文章详细介绍了如何增强Linux系统的安全性,包括账号安全控制如锁定和删除账号,重要文件的锁定,密码的有效期管理,限制历史命令数量,设置登录超时,以及通过PAM认证模块来限制用户切换和控制sudo命令的使用。此外,还提到了开关机的安全控制和grub密码设置。
目录
系统安全
系统安全对于个人及企业都是非常重要的。
维护系统安全的目的
1.数据安全,主要防止个人的敏感信息被窃取、盗用、破坏
2.企业法律法规要求
3.企业形象
账号安全控制
锁定不需要的账号
passwd - l 用户名
usermod - L 用户名
解锁
passwd - u 用户名
usermod - U 用户名
删除不需要的账号
usermod - r 用户名 连家目录一并删除
重要文件锁定
lsattr 查看文件
chattr + i 路径 文件 锁定文件
chattr - i 路径 文件 解锁文件
密码进行安全控制
密码的有效期:到了一定的时间点,强制用户修改密码
密码控制:文本格式密码
vim /etc/login.defs
修改配置文件,改变账号创建时的密码最大有效期,只能针对新建用户,已有用户不在此范围内
针对已有用户进行修改:
vim 直接修改,不推荐
chage -M 最大有效期天数 用户名
强制用户下次登陆时修改密码
chage -d 0 用户名
对历史命令进行限制,限制历史命令的数量
histoey -c 临时清除 重启之后还在
vim /etc/porfile 永久修改
HISTSIZE=30 保留的历史命令数通常设置在30到50左右
设置登录超时时间
主要针对远程连接工具,释放资源,防止阻碍
vim /etc/profile
在底行:
TMOUT=时间
限制用户切换
为了方便,会给—些普通用户类似管理员的权限,这些用户不能随便切换到其他用户
将允许使用命令的用户添加到wheel组中
wheel组:用于控制用户的访问权限,加入wheel组之后,可以和root管理员一样使用权限,执行root管理员一样使用一些敏感命令
有限制条件:sudo 可以和管理员一样,执行管理员的命令,必须要加入wheel组
启用pam_wheel 认证模块
vim /etc/pam.d/su
auth required pam_wheel.so use_uid 删除前面的#
代码含义就是普通用户之间切换SU,将会收到限制,除非加入wheel组,否则,将不能进行用户切换
wheel组是—个特殊的组,用于控制用户的访问权限,加入wheel组后,可以和root管理员一样使用一些敏感命令。要使用sudo命令才能输入敏感命令。
wheel组默认为空,需要手动添加,且会被限制只能只用特定的一些命令
gpasswd -a 用户 wheel 将用户加入wheel组
开关机安全控制
grub,添加密码,禁止修改
grub2-setpassword
PAM认证模块
PAM 身份认证的框架,提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式,是可插拔式的,即配即用,即删即失效
当打开认证时,对su这个命令进行验证和限制,用户切换账产户时,除非加入wheel,否则不能进行账户切换
PAM认证模块构成
pam:认证模块 授权模块 模块的参数和配置项
认证模块
auth 用户身份认证
account 账户的有效性
password 用户修改密码时的机制校验
session 会话控制,控制最大打开文件数,
授权模块
required 一票否决,表示只有认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完,才会给用户回馈。
requisite 一票否决,只要返回失败,立刻终止,并反馈给用户
sufficient 一票通过,返回成功后,就不会再执行相同模块内的认证,其他的模块返回失败也可以忽略
optional 可选项
提升sudo命令的做一个限制,只能使用特定的一些命令,或者禁止使用一些命令
sudoers:必须强制保存退出,或者强制退出
sudo:普通用户可以使用管理员才能够使用的命令
但是这个权限一定要进行控制,不能全部放开,否则风险极大。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
