Linux系统安全

最新推荐文章于 2024-07-26 15:51:00 发布
最新推荐文章于 2024-07-26 15:51:00 发布
阅读量261 收藏
点赞数
文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a91888888/article/details/132773053
版权

系统安全:

保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一。

客户数据 财务信息 知识产权

法律法规:法律要求组织和个人必须具备保护网络安全和信息安全,系统安全的资质。

linux的账号安全防护:

账号安全:

passwd-I用户名

passwd-u 用户名

usermod -L 用户名

usermod -U 用户名

把账号设置为非登录用户:

Usermod -s nologin 用户名。

删除无用的账号

Userdel -r 用户名

密码安全:对密码的有效期来进行控制

只对于新etc建用户的密码有效期控制

25 PASS_MAX_DAYS 30后面的天数改掉

Cat /etc/shadow 查看密码

对已有用户的密码有效期修改

Chage -M 30 用户名(生产过程一般是90天)

锁定重要文件:

passwd shadow fstab

文件被锁定 不能对文件进行任何操作

文件解锁

临时清除历史记录,重启失效

设置登录超时的时间

新增要跳到尾行写入 TMOUNT=6

wq保存退出

source 刷新一下,随后生效

禁止用户进行账号切换

PAM认证 su 命令切换就是靠PAM认证:

提供一种标准的身份认证接口 允许管理员定制化配置各种认证方式和方法 可插拔式的认证模块

有四个不同类型的模块:

认证模块:主要用于验证用户的身份 基于密码来对用户身份进行验证

授权模块:控制用户对系统资源的访问权限 文件权限 进程权限等

账户管理模块:管理用户的账户信息 密码策略 账户锁定策略

会话管理模块:管理用户的会话 记录会话信息(历史记录) 注销用户会话 远程终端连接

service(服务)->PAM(配置文件)->pam_*.so

su 这个程序---匹配pam.d目录下的配置文件----su

su—am.d 找配置文件---su---lib64/security---调用认证模块

ls /etc/pam.d 配置文件

ls /lib64/security 认证模块的位置

system-auth 系统的认证配置文件 管理用户登录密码验证账号授权等相关的策略。

第一列:type类型

第二列: 控制位

第三列: PAM模块

type类型:

auth: 用户身份认证 基于密码

account: 账户有效性 限制或允许用户访问某个服务 限制用户的登陆位置

root只能从控制台登录 必须输入账号密码

password 用于用户修改密码时对密码的机制进行校验

session 会话控制 最多能打开的文件数 最多能打开的进程数

控制位:

Required:一票否决 这个模块在认证中必须成功返回才能通过认证 但是如果认证返回失败 失败结果不会通知用户 所有type中的模块全部认证完毕 最后再把结果反馈给用户

Requisite:一票否决 必须返回成功才能通过认证 一旦返回失败不会再向下执行其他模块立即结束

Sufficient:一票通过 如果返回成功 表示通过了身份认证的要求 不会再执行同一类型的相同模块 如果返回失败 会忽略 继续执行同一类型中的其他模块

Equired和requisteoptional 可选模块 即便返回失败 也可以忽略

Include:可选项 调用其他配置文件中自定义的配置

Optional 可选项

Sudo机制:授权普通用户可以使用管理员命令和文件

添加虚拟网卡 基于本机网卡 和网卡同一网段 0表示虚拟网卡编号 添加多个时不要重复

vim /etc/sudoers

用户名 ALL=(ROOT) /sbin/ifconfig 普通用户可以和root一样拥有管理员权限 但是只限于ifconfig 添加多个时用逗号隔开 授权执行要加sudo

限制一些命令 即使用户在wheel组 也不可以使用sudo进行操作

Host_Alias MYHOSTS = 本机名 #指定主机名

User_Alias MYUSERS = 用户名 #设置限制的用户

Cmnd_Alias MYCMNDDS = /sbin*, !/sbin/reboot !/sbin/poweroff, !/sbin/init, !/usr/bin/rm

//这个用户可以使用/sbin下面的所有命令 除了 reboot poweroff init rm 之外的所有命令

MYUSERS MYHOSTS=MYCMNDS #授权生效命令配置

Wheel组 和group组一个概念 作用就是用来控制系统管理员的访问权限 一旦加入wheel组 可以被授权使用一些系统管理员才能够使用的访问命令和文件

Sudo 授权方式 必须要加入wheel 还需要其他的配置:

Wheel 默认为空 需要管理员手动添加用户 配置相应的sudo访问规则 配置的时候注意有限放开原则

Vim /etc/pam.d/su

要放开权限的用户添加到wheel组中 :

Gpasswd -a 用户名 wheel

91888888
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
1 Linux SSH安全加固
qq_40907977的博客
02-06 1791
Linux SSH 安全加固,这里使用CentOS7.5 做演示 一、配置SSH双因素登录 ​ 1.确定系统时钟是正确的 ​ 2.安装相关依赖 ​ yum install -y git gcc automake autoconf libtool make pam-devel ​ 3.安装google 验证器 git clone https://github.com/google/google-a...
/etc/authselect/custom/user-profile/system-auth内容详解
weixin_53389944的博客
04-28 1119
以下为系统PAM默认配置。/etc/authselect/custom/user-profile/system-auth文件为。
system-auth配置文件中auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
weixin_53389944的博客
04-28 188
模块验证用户为常规用户(isregular),则认证成功,否则忽略这个模块,继续执行后续的认证规则。模块的参数,它可能被用于指定要检查的用户类型。表示如果当前模块认证失败或成功,将跳过后续的1个模块。是一个自定义PAM模块,它用于确定用户的类型。可能是一个选项,用于判断用户是否为常规用户。总的来说,这个配置的含义可能是,如果。
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
linux中的/etc/pam.d/system-auth的默认配置
最新发布
Hello World
07-26 591
pam_keyinit.so` 初始化用户会话,`pam_limits.so` 应用用户限制,`pam_succeed_if.so` 允许特定服务(如crond)在不进行认证的情况下启动会话,`pam_unix.so` 用于设置用户环境。`pam_env.so` 设置环境变量,`pam_unix.so` 允许使用传统的UNIX密码认证,`pam_succeed_if.so` 允许UID大于或等于1000的用户安静地(无提示)登录,`pam_deny.so` 拒绝所有认证尝试。
Linux下的/etc/pam.d/system-auth配置文件参数说明
oldboy1999的博客
12-12 1万+
Linux下的/etc/pam.d/system-auth配置文件参数说明
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
西京刀客
06-15 3万+
文章目录一、linux密码设置及登陆控制1. Linux中pam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linux中pam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机
linux系统安全
moRickyer的博客
07-27 2503
在贝尔实验室的UNIX实施文档的早期版本中,/etc表示是“其他(etcetera)目录”,因为从历史上看,这个目录是存放各种不属于其他目录的文件(然而,文件系统目录标准FSH限定/etc用于存放静态配置文件,这里不该存有二进制文件)。也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户“再过n天你的密码就要过期了,请尽快重新设置你的密码!...
linux系统安全(新).pdf
05-05
linux系统安全(新)-20210504
Linux操作系统安全(自学).pdf
07-03
Linux系统安全 知识体 知识域 账户安全 知识子域 账户的基本概念 文件系统安全 日志分析 账户风险与安全策略 文件系统的格式 安全访问与权限设置 系统日志的分类 系统日志的审计方法
浅谈Linux系统安全及应用.pdf
09-06
浅谈Linux系统安全及应用 Linux系统安全Linux系统中非常重要的一方面。随着Linux系统的普及,Linux系统安全也逐渐受到人们的重视。Linux系统安全机制主要包括身份验证、访问控制、加密、防火墙等多个方面。 身份...
Linux系统安全.pdf
09-30
Linux系统安全.pdf
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时等策略
u013930899的博客
06-20 1万+
设置centos密码复杂度、有效期、账号锁定等策略
system-auth与password-auth的区别
weixin_53389944的博客
04-28 942
配置文件是系统的全局认证配置文件,通常包含系统范围内适用的认证规则和策略。配置文件是特定于密码管理的PAM配置文件,通常包含与用户密码相关的认证规则和策略。但如果新的安全策略涉及到密码管理方面,可能需要同时在两个配置文件中进行添加。中添加新的PAM安全策略,这样可以确保所有服务和应用程序都遵循相同的认证规则。是系统范围的全局认证配置文件,可以确保新的安全策略适用于系统上的所有服务和应用程序。是两个不同的PAM配置文件,它们在系统上的作用和功能略有不同。如果你想特定于密码管理的策略,也可以将其增加到。
Linux账户安全管理与技巧
qq_45768092的博客
09-12 819
建立与删除普通用户账户,管理组 管理帐户的俱行工具及功能如下: useradd [] 添加新用户 usermod [] 修改已存在的指定用户 userdel [-r] 删除已存在的指定帐户,-r参数用于删除用户自家目录 groupadd [] 加新组 groupmod [] 修改已存在的指定组 groupdel 删除已存在的指定组 创建一个新用户user1 useradd user1 创建一个新组group1 groupadd group1 创建一个新用户user2并将其加入用户组group1中
linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-auth的pam_pwquality.so模块)
hjxloveqsx的博客
02-10 2756
在/etc/pam.d/system-auth上找到pam_pwquality.so模块的行。
Linux系统安全加固规范指南
Linux系统安全加固规范 Linux系统安全加固规范是指在Linux主机操作系统中实施的一系列安全措施,以确保系统的安全和稳定运行。该规范涵盖了账号管理、认证授权、日志审计、系统文件等多个方面的安全配置。 账号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

91888888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值