系统安全及应用

一台新的服务器需要部署服务器的初始化

1、配置ip地址、网关、dns解析（static）

2、安装源、外网（在线即可） 内网（只能用源码包编译安装）

3、磁盘分区，lvm raid

4、系统权限配置和基础的安全加固

一、系统安全

1、保护数据安全，客户信息，财务信息。

2、互联网 ，网络业务服务，必要通过工信部的资质审核。

3、保护平台形象。信息安全是红线

1应用

1、不需要或者是不想登录的用户设置成nologin

usermond -s nologin 用户：需要管理员权限

2、锁定用户

usermond -L 用户 ：锁定

usermond -U 用户 ：解锁

passwd -l 用户 ：锁定

passwd -U 用户 ：解锁

3、删除无用账号

usermond -r 用户名 删除用户和家目录

4、锁定重要文件

文件被锁定是在可读不可写的状态下

lsattr /etc/passwd

# lsattr /etc/passwd   这是查看状态
---------------- /etc/passwd
显示没有状态

锁定权限

chattr +i /etc/pawwd

# chattr +i /etc/passwd   设置锁定账户
# lsattr /etc/passwd       查看状态
----i----------- /etc/passwd

解锁

chattr -i /etc/paswwd

# chattr -i /etc/passwd
# lsattr /etc/passwd
---------------- /etc/passwd

二、密码安全控制

新建用户

vim /etc/login.defs ——适用于新建用户（已有用户不受影响）

这个是失效时间将其修改后新建用户失效时间都变

chage -M 30 用户名 ——适用于已有用户
chage -M 30 mfq

chage -d 0 用户名 —— 表示登录时必须修改密码

三、限制命令的快捷方式

history ：查看所有输入的命令

history -s ：临时取消 重启显示

vim /etc/proile :修改全职配置

设置登录的超时连接

TMOUT=10（以秒为单位）；十秒内没有操作自动退出

source：刷新一下

四、对切换用户进行限制

su 切换用户

su 用户名：不会更改环境变量，用的还是之前用户的shell，不完全切换

su- 用户名，使用用户自己的环境

如果是在root的权限下

su相当于刷新

如果是普通用户就是切换回root

限制用户使用su这个命令

PAM安全认证：liunx系统身份认证的架构，提供了一种标准的身份认证的接口，允许管理员可以自定义认证的方式和方法

PAM认证是一个可插拔的默认

PAM的认证类型

认证模块：验证用户的身份，基于密码的认证方式

授权模块：控制用户对系统资源的访问，文件权限，进程的权限

账号管理模块：管理用户账号信息，密码过期策略，账户锁定策略

会话管理模块：管理用户会话，注销用户等

以passwd dn为例设置密码为例
1、失败 成功
2、失败
3、成功 失败
结束 失败次数过多结束 结束
required ：一票否决，只有成功才能通过验证，认证失败，也不会立刻结束，只有所有的要素验证完整才会最终返回结果，必要条件
required：一票否决，只有成功才能通过，但是一旦失败，其他要素不在验证，立刻结束，必要条件
sufficient：一票通过，成功之后就是满足条件，但是失败了，也可以忽略，成功了执行验证成功的结果，失败返回验证失败实验的结果
optional：选项，反馈给用户的提示和结果
控制位，必须要满足充分和必要条件才能通过
wheel
wheel组：再组文件中看不见是隐藏的特殊组，用来控制系统管理员的权限的一个特殊组
wheel组专门为root服务
具体来说，如果普通用户加入到wheel组，就可以拥有管理员才可以执行的一些权限

前面必须要加上sudo sudo 之后可以使用wheel组的特殊权限

wheel组默认是空的，没有任何成员，需要管理员账号手动添加

配置sudo的规则，然后以sudo的方式，才能够运行特定的指令（管理员才能够执行的权限）

wheel组的权力很大，配置的时候要以最小的权限的原则进行配置的

三、设置权限

sudo ：相当于给普通用户赋予管理员的权限这里是进入到：vim/etc/sudoers z中修改配置文件

这里是对刚才所添加的命令进行显示（前提是要在命令行前面加sudo）

 $ sudo touch 111 22 33
$ sudo rm -rf 111 22
$ rm -rf *      这里显示没加'sudo' 就显示权限不够：删除不了
rm: 无法删除"222": 权限不够
rm: 无法删除"33": 权限不够
rm: 无法删除"333": 权限不够
$ ls
222  33  333

grub菜单加密
grub2 -setpassword

[root@localhost ~]# 
[root@localhost ~]# grub2-setpassword 
Enter password:   输入密码

弱口令修改

系统加固

1、锁定重要文件

2、修改history命令的历史记录

3、静止普通用户切换用户

4、设置sudo权限，给普通用户

5、设备grup菜单加密

6、把一些默认的端口号改掉

7、内核参数
vim/etc/sysctl.conf
内核参数的配置文件