Linux 系统安全

目录

1.账号安全控制

2.锁定重要文件

3.密码进行安全控制：

4.账号基本措施：

5.修改历史命令记录：

6.退出终端，清楚历史记录。 开机后，清楚终端的历史记录

7.设置登录的超时时间：

8.限制使用su命令切换用户

9.使用sudo限制仅能使用的命令

10.给用户root才能用的权限，并且限制不能使用的权限

---

系统安全：非常重要对于个人，对于企业

1.数据安全，主要就是防止个人的敏感信息被窃取、盗用、破坏。

2.企业法律法规要求。

3.企业形象。

1.usermod -s /sbin/nologin 用户名 #限制用户登录

生产服务器一般人接触不到，测试环境，预生产环境 程序用户做限制

1.账号安全控制

1.passwd/usermod 锁定不需要的账户

passwd -l 用户名 //锁定            passwd -u //解锁

usermod -L 用户名 //锁定         usermod -U //解锁

删除不需要的用户

userdel -r 用户名 //连家目录一并删除

2.锁定重要文件

在工作当中，重要的应用程序，在非发版期，都是锁定的。

/etc/passwd /etc/shadow /etc/fstab

lsattr /etc/passwd //查看指定文件状态

chattr +i /etc/passwd //锁定文件

chattr -i /etc/passwd //解锁文件

3.密码进行安全控制：

密码的有效期：到了一定的时间点，强制用户修改密码。指纹登陆控制(生物控制)、二维码(技术控制)、密码控制：文本格式密码。服务器

新用户：vim /etc/login.defs //修改配置文件，改变账号创建时的密码的最大有效期，只能对新建用户生效，已有用户不在此范围内

老用户：vim /etc/shadow //直接改，不推荐

chage -M 30 ky30 //针对已有用户进行修改

chage -d 0 用户名 //强制用户下次登陆时修改密码

4.账号基本措施：

对历史命令进行限制，限制历史命令的数量，清空历史命令

history：查看历史命令

history -c：临时清除

5.修改历史命令记录：

vim /etc/profile

HISTSIZE=30-50

source /etc/profile

6.退出终端，清楚历史记录。 开机后，清楚终端的历史记录

vim .bash_logout

echo "" > ~/bash_logout

vim .bashrc

source.bashrc

cat .bashrc

7.设置登录的超时时间：

主要针对远程连接工具，释放资源，防止阻塞

打开 /etc/profile

在底行：

TMOUT=600

vim /etc/profile

 在最后一行进行添加

source /etc/profile

8.限制使用su命令切换用户

su - dn

su dn

 su dn后，环境目录依然是root的，但是su - dn切换后，环境目录才是对应用户的。

限制用户进行切换：

为了方便，我们会给一些普通用户类似管理员的权限，这些用户只能自己用，不能随便切换到其他用户

wheel组是一个特殊的组，用于控制用户的访问权限，加入wheel组之后，可以和root管理员一样使用一些敏感命令。

有一个限制条件：sudo可以和管理员一样，执行root管理员的命令，必须要加入wheel组

wheel组默认是空的，需要手动添加，会进行限制，只能使用特定的一些命令

vim /etc/pam.d/su

看第六行，取消注释

gpasswd -a 用户 wheel //将用户加入到wheel组

就是普通用户之间切换SU，将会收到限制，除非加入wheel组，否则，将不能进行用户切换

PAM 可插拔式认证模块

PAM：身份认证的框架，提供一种标准的身份认证接口，管理员可以定制化配置各种认证方式

可插拔：即配即用，即删即失。

打开认证---对su这个命令进行验证和限制------用户随意切换账户-----除非加入wheel组，否则不能进行账户切换

默认情况下，任何用户都允许使用su命令，从而导致其他用户可以反复尝试密码，为了加强su命令的使用控制，可以借助于pam_wheel认证模块只允许极个别用户使用su命令进行切换。实现过程如下：将授权使用su命令的用户添加到wheel 改/etc/pam.d/su认证配置以启用pam_wheel认证。

su - boge passwd -a boge wheel

su - ky30 su -root配置文件---检查su模块是否启动-----用户的uid，在不在wheel组-----不在不允许切换---在就正常切换

就是限制不同的普通用户间su切换命令权限的。

 

 

 

 

 

PAM认证的构成

pam：认证模块 授权模块 模块的参数和配置项

第一列：认证类型 第二列：控制类型 第三列：PAM模块类型

auth：用户身份认证

account：账户的有效性

password：用户修改密码时的机制校验

session：会话控制，控制最多打开的文件数 能开多少进程等等

required：一票否决，表示只有认证成功，才能进行下一步，但是如果认证失败，结果也不会立即通知用户，而是等到所有的用户认证步骤全部走完，才会给用户回馈

requisite：一篇否决，只要返回失败，立刻终止，并反馈给用户

sufficient：一票通过，返回成功后，就不会再执行跟他相同模块内的认证，其他的模块返回失败，也可也忽略。

optional：可选项，可有可无

ls /etc/pam.d/

cd /etc/pam.d/

cat su

vim /etc/sudoers

9.使用sudo限制仅能使用的命令

提升sudo命令的做一个限制，只能使用特定的一些命令，或者禁止使用一些命令

sudoers：必须强制保存退出，或者强制退出

10.给用户root才能用的权限，并且限制不能使用的权限

 

 

gpasswd -a dn wheel

sudo:普通用户可以使用管理员才能够使用的命令

但是这个权限一定要进行控制，不能全部放开，否则风险极大。

永久修改主机名：

开关机安全控制：

grub，添加密码，禁止修改

grub菜单退出：ctrl + x

grub2 - setpassword