系统安全:
保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一。例如 客户数据,财务信息,知识产权
法律法规要求:法律要求组织和个人必须具备保护网络安全和信息安全,系统安全的资质。
保护品牌形象:数据泄露,安全漏洞。
账号安全控制
账号安全:
1、锁定长期不使用的账号
passwd-l 用户名 锁定
passwd-u用户名 解锁
usermod -L用户名 锁定
usermod-U用户名 解锁
2、把账号设置为非登录用户:
usermod-s nologin 用户名
3、删除无用的账号:
userdel-r 用户名
密码的安全控制:
从密码的有效期来进行控制
新建用户的密码有效期控制:vim /etc/login.defs
25 PASS_MAX_DAYS 180#后面的天数改掉
仅限于新建用户,对已有不受影响。
对已有用户的密码有效期进行修改:chage -M 30 dn
锁定重要文件:
passwd shadow fstab
Isattr /etc/passwd查看文件的状态
chattr +i/etc/shadow 锁定文件,不能对文件内容进行任何操作。
chattr-i/etc/shadow解除锁定。
历史命令进行限制:
history-c 临时清除历史记录。
vim /etc/profile
HISTSIZE=80
sourcre /etc/profile 直接生效
设置登录超时时间:
vim /etc/profile
TMOUNT=20
source /etc/profile
在配置文件添加内容一律在最后一行新增,不要在文本中间添加。
禁止用户进行账号切换:
PAM认证su切换靠的就PAM认证。
wheel组group组是一样的。
wheel组的作用就是用来控制系统管理员的访问权限。
一旦加入wheel组,可以被授权使用一些系统管理员才能够使用的访问命令和文件。
sudo授权方式这个必须要要加入wheel,还需要其他的配置。
wheel默认为空,需要管理员手动添加用户。配置相应的sudo访问规则。
配置的时候一样要注意:有限放开原则。
vim /etc/pam.d/su
第六行取消注释
gpasswd -a dn wheel #放开权限的用户。
PAM安全认证:
提供了一种标准的身份认证的接口,允许管理员定制化配置各种认证方式和方法。
可插拔式的认证模块。
PAM的认证模块有四个不同的类型:
认证模块:用于验证用户的身份。基于密码来对用户身份进行验证
授权模块:控制用户对于系统资源的访问权限文件权限进程权限等。
账户管理模块:管理用户的账户信息,密码策略,账户锁定策略。
会话管理模块:管理用户的会话,记录会话信息,注销用户会话,远程终端连接。
Service(服务)→PAM(配置文件)→pam *.so
su 这个程序……匹配pam.d目录下的配置文件……su
su-pam.d 找配置文件---su----lib64/security----调用认证模块。
Is/etc/pam.d/ #配置文件
Is /lib64/security#认证模块的位置。
system-auth系统的认证配置文件管理用户登录密码验证账号授权等相关的策略。
第一列:type类型
第二列:控制位
第三列:PAM模块
1.type类型:
auth:用户身份认证基于密码
account:账户有效性 限制/允许用户访问某个服务,限制用户的登录位置。
root 只能从控制台登录,必须输入账号密码。
password:用户修改密码时,对密码的机制进行校验。
session:会话控制,最多能打开的文件数,最能能够打开的进程数。
2.控制位:
required:一票否决这个模块在认证中必须是返回成功才能通过认证,但是如果认证返回失败,失败结果不会通知用户,所有type中的模块全部认证完毕,最后再把结果反馈给用户。
requisite:一票否决必须返回成功才能够通过认证,一旦返回失败不会再向下执行其他模块,直接结束。
sufficient:一票通过,返回成功,表示通过了身份认证的要求,不会再执行同一类型的相同模块。如果返回失败,忽略,继续执行同一类型中的其他模块。
equired和requisteoptional:可选模块,即便返回失败,也可以忽略。
include:可选项,调用其他配置文件中自定义的配置。
optional:可选项。
sudo机制:
sudo 授权普通用户可以使用管理员的命令和文件。
ifconfig ens33:0 192.168.233.100/24#添加虚拟网卡。
和网卡在同一网段。0表示虚拟网卡编号,添加多个的时候不要重复。
dn ALL=(root) /sbin/ifconfig
dn这个普通用户可以和root一样拥有管理员权限,但是只限于ifconfig命令。
限制一些命令,即使用户在wheel组,也不可以使用sudo进行操作。
reboot poweroff init rm
dn ALL=(root) /sbin/ifconfig,/bin/rm,/bin/passwd
Host_Alias MYHOSTS = test1
#指定主机名
User_Alias MYUSERS = dn
#设置限制的用户名
Cmnd_Alias MYCMNDS = /sbin*, !/sbin/reboot, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm, !/usr/bin/passwd
#dn这个用户的sudo权限可以使用/sbin下面的所有命令,除了reboot poweroff init rm.
MYUSERS MYHOSTS=MYCMNDS
#授权生效,生效上面的命令配置。
开关机的安全控制:
grub菜单加密
grub2-setpassword
弱囗令检测工具:
john-1.8.0.tar.gz
cd /opt
tar -zxvf john-1.8.0.tar.gz#解压工具包
yum -y install gcc gcc-c++ make#安装软件编译工具
cd /opt/john-1.8.0/srcmake clean linux-x86-64#切换到src子目录,进行编译安装
cp /etc/shadow /opt/shadow.txt#准备待破解的密码文件
cd /opt/john-1.8.0/run
./john /opt/shadow.txt#切换到run子目录,执行暴力破解
./john --show /opt/shadow.txt#查看已破解出的账户列表
网络扫描工具:NMAP
可以进网络扫描,安全检测
-p:扫描端口
-sT:扫描tcp连接
-sU:扫描UDP连接。
-n:禁用反向DNS解析。
正向:域名解析成P地址方向:ip地址解析成域名
-sP:ICMP扫描,和ping是一样的,快速判断主机是否存活。
nmap -p 80 192.168.233.0/24
扫描80端口,查询整个网段,哪台主机能够提供80端口服务。
http:超文本传输协议1.1版本
打开网页都是http协议。
https:加密的超文本传输协议443
查看网段中存活的主机:nmap -n -sP 192.168.233.0/24
查看本机开放的tcp或者udp端口。
nmap-sT 127.0.0.1 或者192.168.233.10#查看tcp的端口
nmap-sU 127.0.0.1#查看本机的udp服务端口。
面试:你做过哪些系统加固,系统安全?
1、账号和密码进行安全加固
账号锁定,密码锁定
定期修改密码
2、修改历史记录的保存数目。
3、sudo的机制,在配置普通用户拥有sudo权限的时候,进行有限开放的原则,需要哪些就给那些。
4、grub菜单编辑加密。
5、可以通过弱口令检测工具,巡检系统当中的简单密码,然后修改掉,保证账号安全
6、锁定重要文件,/etc/passwd /etc/shadow/etc/fatab nginx.conf httpd.conf重要的配置文件或者系统文件,进行锁定。chatt +i锁定文件,防止误操作。
7、强化密码策略。把密码设置复杂一点
8、配置防火墙策略
9、定期备份
10、系统定期更新,修复系统中的漏洞。
11、安装杀毒软件
12、改掉一些大家都知道的服务端口。httpd nginx 80 ssh 22 10022 mysql 3306 33006
13、设置日志文件的权限。只有管理员可读
14. 禁止普通用户切换到root用户
总结
1账号控制
passwd-I
usermod -L
userdel -r
密码控制:
vim/etc/login.defs:只能对新建用户生效。老用户没有效果
chage -M 30 dn
锁定重要文件:passwd shadow fstab
chattr -i +i
Isattr #查看文件
修改history
history-c临时清除
vim /etc/profile
HISSIZE=1000 80 60
远程连接的超时时间:
vim /etc/profile
在文件内容的最后一行添加
TMOUNT=15
限制用户切换
su
vim /etc/pam.d/su
把第六行取消注释
所有的普通用户都将不能切换用户。无法使用su命令
gpasswd -a dn wheel
加入了wheel组的用户才可以切换
sudo机制:
dn ALL=(root) /sbin/ifconfig
这个时候权限虽然放开了,但是还是要输入密码,要想不输入密码就可以sudo实现,必须加入wheel组
6047
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
