系统安全
文章目录
一、账号清理
锁定账号
usermod -L 用户名 或 passwd -l 用户名
解锁账号
usermod -U 用户名 或 passwd -u 用户名
查看账号状态
passwd -S 用户名
删除账号
userdel -r 用户名
1.密码安全
- chage 控制账户的密码
/etc/login.defs 密码配置文件位置
PASS_MAX_DAYS 30 #设置密码有效期为30天
PASS_MIN_DAYS 0 #修改密码后时隔多久才能再次更改
PASS_WARN_AGE 7 #密码到期前7天系统开始提示
chage -M 30 lisi #设置lisi用户密码有效期为30天
2.锁定文件
- chattr +i 文件绝对路径 #锁定文件
锁定后的文件不可删除、更改、只能查看
-
chattr -i 文件绝对路径 #解锁文件
-
lsattr 文件绝对路径 #查看锁定状态
二、命令历史限制
- history 查看命令历史记录
-c 临时清楚,它只清理内存缓存,重启后会恢复
echo " " > ~/.bash_history #清空记录直接覆盖
/etc/skel/.bash_logout文件加rm -f $HOME/.bash_history #用户每次登出删除历史记录
- /etc/profile #系统所有用户登录加载文件
export HISTSIZE=15 #只保留15行记录
- .bash_profile 用户登录所加载的文件
终端自动注销
vi /etc/profile #配置文件
export TMOUT=600 #用户挂机六百秒将会登出
三、切换用户 su
任何用户默认多可以使用su命令
在/etc/pam.d/su文件里设置禁用用户使用su命令
2 #auth sufficient pam_ rootok.so
6 #auth required pam_wheel.so use_uid
1.开启1注释2默认状态,允许用户使用su命令进行切换
2.两行都注释所有用户都能使用su,root切换普通用户需要使用密码
3.两行都开启,表示只有root和wheel组内用户才可以用su命令
4.注释第1行开启2,表示只用wheel组使用su命令,root被禁用su命令
auth sufficient pam_wheel.so trust use_uid #wheel组员su切换root无需密码
auth required pam_wheel.so use_uid #非wheel组员无法su切换到root
应用联系
gpasswd -a zhangsan wheel #将zhangsan加入wheel组
1.认证模块PAM
PAM使用/etc/pam.d下的配置文件,应用程序调用pam配置文件
pam认证一般遵循顺序:service服务–>pam配置文件–>pam_*so
ls etc/pam.d #查看程序是否支持pam
2.权限调用 sudo
配置文件地址:/etc/sudoers
-l 列出主机上可用和被禁止的命令
-v 验证用户时间戳,输入密码后短时间不用重新输入
-u 指定某个用户特定操作
-k 删除时间戳
四、终端登录安全控制
禁用普通用户登录,用于系统维护
touch /etc/nologin #除root以外用户不能登录
vi /etc/securetty #修改终端
ctrl+alt+f(1-6) #切换终端
1.端口扫描 nmap
rpm -qa | grep nmap #列出安装过的rpm包,筛选出nmap
yum install -y nmap #默认确认安装nmap
nmap -sT 127.0.0.1 #扫描tcp端口
nmap -sU 127.0.0.1 #扫描udp端口
nmap -sP 127.0.0.1 #扫描icmp端口
nmap -P0 #静ping临时
内核优化
vim /etc/sysctl.conf #开启内核优化编辑末行插入net.ipv4.ip_firward=1
2.网络状态信息 netstat
netstat -natp #查看正在运行的tcp协议网络状态信息
netstat -naup #查看正在运行的udp协议网络状态信息
netstat -natp | grep 80 #可以查看端口80服务有没有启动
协议tcp/udp tcp
队列接受/发送 0/0
ip:port :::80
LISTEN 状态包含连接、断开、等待
PID进程任务 3459/httpd
五、日志分析
1.inode与block
inode索引节点:用于储存文件元信息
block块:连续八个扇区组成一个block、是文件存取的最小单位
- stat #查看文件inode信息
find ./ -inum 523055140 -delete #指定文件inode值删除
时间属性
ctime 最后一次改变文件/目录时间
atime 最后一次访问文件/目录时间
mtime 最后一次修改文件/目录时间
- df -i 查看每个硬盘分区的inode总数和已经使用的数量
移动或重命名时只改变文件名不影响inode号码
打开文件后,系统只通过inode号识别文件跳过文件名
2.分析日志文件
/ar/log 日志文件位置
| 内核及公共消息日志 | /var/log/messages |
|---|---|
| 计划任务日志 | /var/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/maillog /var/log/decure /var/log/wtmp /var/run/btmp |
日志消息级别
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | RMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
3.用户日志分析
保存了用户登录、退出系统等相关信息
/var/log/lastlog 最近的用户登录事件
/var/log/wtmp 用户登录、注销及系统开关机事件
/var/run/utmp 当前登录的每个用户的详细信息
/var/log/secure 与用户验证相关的安全性事件
分析工具
users 、who、 w、 last、lastb
4.程序日志分析
相应的应用程序独立进行管理
web服务:/var/log/httpd
access_log、 error_log
代理服务: /var/log/squid
accesslog、cache.log
FTP服务:/var/log/xferlog
分析工具
文本查看、grep过滤检索、webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
分析工具
users 、who、 w、 last、lastb
4.程序日志分析
相应的应用程序独立进行管理
web服务:/var/log/httpd
access_log、 error_log
代理服务: /var/log/squid
accesslog、cache.log
FTP服务:/var/log/xferlog
分析工具
文本查看、grep过滤检索、webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
webalizer、awstats等专用日志分析工具
扫一扫
3496
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
