系统安全及应用

新的服务器到手，部署服务器的初始化。

1、配置ip地址，网关、dns解析（static）、内网和外网

2、安装源，外网（在线即可）、内网（没有镜像，只能源码包编译安装）

3、磁盘分区，可能涉及lvm，raid阵列

4、系统权限配置和安全加固

一、系统安全

1、保护数据安全，尤其是对外提供访问的网站。如：客户信息、财务信息等

2、互联网，网络业务服务，必须要通过工信部的资质审核。

3、保护品牌形象。信息安全是红线。

应用：

1、将非登录用户设置为/sbin/nologin。

usermod -s /sbin/nologin 用户名

2、将非登录用户改回登录用户

usermod -s /bin/bash  用户名

——这个命令需要管理员权限

3、锁定、解锁、删除用户

锁定用户	解锁用户	删除用户
usermod -L 用户	usermod -U 用户	userdel -r 用户
passwd -l 用户	passwd -u 用户
passwd -S 用户

4、锁定账户文件

一些重要文件例如

passwd 用户信息文件

shadow 保存密码文件

fstab 自动挂载文件

ifcfg-ens33 网卡文件

5、锁定文件

chattr +i  /etc/passwd /etc/shadow

6、解锁文件

chattr -i  /etc/passwd /etc/shadow

7、查看文件状态

[root@test1 opt]# lsattr /etc/passwd
--------- /etc/passwd
#没有状态 lsattr 查看文件的状态，后可跟多个文件

二、密码安全控制

1、新建用户

vim /etc/login.defs    有效期修改命令

针对新建用户，已有用户不受影响

先在vim /etc/login.defs里面修改有效期

然后创建用户，这时候查看shadow是否生效。

2、已有用户

chage -M 30 用户名 修改最大有效期
​
chage -m 10 用户名 修改最小有效期

3、如何强制用户在下一次强制登录的时候修改密码？

chage -d -0 用户名

此方式修改密码对密码的机制，长度有要求，不可以太简单

三、限制命令的历史记录

1、history -c 临时清空，重启之后又会有。

2、修改历史记录

vim /etc/profile

46 HISTSIZE=80

source /etc/profile

3、设置登录的超时时间

vim /etc/profile

手动加一行 TMOUT=10  这个设置表示10秒钟

修改后source一下

删除 TMOUT=10  命令即可退出

工作中一般设置10分钟，即为TMOUT=600

四、如何对用户切换进行限制

su 切换用户

su 用户 这种切换方式不会更改环境变量，用的还是之前用户的shell。不完全切换

su - 用户 这个切换为完全切换，使用用户自己的环境

如果在root用户下，su相当于刷新，仅限于管理员模式，在普通用户使用，就是切换为root

五、限制用户使用su命令操作

pam安全认证：是liunx系统身份认证的架构，提供了一种标准的身份认证的接口，允许管理员可以自定义认证的方式和方法

pam认证是一个可插拔式的默认。

pam认证类型：

1.认证模块：主要用于验证用户的身份，基于密码的认证方式。

2.授权模块：控制用户对系统资源的访问，文件权限，进程权限。

3.帐户管理模块：管理用户账户信息，密码过期策略，账号锁定策略

4.会话管理模块、管理用户会话、注销用户等

确定服务？

1.加载相应的pam配置文件位置

/etc/pam.d/——pam的位置

2.调用认证文件位置

/lib64/security/

passwd 用户 三次机会

1、失败 成功

2、失败

3、成功 失败

结束 失败次数过多结果 结束

required：一票否决，只有成功才能通过认证，认证失败，也不会立刻结束，只有所有的验证完整才会最终返回结果，必要条件

requisite：一票否决，只有成功才能通过，但是一旦失败，其他要素不再验证，立刻结束，必要条件。

sufiocient ：一票通过，成功了之后就是满足条件，但是失败了，也可忽略，成功了执行验证成功的结果，失败返回验证失败的结果，充分条件。

optional：选项，即反馈给用户的提示和结果。

以上四个模块——控制位。必须要满足充分和必要条件才能通过。

wheel组，这个在组文件中没有，是隐藏的，是特殊组，用来控制系统管理员的权限的一个特殊组。wheel组专门用来为root服务。

具体来说，如果普通用户加入到了wheel组，就可以拥有管理员才能够执行的一些权限。

前面必须要加上sudo sudo之后可以使用wheel组的特殊权限

wheel组默认是空的，没有任何权限，需要管理员账号手动添加。

配置sudo的规则，然后以sudo方式，才能够运行特定的指令（即管理员才能够执行的权限）

wheel组权限很大，配置的时候要以最小权限

su

vim /etc/pam.d/su

gpasswd -a 用户 wheel 加入wheel

gpasswd -d 用户 wheel 删除wheel

sudo相当于给普通用户赋予管理员的权限（最小权限，管理员可以使用的命令）

vim /etc/sudoers

开关机安全控制：

grub菜单加密

grub2-setpasswd：grub菜单修改命令

john扫描密码：

在john-1.8.0目录下

yum -y install gcc gcc-c++ make 安装依赖环境

cd /opt/john-1.8.0/src  

make clean linux-x86-64 编译环境

cp /etc/shadow /opt/shadow.txt

cd .. 

cd run

./john /opt/shadow.txt 扫描密码

./john --show /opt/shadow.txt 查看扫描情况

最后总结：

你会做哪些系统加固

1、锁定重要文件

2、修改history命令的历史记录

3、禁止普通用户切换用户

4、设置sudo权限，给普通用户

5、设置grub菜单加密

6、把一些默认端口号，大家都知道的端口号改掉

7、内核参数修改

vim /etc/sysctl.conf

内核参数的配置文件