基本的系统安全控制

最新推荐文章于 2024-08-30 09:03:49 发布
最新推荐文章于 2024-08-30 09:03:49 发布
阅读量728 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arlssaze/article/details/119865448
版权
本文介绍了Linux系统的基本安全控制措施,包括系统账号清理、命令历史限制、su与sudo命令的使用、PAM安全认证原理及配置,以及开关机和终端登录的安全设置。通过这些措施,可以增强系统的安全性,限制用户权限,防止未经授权的访问。
摘要由CSDN通过智能技术生成

目录

目录

前言

系统账号清理

将非登录用户的shell设为/sbin/nologin

锁定长期不使用的账号

删除无用账号

锁定账号文件passwd,shadow

命令历史限制

减少记录的命令条数

终端自动注销

su命令(Substitute User)

使用su命令切换用户

限制使用su命令的用户

sudo命令(提升执行权限)

PAM安全认证

PAM认证原理  

PAM的认证构成

PAM认证类型

PAM控制类型

开关机安全设置

调整BIOS引导设置

禁止Ctrl+Alt+Del快捷键重启

 限制更改GRUB引导参数     

终端及登录控制    

禁止普通用户登录               

总结

前言

在我们实际工作中为了防止被黑客攻击,我们往往使用普通用户的权限去安装程序。同时为了避免其他运维的恶意或无意的操作导致的系统问题。我们必须对用户的权限做出限制的同时尽量使用被限制的普通用户去完成日常工作。

系统账号清理

将非登录用户的shell设为/sbin/nologin

[root@ghr ~]# grep /sbin/nologin /etc/passwd    #查看passwd确认哪些用户被锁定shell环境
bin:x:1:1:bin:/bin:/sbin/nologin                #可以通过更改这个配置文件去修改让其无法登陆系统
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin

锁定长期不使用的账号

[root@ghr ~]# passwd -l ghr5           #使用passwd可以锁定账号
锁定用户 ghr5 的密码 。 
passwd: 操作成功
[root@ghr ~]# passwd -S ghr5           #使用-S参数查看账户状态 
ghr5 LK 2021-08-19 0 99999 7 -1 (密码已被锁定。)     #已被锁定
[root@ghr ~]# usermod -U ghr5                       #可以和usermod命令的锁定和解锁混用
[root@ghr ~]# passwd -S ghr5                         #查看状态 
ghr5 PS 2021-08-19 0 99999 7 -1 (密码已设置,使用 SHA512 算法)   #已经被解锁可以正常使用

#以上为手动锁定,其实我们主要依赖系统自动锁定长期不被使用的账号

[root@ghr ~]# vim /etc/login.defs      #通过更改配置文件可以让新建用户的密码有效期为30天
 
25 PASS_MAX_DAYS   30
 

[root@ghr ~]# chage -M 30 ghr5          #也可以通过chage命令去修改已有帐号的密码有效期
[root@ghr ~]# chage -l ghr5              #用chage -l 查看已经生效 
最近一次密码修改时间					:8月 19, 2021
密码过期时间					:9月 18, 2021
密码失效时间					:从不
帐户过期时间						:从不
两次改变密码之间相距的最小天数		:0
两次改变密码之间相距的最大天数		:30
在密码过期之前警告的天数	:7
 
[root@ghr ~]# chage -d 0 ghr5    #可以用chage -d 0命令让用户在下一次登陆修改密码
[root@ghr ~]# chage -l ghr5
最近一次密码修改时间					:密码必须更改
密码过期时间					:密码必须更改
密码失效时间					:密码必须更改
帐户过期时间						:从不
两次改变密码之间相距的最小天数		:0
两次改变密码之间相距的最大天数		:30
在密码过期之前警告的天数	:7

#所有超过密码有效期的用户会被锁定。并在一定时间后自动删除。

删除无用账号

#在这里强调一下,删除账号必须向领导报备得到明确答复后再去进行。
#一切的删除都要慎重再慎重,做之前记得备份。备份永远不会错
[root@ghr ~]# userdel ghr2
[root@ghr ~]# chage -l ghr2
chage:用户 ghr2 不存在于 /etc/passwd

锁定账号文件passwd,shadow

#如果服务器中的账号不再进行更改之后我们可以锁定账号的配置文件。
#在文件被锁定的情况下,其内容无法变更。我们不能再对账号做出任何操作。
[root@ghr ~]# chattr +i /etc/passwd /etc/shadow    #锁定配置文件
[root@ghr ~]# lsattr /etc/passwd /etc/shadow        #查看锁定情况
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@ghr ~]# chattr -i /etc/passwd /etc/shadow   #解锁配置文件
[root@ghr ~]# lsattr /etc/passwd /etc/shadow      #查看解锁情况
---------------- /etc/passwd
---------------- /etc/shadow

命令历史限制

最低0.47元/天 解锁文章
Arlssaze
关注
专栏目录
系统架构设计师】论文:论信息系统的安全体系
数据知道的博客
07-19 4992
我参加了某水库管理信息系统项目的实施。通过系统的实施和运行,实现防汛、供水、发电、闸门监控、水文等各种数据的采集、分析、存储,并通过网络及时地向有关部门汇报,以便相关领导进行调度指挥,为领导决策提供大力支持,为业务人员办公提供服务。
系统安全控制
m0_59432158的博客
08-23 432
前言 在互联网环境中,难免会因为一些操作,留下安全隐患,所以要对账号安全、系统引导和登录安全方面进行加强,并且还要构建和使用一些基于linux环境的安全工具,如弱口令检测、网络扫描等,帮助管理员查找安全隐患,及时采取针对性的防护措施。 一、账号安全控制 1、基本安全措施 1-1、系统账号清理 1-1.1、将非登录用户(随系统或程序安装过程而生成的其他大量账号,用来维护系统运 作、启动或保持...
关于用户不在/etc/passwd中的问题
cnbird's blog
01-22 3571
http://linux.chinaunix.net/bbs/viewthread.php?tid=914970&extra=&highlight=%B9%D8%D3%DA%D3%C3%BB%A7%B2%BB%D4%DA%2Fetc%2Fpasswd%D6%D0%B5%C4%CE%CA%CC%E2&page=3 
今天遇到的问题,服务器版本是 ubuntu9.04 我发神经去改了 /etc/passwd 文件里的用户UID 一改了以后,sudo就出错了: sudo: uid 1000 does not
qq_26702065的博客
01-07 1024
今天遇到的问题,服务器版本是 ubuntu9.04  我发神经去改了 /etc/passwd 文件里的用户UID 一改了以后,sudo就出错了: sudo: uid 1000 does not exist in the passwd file! who are you? 结果啥事也不能做,别的用户又没有sudo的权限。试过PHP木马,找过这个系统版本的BUG下载 full-nelson.c
Linux /etc/passwd
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
12-26 4万+
用户管理有两个最重要的配置文件,一个是保存用户信息的文件/etc/passwd,一个是保存了用户密码的文件/etc/shadow。 用户管理有两个最重要的配置文件,一个是保存用户信息的文件/etc/passwd,一个是保存了用户密码的文件/etc/shadow。 超级用户的uid为0,在/etc/passwd里面有很多伪用户,这些用户是不能登入的,他们的uid在1-499之间,安装完系...
cygwin 安装 ssh 服务报错 Privilege separation user sshd does not exist
yangsen251024的专栏
05-21 9815
如果大家安装SSH 服务报错,可直接查看日志文件  cat /var/log/sshd.log, 我的报错日志为“Privilege separation user sshd does not exist” 网上关于这个错误的解决办法资料很多,最常见的方法为 : 修改/etc/passwd文件,在其中加入 sshd:x:74:74:Privilege-s
工业控制系统信息安全等级保护基本要求.pdf
06-19
工业控制系统信息安全等级保护基本要求
信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求.pdf
02-06
信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求.pdf
linux基本系统安全控制
LJ_0103的博客
05-06 378
【实验环境】 某公司新增了一台企业级服务器,已安装运行centos7操作系统,由系统运维部、软件开发部、技术服务部共同使用。由于用户数量多,且使用时间不固定,要求针对账号和登陆过程采取基本的安全措施。 【需求描述】 允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份。 授权用户zhangsan管理所有员工的账号,但禁止其修改root用户的信息。 授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证。 所有的su、sudo操作,必须在系统日志文件中进行记录
应用系统安全设计
china_melancholy的专栏
12-08 2065
应用系统安全设计
/etc/passwd
yexiangCSDN的专栏
05-08 2259
/etc/passwd 顾名思义就是保持用户相关的信息包含密码,下面解释下其含义 yexiang@ubuntu:<~>$ cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologi...
useradd:无法锁定 /etc/passwd,请稍后再试
qq_44918665的博客
11-03 2万+
直接上截图吧 简单总结: ls -l /etc/passwd ##查看权限;权限为读写 lsattr /etc/passwd ##若出现i---e ,执行(1);否则(2) chattr -i /etc/passwd ##(1) useradd zhangsan ##(1) sudo useradd zhangsan##(2);当然也可以直接执行这一步 ...
Linux种修改用户主目录命令,usermod命令怎么修改用户主目录
weixin_26971157的博客
04-28 8173
有一台CentOS的服务器,原来建的一个用于ftp的用户帐号,制定一个特定的目录,现在需要修改这个用户的home_dir。只需要使用usermod -d /new/home_dir -U username 命令就可以更改了。下面跟着学习啦小编一起来了解一下usermod命令修改用户主目录的方法吧。usermod命令怎么修改用户主目录参考如下linux常用命令之usermod命令用法。方法1,可以修...
Linux中删除用户出现 Permission denied./无法锁定 /etc/passwd,请稍后再试的解决办法
天天开心
04-09 4355
Linux中删除用户出现 Permission denied./无法锁定 /etc/passwd,请稍后再试的解决办法
Linux创建用户卡住了,useradd: cannot open /etc/passwd
终将成为大牛
05-16 1万+
Linux创建用户卡住了,useradd: cannot open /etc/passwd 场景描述 亮哥:给他们某个系统创建个用户,密码无所谓 小编:好嘞亮哥 小编洋洋得意的样子,创建用户太好做了,在自己虚拟机经常创建用户,嘎嘎 [root@DBASIMQ02 ~]# useradd base useradd: cannot open /etc/passwd [root@DBASIMQ02 ...
系统安全及应用里的基本命令1
daxiongbaobei的博客
06-22 233
系统安全及应用里的基本命令1系统账号清理密码安全控制命令历史、自动注销su的命令 系统账号清理 1.将非登录用户的shell设为/sbin/nologin 2.锁定长期不使用的账号 3.删除无用的账号 4.锁定账号文件passwd、shadow 密码安全控制 1.设置密码有效期 2.要求用户下次登录时修改密码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2020062218404695.png?x-oss-process=image/watermark,
系统架构设计师】论文:论信息系统的安全性与保密性设计
最新发布
数据知道的博客
08-30 3715
我所在公司承接了一款养老管理信息平台,该系统以养老为主线,其中包括养老档案、照护计划、服务审计、状况跟踪、费用管理等方面的60多个业务功能模块,我在项目中担任系统架构设计师,主要负责整个系统的架构设计。本文以该养老管理信息平台为例,主要论述了针对该系统的安全及保密性问题,我们所采用的技术手段及解决方案。在网络硬件层通过设置硬件防火墙,来保证内部网络安全性;在数据层通过设置数据加密及容灾备份机制,以此保证数据抗突发风险的安全;
Linux学习笔记10 权限,/etc/passwd,/etc/shadow,useradd,userdel,id,finger
qtyyxe2911的专栏
02-21 1908
文件权限linux文件的三种身份: 拥有者 群主 其他人 文件三种权限: r:读取权限,数字代号为”4”。 w:写入权限,数字代号为”2”。 x:执行或切换权限,数字代号为”1”0 000 —: 无权限 1 001 –x: 执行 2 010 -w-: 写 3 011 -wx: 写和执行 4 100 r–: 只读 5 101 r-x: 读和执行 6 110 rw-: 读写 7 11
linux 6.4如何改密码,centos 6.4 openldap 2.4 版本 系统认证无法更改密码
weixin_29207533的博客
04-30 275
centos 6.4 openldap 2.4 版本 系统认证无法更改密码,错误提示:openldap: LDAP password information update failed: Insufficient accesstail /var/log/securcepasswd: pam_unix(passwd:chauthtok): user "test" does not exist in ...
ambari 修改服务器名,ambari - Ambari无法运行用于修改用户配置单元的自定义钩子 - 堆栈内存溢出...
weixin_33208391的博客
08-05 1438
尝试通过Ambari(v2.7.3.0)(HDP 3.1.0.0-78)将客户端节点添加到群集,并看到奇数错误stderr:Traceback (most recent call last):File "/var/lib/ambari-agent/cache/stack-hooks/before-ANY/scripts/hook.py", line 38, in BeforeAnyHook().e...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值