一台新的服务器到手,部署配置需要做哪些内容。部署服务器的初始化。
1、配置IP地址 网关 dns解析 (static) 内网和外网
2、安装源,外网(在线即可)
内网(只能用源码包编译安装)
3、磁盘分区,lvm raid阵列
4、系统的权限配置和基础的安全加固
系统安全:
1、保护数据安全。客户信息、财务信息。
2、互联网,网络业务服务,必须要通过工信部的资质审核。
3、保护品牌形象。信息安全是红线。
一类应用
1、不需要或者不想登录的用户设置为nologin
usermod -s nologin 用户 管理员权限
2、锁定用户
usermod -L 用户
usermod -U 用户
passwd -l
passwd -u
3、删除用户
userdel -r 用户名
4、锁定重要文件
passwd shadow fstab ifcfg-ens33
#没有状态 lsattr 查看文件的状态
5、锁定文件
解锁
二类:密码安全控制
新建用户
vim /etc/login.defs #在文件下修改
已有用户
chuage -M 天数 用户名
如何强制用户在下一次登录的时候修改密码
chage -d 0 dn
三限制命令的历史记录
history查看历史命令
history -c 临时清楚重启后还有
修改查看命令的条数
[root@testl ~]# vim /etc/profile 修改
[root@testl ~]# source /etc/profile 立即生效
设置登录的超时时间
[root@testl ~]# vim /etc/profile
TMOUT=600 600秒内误操作就会自动断开
四如何对用户切换进行限制
su 切换用户
su 用户名 不会更改环境变量,用的还是之前的用户shell。不完全切换
su - 用户名 使用用户自己的环境
如果在root用户下,su相当于刷新
在普通用户下,su相当于切换回root用户
限制用户使用su这个命令?
PAM安全认证:是linux系统身份认证的架构,提供了一种标准的身份认证接口,允许管理员可以自定义的方式和方法。
PAM认证是一个可以插拔式的默认。
PAM的认证类型:
①认证模块。----验证用户的身份,基于密码的认证方式
②授权模块。----控制用户对系统资源的访问,文件权限,进程权限。
③账户管理模块。-----管理用户账户信息,密码过期策略,账户锁定策略。
④会话管理模块。------管理用户会话,注销用户等。
passwd wbl 三次机会
1失败 成功
2失败
3成功 失败
结束 失败次数过多 结束
required:一票否决,只有成功才能通过认证,认证失败,也不会立刻结束,只有所有的要素验证完整才会最终反馈结果。必要条件
requisite:一票否决,只有成功才能通过,但是一旦失败,其他要素不再验证,立刻结束。必要条件
sufficient:一票通过,成功之后就是满足条件,但是失败了,也可以忽略,成功了执行验证结果,失败返回验证失败的结果,最终的结果。充分条件
optional:选项 反馈给用户的提示或者结果。
指控为,必须要满足充分条件和必要条件
wheel
wheel组,这个文件在组文件当中没有,隐藏,特殊组。用来控制系统管理员的权限的一个特殊组。
whell组专门用来为root服务
具体来说,如果普通用户加入到了wheel组,都可以拥有管理员才能够执行的一些权限。
前面必须要加上sudo sudo之后可以使用wheel组的特殊权限。
wheel组默认是空白的,没有任何成员,需要管理员手动配置
配置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能够执行的权限)
wheel组的权限很大,配置的时候要以最小权限的原则来配置。
谁在wheel组中谁就有权限,不在就没有权限
su
sudo相对于给普通用户赋予管理员的权限(最小权限,管理员可以使用命令)
开关机安全控制
grup菜单加密
grup2-setpassword 用来加密grup菜单
总结
你会做哪些系统加固?
1.锁定重要文件
2.修改history命令的历史记录
3.禁止普通用户切换用户
4.设置sudo权限,给普通用户
5.设备grup菜单加密
6.把一些默认的端口,大家都知道的端口改掉
7.内核参数修改
内核参数的配置文件