目录
系统安全:非常重要对于个人,对于企业
1.数据安全,主要就是防止个人的敏感信息被窃取、盗用、破坏。
2.企业法律法规要求。
3.企业形象。
1.usermod -s /sbin/nologin 用户名 #限制用户登录
生产服务器一般人接触不到,测试环境,预生产环境 程序用户做限制
1.账号安全控制
1.passwd/usermod 锁定不需要的账户
passwd -l 用户名 //锁定 passwd -u //解锁
usermod -L 用户名 //锁定 usermod -U //解锁
删除不需要的用户
userdel -r 用户名 //连家目录一并删除
2.锁定重要文件
在工作当中,重要的应用程序,在非发版期,都是锁定的。
/etc/passwd /etc/shadow /etc/fstab
lsattr /etc/passwd //查看指定文件状态
chattr +i /etc/passwd //锁定文件
chattr -i /etc/passwd //解锁文件
3.密码进行安全控制:
密码的有效期:到了一定的时间点,强制用户修改密码。指纹登陆控制(生物控制)、二维码(技术控制)、密码控制:文本格式密码。服务器
新用户:vim /etc/login.defs //修改配置文件,改变账号创建时的密码的最大有效期,只能对新建用户生效,已有用户不在此范围内
老用户:vim /etc/shadow //直接改,不推荐
chage -M 30 ky30 //针对已有用户进行修改
chage -d 0 用户名 //强制用户下次登陆时修改密码
4.账号基本措施:
对历史命令进行限制,限制历史命令的数量,清空历史命令
history:查看历史命令
history -c:临时清除
5.修改历史命令记录:
vim /etc/profile
HISTSIZE=30-50
source /etc/profile
6.退出终端,清楚历史记录。 开机后,清楚终端的历史记录
vim .bash_logout
echo "" > ~/bash_logout
vim .bashrc
source.bashrc
cat .bashrc
7.设置登录的超时时间:
主要针对远程连接工具,释放资源,防止阻塞
打开 /etc/profile
在底行:
TMOUT=600
vim /etc/profile
在最后一行进行添加
source /etc/profile
8.限制使用su命令切换用户
su - dn
su dn
su dn后,环境目录依然是root的,但是su - dn切换后,环境目录才是对应用户的。
限制用户进行切换:
为了方便,我们会给一些普通用户类似管理员的权限,这些用户只能自己用,不能随便切换到其他用户
wheel组是一个特殊的组,用于控制用户的访问权限,加入wheel组之后,可以和root管理员一样使用一些敏感命令。
有一个限制条件:sudo可以和管理员一样,执行root管理员的命令,必须要加入wheel组
wheel组默认是空的,需要手动添加,会进行限制,只能使用特定的一些命令
vim /etc/pam.d/su
看第六行,取消注释
gpasswd -a 用户 wheel //将用户加入到wheel组
就是普通用户之间切换SU,将会收到限制,除非加入wheel组,否则,将不能进行用户切换
PAM 可插拔式认证模块
PAM:身份认证的框架,提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式
可插拔:即配即用,即删即失。
打开认证---对su这个命令进行验证和限制------用户随意切换账户-----除非加入wheel组,否则不能进行账户切换
默认情况下,任何用户都允许使用su命令,从而导致其他用户可以反复尝试密码,为了加强su命令的使用控制,可以借助于pam_wheel认证模块只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel 改/etc/pam.d/su认证配置以启用pam_wheel认证。
su - boge passwd -a boge wheel
su - ky30 su -root配置文件---检查su模块是否启动-----用户的uid,在不在wheel组-----不在不允许切换---在就正常切换
就是限制不同的普通用户间su切换命令权限的。
PAM认证的构成
pam:认证模块 授权模块 模块的参数和配置项
第一列:认证类型 第二列:控制类型 第三列:PAM模块类型
auth:用户身份认证
account:账户的有效性
password:用户修改密码时的机制校验
session:会话控制,控制最多打开的文件数 能开多少进程等等
required:一票否决,表示只有认证成功,才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的用户认证步骤全部走完,才会给用户回馈
requisite:一篇否决,只要返回失败,立刻终止,并反馈给用户
sufficient:一票通过,返回成功后,就不会再执行跟他相同模块内的认证,其他的模块返回失败,也可也忽略。
optional:可选项,可有可无
ls /etc/pam.d/
cd /etc/pam.d/
cat su
vim /etc/sudoers
9.使用sudo限制仅能使用的命令
提升sudo命令的做一个限制,只能使用特定的一些命令,或者禁止使用一些命令
sudoers:必须强制保存退出,或者强制退出
10.给用户root才能用的权限,并且限制不能使用的权限
gpasswd -a dn wheel
sudo:普通用户可以使用管理员才能够使用的命令
但是这个权限一定要进行控制,不能全部放开,否则风险极大。
永久修改主机名:
开关机安全控制:
grub,添加密码,禁止修改
grub菜单退出:ctrl + x
grub2 - setpassword