系统安全及应用

最新推荐文章于 2023-04-13 14:51:19 发布
最新推荐文章于 2023-04-13 14:51:19 发布
阅读量1.1k 收藏 1
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhaozhongqiang/article/details/120327060
版权
本文详细介绍了Linux系统的账号安全控制,包括系统账号清理、密码安全控制和PAM安全认证。此外,还讨论了系统引导和登录控制,如BIOS引导设置、终端及登录权限的限制。同时,文章提及了弱口令检测工具John the Ripper和网络扫描工具NMAP的使用,以提升系统安全性。
摘要由CSDN通过智能技术生成

目录

1.账号安全控制

1.1 基本安全措施

1.1.1 系统账号清理

 1.1.2 密码安全控制

1.1.3 命令历史、自动注销

1.2 用户切换与提权

1.2.1 su命令——切换用户

1.2.3 sudo命令——提升执行权限

1.3 PAM安全认证

2.系统引导和登录控制

2.1 开关机安全控制

2.1.1 调整BIOS引导设置

2.1.2 禁止Ctrl+Alt+Del快捷键重启

2.1.3 限制更改GRUB引导参数

2.2 终端及登录控制

2.2.1 减少开放的tty终端个数

2.2.2 禁止root用户登录

2.2.3 禁止普通用户登录

3.弱口令检测、端口扫描

3.1 弱口令检测——John the Ripper

3.2 网络扫描——NMAP

1.账号安全控制

1.1 基本安全措施

1.1.1 系统账号清理

①将非登陆用户的shell设为/sbin/nologin

usermod -s /sbin/nologin

②锁定长期不使用的账号:

usermod -L 用户名

passwd -l 用户名

passwd -S 用户名

③删除无用的账号:userdel 【-r】

④锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow

lsattr /etc/passwd /etc/shadow

chattr -i /etc/passwd /etc/shadow

常见的非登录用户包括bin、daemon、adm、lp、mail、nobody、apache、mysql、dbus、ftp、gdm、haldaemon等。为了确保系统安全,这些用户的登录shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。

  

 usermod -L zhangsan //锁定账号

passwd -S zhangsan //查看账号状态

usermod -U zhangsan //解锁账号

 chattr +i /etc/passwd /etc/shadow //锁定文件

lsattr /etc/passwd etc/shadow //查看为锁定状态

chattr -i /etc/passwd /etc/shadow //解锁文件
lsattr /etc/passwd /etc/shadow //查看为解锁状态

在账号文件被锁定的情况下,内容不允许变更,因此无法添加、删除账号,也不能更改用户密码、登录shell、宿主目录等属性信息。


 

 1.1.2 密码安全控制

为了降低密码被破解的风险,应该定期更改密码,避免长期使用同一个密码。管理员可以在服务器端限制用户密码最大有效天数,对于密码已经过期的用户,登录时将被要求重新设置密码,否则拒绝登录。

例:将密码有效期设为30天

[root@localhost ~]#vi /etc/login.defs //适用于新建的用户
PASS_MAX_DAYS 30
[root@localhost ~]#chage -M 30 lisi //适用于已有的lisi用户

例:强制要求用户zhangsan下次登录时重设密码

[root@localhost ~]#chage -d 0 zhangsan
Localhost login:zhangsan
password:
You are required to change your password immediately(root enforced)
Changing password for zhangsan.
(current) UNIX password:
New password:
Retype new password:

1.1.3 命令历史、自动注销

shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。

Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。

例:设置最多只记录200条历史命令

[root@localhost ~]#vi /etc/profile  //适用于新登录用户
...... //省略部分内容
HISTSIZE=200
[root@localhost ~]#export HISTSIZE=200  //适用于当前用户

还可以修改用户宿主目录中的~ /.bash_logout文件,添加清空历史命令的操作语句。

[root@localhost ~]#vi ~/.bash_logout
history -c
clear

Bash终端中,还可以设置闲置超时时间,由变量TMOUT来控制,默认单位为秒。

[root@localhost ~]#vi /etc/profile  //适用于新登录用户
......  //省略部分内容
export TMOUT=600
[root@localhost ~]#export TMOUT=600  //适用于当前用户

注意:当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置TMOUT变量。必要时可以执行“unset TMOUT”命令取消TMOUT变量设置。

1.2 用户切换与提权

1.2.1 su命令——切换用户

使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限。

最低0.47元/天 解锁文章
戒为良药~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux网络设置
xwy9526的博客
01-06 1054
查看网络接口信息 ifconfig 查看所有活动的网络接口信息 执行ifconfig 查看指定网络接口信息 ifconfig 网络接口 [root@serverl ~]# ifconfig ens33 网卡内部信息解释 ens33(第一块以太网卡的名称) flags=4163<UP(开启),BROADCAST,RUNNING,(正在运行)MULTICAST> mtu 1500 inet 20.0.0.10 (ip地址) netmask 255.255.255.0(子网掩码
计算机系统安全应用安全(共78张PPT)精选.pptx
11-15
计算机系统安全应用安全(共78张PPT)精选.pptx
Linux系统安全应用
weixin_56422027的博客
05-17 201
前言基本安全措施系统账号清理、锁定密码安全控制用户切换于权限su切换用户sudo提升权限PAM认证 前言 作为一个开放源代码的操作系统,Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用。下面主要从账户安全、系统引导、登录控制的角度,优化Linux系统的安全性 用户账号,是计算机使用者的身份凭证,每个访问系统资源的人,必须要有账号才能登录计算机,在Linux中,提供了多种机制来确保用户账号的安全使用 基本安全措施 系统账号清理、锁定 在Linux系统中,除了用户手动创建的各种账号外,还包括随系统.
系统安全应用【上】
陌上花开,静待绽放!
04-13 792
不具有对该文件的修改权限;
ubuntu16.04临时改变IP提示“SIOCSIFADDR: 不允许的操作”
lin_joyful的博客
04-14 1万+
lin@ubuntu:game_files$ ifconfig ens33 192.168.80.111SIOCSIFADDR: 不允许的操作SIOCSIFFLAGS: 不允许的操作解决办法:权限不足的原因,sudo ifconfig ens33 192.168.80.111
应用系统安全自检checkList
最新发布
04-16
应用系统安全自检checkList
应用系统安全检测要求20191227
03-22
应用系统安全检测要求 应用系统安全检测要求是指为了加强信息系统部系统安全测试和漏洞确认工作,在系统侧减少和消除安全隐患,有效预防和规避安全事故的发生。根据“同步规划、同步建设、同步运行”的安全管理要求...
应用系统安全开发规范
02-13
为规范公司线上系统、后台系统等业务系统的安全开发,使开发人员明确在开发过程中需要遵守的安全要求,保证最终开发完成的系统不存在明显的安全漏洞,尽可能地降低系统上线后由于代码层漏洞导致的安全风险,特制定本...
信息系统安全整体解决方案
09-18
1、可以作为招标文件的整体解决方案使用; 2、非常全面; 3、文档格式大气、规范。
高可用Nginx集群安装搭建
XinhuaShuDiao的博客
03-09 380
高可用Nginx集群安装搭建 环境准备 两台linux服务器,IP地址分别为 192.168.120.103 192.168.120.58 准备IP地址信息打印程序balancer-1.0.0.jar,http://hostname:port/server/ip,打印服务器的IP端口号信息。 安装两台Nginx 安装步骤,参考前面Nginx的手册来操作,将Nginx分别安装在前面准备的两台linux服务器上。 启动Nginx,都为80端口,代理前面的的balancer-1.0.0.jar服务。 安装LVS
ifconfig eth0 192.168.xxx.x SIOCSIFADDR: No such device
linuxpassion的专栏
09-17 7263
1、问题描述:使用ifconfig 命令设置网卡参数时报错如下:        [root@localhost ~]# ifconfig eth0 192.168.172.2        SIOCSIFADDR: No such device 2、环境:centos 7.0,设置网络参数是为了与CRT连接; 3、查看所有网卡参数:命令 ifconfig -a  ,发现我的eth0叫
虚拟机备份转移后,网络启动异常,提示“SIOCSIFADDR: No such device”的解决方案
笑的自然技术博客
05-27 2万+
The problem lies in the fact that ethernet MAC addresses are cached. You need to remove a file to clear the cached value: 问题是由于以太网MAC地址被缓存。 你需要删除一个文件来清除缓存值: $ sudo rm /etc/udev/rules.d/70-persistent-net.rules $ reboot 重启给您惊喜!
linux03-用户与组
weixin_34314962的博客
04-25 290
linux 目录结构介绍 [root@station221 ~]# ls / bin etc lost+found mnt opt sbin srv tmp boot home media net proc selinux sys usr dev lib misc n...
ifconfig: SIOCGIFFLAGS: No such device
好习惯成就伟大
12-28 9257
hello, I am using P1023 and my phy is AR8035. the schemitic was designed refered to p1023rdb. I can boot linux normally but some problem about eth0 . When I put ifconfig eth0 up, it always :ifconfig: ...
出现Permission denied的解决办法(750权限谨慎使用)
热门推荐
z止于至善的博客
05-08 80万+
提示 Permission denied 解决的办法: $ sudo chmod -R 777 某一目录 其中 -R 是指级联应用到目录里的所有子目录和文件 777 是所有用户都拥有最高权限
Linux:Permission denied问题的解决方式
lg_1996的博客
10-09 991
为期设置最大权限即可,其命令: sudochmod-R777目录名(设置最大权限)
《数据库系统及应用》第二版 - 崔巍
"《数据库系统及应用》是崔巍编著的一本关于数据库技术的教材,属于北京市高等教育精品教材立项项目。该书是第一版的修订版,增加了新内容以适应数据库技术的发展,提升了教材的科学性、完备性、实用性和可用性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值