系统安全:不管对于个人还是对于企业都是非常重要的
1.数据安全:主要就是防止个人的敏感信息窃取,盗用,破坏
2.企业法律法规要求
3.企业形象
操作命令:
账号安全控制:
用户:
锁定不需要的用户:
passwd -l 用户名
usermod -L 用户名
删除不需要的用户:
userdel -r 用户名:连同家目录一并删除
文件:
lsatter:查看文件状态
/etc/passwd :存放用户
/etc/shadow:存放密码
/etc/fstab
chattr:修改文件状态
chattr +i 文件名:锁定重要文件
chattr -i 文件名:解锁重要文件
密码安全控制:
密码的有效期:到了一定的时间点,强制用户修改密码;指纹登录控制,生物控制;二维码,技术控制
密码控制:文本格式密码
修改密码有效期:
1.vim /etc/login.defs:修改配置文件HISTSIZE,改变账号创建时的密码最大有效期,只能对新建用户生效
2.vim /etc/shadow:直接修改,不推荐
3.chage -M 最大有效期天数 用户名:修改有效期
chage -d 0 用户名:强制用户下次登录修改密码
对历史命令进行限制:
history:查看当前用户所使用的所有的历史命令
-c:临时清除,重启即失效
永久清除:
vim /etc/profile 修改HISTSIZE:永久清除历史记录
vim /.bash_logout :退出终端清除历史记录
echo "" >~/.bash_logout
vim /.bashrc:开机后清除终端的历史记录
echo "" >~/.bashrc
设置登录的超时时间:主要针对远程连接工具
vim /etc/profile
TMOUT=6:6秒内不在终端进行操作就会自动退出
限制用户进行切换:
wheel组:一个特殊的组,用于控制用户的访问权限,加入wheel组之后,可以和root管理员一样使用一些敏感命令
有一个限制条件:加sudo,就可以和管理员一样,执行root管理员的命令,必须要加入wheel组中
wheel组默认是空的,需要手动添加,需要进行限制,只能使用一些特定的命令
使用wheel组的方式限制
vim /etc/pam.d/su
aut required pam_wheel.so use_uid:普通用户之间切换SU,将会受到限制,除非加入wheel组,否则,将不能进行用户切换
限制切换成功:
gpasswd -a wheel:加入wheel组
将用户添加到wheel组中:
加入wheel组限制解除:
PAM认证:
/etc/pam.d:存放PAM的配置文件
PAM:身份认证的框架,可插拔式
提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式
可插拔:即配即用,即删除即失效
认证原理:
打开认证------su命令进行验证和限制-----用户随意切换账户-----除非加入wheel,否则不能进行账户切换
pam由认证模块、授权模块、模块的参数和配置项组成
/etc/pam.d文件中,第一列:认证类型 第二列:控制类型 第三列:PAM模块类型
认证类型:
auth:用户身份认证
account:账户的有效性
password:用户修改密码时的机制校验
session:会话控制,控制最多打开的文件数,能开多少进程等等
控制类型:
required:一票否决,表示只有认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完,才会给用户反馈
requisite:一票否决,只要返回失败,立即终止,并反馈给用户
sufficient:一票通过,返回成功后,就不会再执行跟他相同模块内的认证,其他的模块返回失败,也可以忽略
optional:可选项,可有可无。不用于验证,只显示信息
sudo:普通用户可以使用管理员
vim /etc/sudoers:sudo配置文件,提升sudo命令的限制,只能使用指定的一些命令;或者禁止使用一些命令
指定操作:允许使用这些命令
用户名 ALL=(root) /sbin/ifconfig,/sbin/passwd
限制:禁止使用这些命令
用户名 ALL=(root) ALL
Host_Alias MYHOSTS=localhost
User_Alias MYUSERS=用户名
Cmnd_Alias MYCMNDS=/sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/inif,!/usr/bin/rm #限制的命令
MYUSERS MYHOSTS=MYCMNDS
实验:限制test用户不能切换其他用户,不能使用rm、reboot、poweroff、inif命令
创建一个test用户,修改密码:
限制用户不能切换到其他用户除非加入whell组:
vim /etc/sudoers:配置sudo 限制test:
创建文件 1、2、3
删除1、2、3失败,限制成功