱辉弟的博客
12-16 1261
2020年12月08日CentOS官方宣布CentOS项目将停止,并推出CentOS Stream项目,详见公告 CentOS未来将会从RedHat Enterprise Linux(RHEL) 复刻版本的 CentOS Linux 转向 CentOS Stream。对处于生命周期中的 CentOS 版本后续影响: • CentOS Linux 7(简称CentOS
centos7系统关机命令_centos关机与重启命令
weixin_39799565的博客
12-21 1万+
Linux centos重启命令:1、reboot 普通重启2、shutdown -r now 立刻重启(root用户使用)3、shutdown -r 10 过10分钟自动重启(root用户使用)4、shutdown -r 20:35 在时间为20:35时候重启(root用户使用)如果是通过shutdown命令设置重启的话,可以用shutdown -c命令取消重启Linux centos关机命...
总结Centos7系统加固知识点
09-15
系统加固是提高Linux服务器安全性的重要步骤,针对CentOS7系统,以下是一些关键的加固措施: 1. **手动更新系统**:保持系统的最新状态可以修复已知的安全漏洞。使用`yum -y update`命令可以确保所有软件包都更新到...
linux Centos7断网下安装应用程序详解
09-14
在Linux CentOS7系统中,有时候由于网络环境的限制或者安全考虑,我们需要在断网的情况下安装应用程序。本篇文章将详细介绍在没有网络连接时如何在CentOS7上安装软件,主要涉及以下知识点: 1. **离线安装的基本...
Centos_系统安全方案.doc
12-20
CentOS系统安全方案】 CentOS是一个流行的Linux发行版,广泛用于服务器环境。为了确保系统的稳定性和安全性,本文档提供了一系列的系统安全措施,主要针对CentOS系统和PHP应用程序的安全配置。 1. **CentOS系统...
centos7 升级openssh9.6
01-18
在Linux系统管理中,OpenSSH是一个非常重要的工具,它提供了安全的网络服务,如远程登录、文件传输等。...保持系统和软件的更新对于防止潜在的安全威胁至关重要,定期检查并应用安全补丁是良好运维习惯的一部分。
不上网centos7系统升级到openssh9.3
03-23
在Linux系统管理中,SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。CentOS 7是基于RPM包管理系统的Linux发行版,通常预装了较旧版本的OpenSSH服务器。随着时间的推移,...
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
最新发布
FreeBuf_的博客
07-17 1130
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
WAF基础介绍
weixin_68864415的博客
07-13 1073
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 543
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
centos7 系统安全
08-18
CentOS 7系统安全可以通过以下措施来加强: 1. 账户安全基本措施:清理系统账户,确保只有必要的账户存在;实施密码安全控制,包括设置强密码策略、定期更改密码;限制命令历史记录的访问权限,防止敏感信息泄露。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CentOS7 系统安全应用](https://blog.csdn.net/weixin_46902396/article/details/108864780)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值