新的服务器到手,部署服务器的初始化。
1、配置ip地址 网关 dns解析 (static) 内网和外网
2、安装源,外网(在线即可) 内网(只能用源码包编译安装)
3、磁盘分区,lvm raid
4、系统权限配置和安全加固
系统安全:
1、核心:保护数据安全。 例如:客户信息 ,财务信息。
2、互联网,网络业务服务,必须要通过工信部的资质审核。
3、保护品牌形象。信息安全是红线。
应用:
1、不需要或者不想登录的用户设置为nologin。
usermod -s nolongin 用户 用管理员权限改
2、锁定用户:
usermod -L 用户 锁定
usermod -U 用户 解锁
passwd -l 锁定
passwd -u 解锁
3、删除无用账号
userdel -r 用户名 删除用户的同时删除家目录。
4、锁定重要的文件。
passwd shadow dstab ifcfg-ens33 重要文件
lsattr /etc/passwd 查看文件的状态
----------------/etc/passwd 没有任何状态
锁定状态
chattr +i /etc/passwd /etc/shadow
这个时候查看状态的时候就已经锁定了。
解锁状态
chattr -i /etc/passwd /etc/shadow
这样就回到最初始的状态了
二:密码安全控制
新建用户
/etc/login.defs 已有用户不受影响
我们vim /etc/login.defs 进入这个文本编辑器里面找到
密码有效期的最长时间 默认都是99999 永久生效
那我们改成30天
我们在查看这个密码
对已有用户不受影响。
已有用户更改天数的命令:chage -M +30 用户名
如何强制用户在下一次登陆的时候修改密码
chage -d
三、限制命令的历史记录
查看历史记录 history
history -c 临时清空 重启之后就没有了。
修改历史记录
vim /etc/profile
在46行的这个里面编辑更改历史记录的数量,工作中的数量一般在60-100之间,我们更改程80取中。
保存退出。然后立即生效source /etc/profile
设置登录的超时时间
vim /etc/profile
TMOUT=600
还是进入这个vim /etc/profile里面进行修改
我们下翻到最后一行里面
我们修改成600秒
保存退出,然后立刻生效。
超过600秒不操作将会退出终端。
四、如何对用户切换进行限制
su 切换用户
su 直接加用户名 (不推荐) 不会更改环境变量,用的还是之前用户的shell,不为难全切换
su - 用户名 使用用户自己的环境
如果在root用户下,su相当于刷新。如果是普通用户就是切换会root用户。
限制用户使用su这个命令
PAM安全认证:linux系统身份认证的架构,提供了一种标准的身份认证的接口,允许管理员可以自定义认证的方式和方法。
PAM认证0是一个可插拔的模块。
PAM的认证类型:
认证模块:验证用户的身份,基于密码的认证方式
授权模块: 控制用户对系统资源的访问,文件权限,进程的权限。
账户管理模块:管理用户账户信息,密码过期策略,账户锁定策略。
会话管理模块:管理用户会话,注销用户等
paswwd dn 三次修改机会
1 失败 失败 成功
2 失败 失败
3 成功 失败
结束 失败次数过多 结束 结束
required: 一票否决,只有成功才能通过认证,认证失败,才不会立刻结束,只有所有的要素验证完整才会最终返回结果。必要条件
requisite:一票否决,只有成功才能通过,但是一但失0败,其他要素不在验证,立刻结束,必要条件
sufficient:一票通过,成功了之后就是满足条件,但是失败了,也可忽略,成功了执行验证成功的结果,失败返回验证失败的结果,最终的结果。充分条件。
optional:选项 反馈给用户的提示或者结果。
控制位,必须要满足充分和必要的条件才能通过。
命令:vim /etc/pam.d/su
第六行 前面加个#,是被注释掉的,取消注释就把前面的#去掉。
wheel
wheel组,这个在组文件当中没有,隐藏,特殊组。用来控制系统管理员的权限的一个特殊组。
wheel组专门用来为root服务
具体来说,如果普通用户加入到了wheel组,就可以拥有管理员才能够执行的一些权限。
前面必须要加上sudo sudo之后可以使用wheel组的特殊权限。
wheel组默认是空的,没有任何成员,需要管理员账号手动添加。
配置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能够执行的权限)
wheel组的权限很大,配置的时候要以最小权限的原则来进行配置。
最小权限是你需要什么权限我给你什么权限。
要对su进行限制,就要把它加入到wheel组当中去。
谁在这个wheel组里面就可以切换,不在这个组中就不可以切换。
sudo相当于赋权。赋予某些特殊命令,让普通用户使用管理员的权限。(最小权限)
现在就可以在普通用户下面改密码了。
sudo配置文件;vim /etc/sudoers配置文件
进入这个界面修改,退出必须要用强制保存退出,不然退不出来。
我们跳到107行
第一步先把107行先给注释掉
然后我们在100行root下面改
表明现在我给你权限可以用passwd,其他的不能用。
开关机安全控制:
grub菜单加密:
grub2-setpasswdword
这个时候我们重启