目录
一、系统安全:
保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一
客户数据 财务信息 知识产权
法律法规:法律要求组织和个人必须具备保护网络安全和信息安全,以及系统安全的资质。
保护品牌的形象:数据泄露,安全漏洞
二、Linux的账号安全防护:
1、账号安全:
锁定长期不使用的账号:
passwd -l 锁定用户密码 passwd -u解锁用户
chmod -L 锁定用户 chmod -U解锁用户
2、把账号设置为非登录用户:
usermod -s nologin 用户名
3、删除无用的账号:
userdel -r 用户名
4、密码的安全控制:
从密码的有效期来进行控制
5、新建用户的密码有效期:
25gg,改成30,密码有效期30,改完之后只对新建用户生效
PASS_MAX_DAYS 数字 把数字改成30,这种方式只对新建用户有用
6、对已有用户的密码有效期进行修改:
chage -M 30 koeda:对已有用户的密码有效期进行修改
cat /etc.shadow
7、锁定重要文件:
passwd、shadow、fstab工作中都是被锁定的
查看文件的锁定状态:
lsattr /etc/passwd:查看passwd文件的锁定状态
chattr +i /etc/passwd:锁定文件,不能对文件内容进行任何操作。
chattr -i /etc/passwd:解锁文件
8、历史命令进行限制:
history:记录历史命令
临时清空历史记录:history -c
永久清空历史记录:vim /etc/profile
/HIS:查找到 记录多少条命令 改成80条
HISTSIZE=80
改完之后 source /etc/profile 刷新一下
9、设置登录超时时间:
进入 vim /etc/profile
添加内容,一律尾行添加
添加:TMOUT=30 30秒不操作自动断开连接
之后source /etc/profile 生效
一般来说TMOUT=600/120
10、限制用户不能够随意切换用户:
禁止用户使用su 命令
PAM认证:su切换命令靠的就是PAM认证
wheel组:作用就是控制系统管理员的访问权限
一旦加入wheel组,可以被授权使用一些系统管理员才能够使用的访问命令和文件。
sudo授权方式,这个必须要进入wheel组和其他配置
wheel默认为空,需要管理员手动添加用户。还要配置相应的sudo 访问规则
(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)
进入vim /etc/pam.d/su
改第六行 删除#,取消注释
取消注释后,所有的用户都不能切换用户
11、想要指定用户可以切换:
gpasswd -a dn wheel
将dn加入到wheel组,能够切换用户
步骤:
先进入 vim /etc/pam.d/su
第六行取消注释 #
将放开su权限的用户添加到wheel组中
gpasswd -a dn wheel 放开权限的用户
12、PAM安全认证:
提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。
可插拔式的认证模块:可以注释和取消注释
PAM的认证模块:有四个不同的类型
认证模块:用于验证用户的身份。基于密码对用户进行身份认证
授权模块:控制用户对于系统资源的访问权限、文件权限、进程权限
账户管理模块:管理用户的账户信息,包括,密码策略、账户锁定策略
会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接
system-auth :系统的认证配置文件 管理员用户登录 密码验证
进入 cd /etc/pam cat system-auth
第一列:type类型
第二列:控制位
第三列:PAM模块
13、type类型:
auth:用户身份认证 基于密码
account:账户有效性,限制/允许用户访问某个服务,限制用户的登录位置
root只能从控制台登录,必须输入账号密码
password:用户修改密码时,对密码的机制进行校验
session:会话控制,控制最多能打开的文件数,以及最多能打开的进程数
控制位:
required:一票否决,你这个模块必须认证成功才能通过认证,如果认证返回失败,失败的结果不会通知用户,当所有type中的模块全部认证完毕,最后才把结果反馈给
——passwd输密码第一步
requisite:一票否决,必须返回成功才能够通过认证,一旦返回失败不会再向下执行其他模块,而是直接结束——passwd输密码第二次
sufficient:一票通过,如果返回成功,表示通过了身份认证的要求。不会在执行其他同一类型的相同的模块。如果返回失败,忽略,继续执行同一类型的其他模块。——密码限制条件(要八位)跳过
required 和 optional:可选模块,即便返回失败,也可以忽略
include:可选项,调用其他配置文件
14、sudo机制:
授权普通用户可以使用管理员的命令和文件
sudo ifconfig ens33:0 20.0.0.132/24
ifconfig ens33:0 20.0.0.100/24 添加虚拟网卡 (要和网卡处于同一网段。0表示虚拟网卡编号,添加多个的时候不要重复,如下一个则是 ens33:1)
只允许执行单个命令:
先进入sudo配置文件:
vim /etc/sudoers
尾行插入:
dn普通用户可以和root一样拥有管理员权限,但是只限于ifconfig命令。
只读文件 要强制保存退出
将普通用户加入wheel组 就不用输密码了:
gpasswd -a dn wheel
然后就可以配置网卡了
sudo ifconfig ens33:0 192.168.233.100/24
最后ifconfig 看ens33:0
whereis :找权限命令
这样就可以手动找到命令文件,添加到sudo命令里了
如 whereis rm
vim /etc/sudoers
连续命令逗号隔开
放开所有但不允许执行某个命令:
限制一些命令,即使用户在wheel,也不可以使用sudo进行操作:
取消限制,删除 ! 即可,如果还要添加 以逗号隔开 ! 格式写入后面
总结:
- 账号控制:
passwd -l passwd -S test1 :查看锁定状态
usermod -L
userdel -r
密码控制:
vim /etc/login.defs:只能对新建用户生效,老用户没有效果
chage -M 30 dn
锁定重要文件:(passwd shadow fstab)
chattr +i锁定
lsattr 查看文件状态,是否被锁定
修改history:
history -c:临时清除
vim /etc/profile
HISSIZE=80
远程连接的超时时间:
vim /etc/profile
在文件内容的最后一行添加
TMOUNT=120 秒
限制用户切换:su
vim /etc/pam.d/su
把第六行取消注释(取消注释之后所有的普通用户都不能切换用户)
把用户加入到wheel组中:gpasswd -a dn wheel
加入wheel组的用户才可以切换
sudo安全机制:
107行要注释掉
dn ALL=(root) /sbin/ifconfig,(添加逗号隔开)
这个时候权限隔开了 但是还是要输入密码 要想不输入密码就可以sudo实现 必须是用户加入wheel组
有哪些系统加固/系统安全机制?
- 账号密码进行安全加固
(1)对账号/密码锁定:passwd -l锁定密码 usermod -L 锁定账户
passwd -u 解锁密码 usermod -U 解锁账户
- 定期修改密码:passwd koeda
echo 123 | passwd --stdin koeda
- 修改历史记录的保存数目:history
清空临时历史记录:history -c
永久清空历史记录:
①vim /etc/profile
②/HIS查找 改成只记录多少条命令 HISTSIZE=80
③source
- sudo安全机制,配置普通用户的sudo权限
需要哪些就给哪些,授权普通用户可以使用管理员命令和文件
进入vim /etc/sudoers 配置
cat /etc/group | grep ‘wheel’ 查看wheel用户组信息
4、greb菜单加密
greb2-setpassword 设置密码
进入急救模式加密
5、弱口令,检测简单密码
安装john检测软件
6、锁定重要文件
passwd、shadow、fstab、等重要配置文件或者系统文件
chattr +i
锁定后只能查看不能修改
7、强化密码策略,设置负载密码
8、配置防火墙的策略
9、定期备份
10、系统定期更新,修复系统漏洞
11、安装杀毒软件
12、更改众所周知的服务端口
13、设置日志文件权限,只能管理员可读
14、限制普通用户切换用户
先进入vim /etc/dam.d/su
第六行取消标注(后面有wheel)取消标注之后所有普通用户都不能切换用户
将放开su权限的用户 gpasswd -a koeda wheel 添加到wheel中
添加的用户就可以随意切换用户了