新的服务器到手,部署服务器的初始化。
1、配置ip地址,网关、dns解析(static)、内网和外网
2、安装源,外网(在线即可)、内网(没有镜像,只能源码包编译安装)
3、磁盘分区,可能涉及lvm,raid阵列
4、系统权限配置和安全加固
一、系统安全
1、保护数据安全,尤其是对外提供访问的网站。如:客户信息、财务信息等
2、互联网,网络业务服务,必须要通过工信部的资质审核。
3、保护品牌形象。信息安全是红线。
应用:
1、将非登录用户设置为/sbin/nologin。
usermod -s /sbin/nologin 用户名
2、将非登录用户改回登录用户
usermod -s /bin/bash 用户名
——这个命令需要管理员权限
3、锁定、解锁、删除用户
锁定用户 | 解锁用户 | 删除用户 |
---|---|---|
usermod -L 用户 | usermod -U 用户 | userdel -r 用户 |
passwd -l 用户 | passwd -u 用户 | |
passwd -S 用户 |
4、锁定账户文件
一些重要文件例如
passwd 用户信息文件
shadow 保存密码文件
fstab 自动挂载文件
ifcfg-ens33 网卡文件
5、锁定文件
chattr +i /etc/passwd /etc/shadow
6、解锁文件
chattr -i /etc/passwd /etc/shadow
7、查看文件状态
[root@test1 opt]# lsattr /etc/passwd --------- /etc/passwd #没有状态 lsattr 查看文件的状态,后可跟多个文件
二、密码安全控制
1、新建用户
vim /etc/login.defs 有效期修改命令
针对新建用户,已有用户不受影响
先在vim /etc/login.defs里面修改有效期
然后创建用户,这时候查看shadow是否生效。
2、已有用户
chage -M 30 用户名 修改最大有效期 chage -m 10 用户名 修改最小有效期
3、如何强制用户在下一次强制登录的时候修改密码?
chage -d -0 用户名
此方式修改密码对密码的机制,长度有要求,不可以太简单
三、限制命令的历史记录
1、history -c 临时清空,重启之后又会有。
2、修改历史记录
vim /etc/profile
46 HISTSIZE=80
source /etc/profile
3、设置登录的超时时间
vim /etc/profile
手动加一行 TMOUT=10 这个设置表示10秒钟 修改后source一下 删除 TMOUT=10 命令即可退出 工作中一般设置10分钟,即为TMOUT=600
四、如何对用户切换进行限制
su 切换用户
su 用户 这种切换方式不会更改环境变量,用的还是之前用户的shell。不完全切换
su - 用户 这个切换为完全切换,使用用户自己的环境
如果在root用户下,su相当于刷新,仅限于管理员模式,在普通用户使用,就是切换为root
五、限制用户使用su命令操作
pam安全认证:是liunx系统身份认证的架构,提供了一种标准的身份认证的接口,允许管理员可以自定义认证的方式和方法
pam认证是一个可插拔式的默认。
pam认证类型:
1.认证模块:主要用于验证用户的身份,基于密码的认证方式。
2.授权模块:控制用户对系统资源的访问,文件权限,进程权限。
3.帐户管理模块:管理用户账户信息,密码过期策略,账号锁定策略
4.会话管理模块、管理用户会话、注销用户等
确定服务?
1.加载相应的pam配置文件位置
/etc/pam.d/——pam的位置
2.调用认证文件位置
/lib64/security/
passwd 用户 三次机会
1、失败 成功
2、失败
3、成功 失败
结束 失败次数过多结果 结束
required:一票否决,只有成功才能通过认证,认证失败,也不会立刻结束,只有所有的验证完整才会最终返回结果,必要条件
requisite:一票否决,只有成功才能通过,但是一旦失败,其他要素不再验证,立刻结束,必要条件。
sufiocient :一票通过,成功了之后就是满足条件,但是失败了,也可忽略,成功了执行验证成功的结果,失败返回验证失败的结果,充分条件。
optional:选项,即反馈给用户的提示和结果。
以上四个模块——控制位。必须要满足充分和必要条件才能通过。
wheel组,这个在组文件中没有,是隐藏的,是特殊组,用来控制系统管理员的权限的一个特殊组。wheel组专门用来为root服务。
具体来说,如果普通用户加入到了wheel组,就可以拥有管理员才能够执行的一些权限。
前面必须要加上sudo sudo之后可以使用wheel组的特殊权限
wheel组默认是空的,没有任何权限,需要管理员账号手动添加。
配置sudo的规则,然后以sudo方式,才能够运行特定的指令(即管理员才能够执行的权限)
wheel组权限很大,配置的时候要以最小权限
su
vim /etc/pam.d/su
gpasswd -a 用户 wheel 加入wheel
gpasswd -d 用户 wheel 删除wheel
sudo相当于给普通用户赋予管理员的权限(最小权限,管理员可以使用的命令)
vim /etc/sudoers
开关机安全控制:
grub菜单加密
grub2-setpasswd:grub菜单修改命令
john扫描密码:
在john-1.8.0目录下 yum -y install gcc gcc-c++ make 安装依赖环境 cd /opt/john-1.8.0/src make clean linux-x86-64 编译环境 cp /etc/shadow /opt/shadow.txt cd .. cd run ./john /opt/shadow.txt 扫描密码 ./john --show /opt/shadow.txt 查看扫描情况
最后总结:
你会做哪些系统加固
1、锁定重要文件
2、修改history命令的历史记录
3、禁止普通用户切换用户
4、设置sudo权限,给普通用户
5、设置grub菜单加密
6、把一些默认端口号,大家都知道的端口号改掉
7、内核参数修改
vim /etc/sysctl.conf
内核参数的配置文件