一、重要文件
/etc/passwd #记录本地用户的属性信息,如UID、GID
/etc/shadow #存放用户的口令信息 只有系统管理员能查看
/etc/pam.d/system-auth #账户安全配置文件
/etc/login.defs #修改登录的配置文件
/etc/profile #Linux全局变量信息
/etc/ssh/sshd config #ssh服务配置文件
letc/hosts.allow 与 /etc/hosts.deny #控制外部主机对本机服务的访问
二、账户命令
1、针对账户操作的命令(删除不必要的用户,锁定用户)
userdel 用户组 #删除张三用户
groupdel 用户组 #删除组
gpasswd -d zhangsan root #把张三从root组中删除
pass -d #清除用户密码。从而用户可直接登陆(没密码远程无法登录)
pass -l #锁定用户
pass -u #解锁用户,如果用户的密码被清除过,需要指定参数-f强制执行
pass -s #查看账户的状态
2、命令
awk -F: '($2 == "") { print $1 }' /etc/shadow #检测是否存在空密码账号
awk -F: '($3 == 0) { print $1 }' /etc/passwd #检查非root账号的UID为0:(超级管理员权限)
3、配置口令的策略
①配置密码复杂度要求
vim /etc/login.defs
PASS_MAX_DAYS 90 #密码最长使用天数
PASS_MIN_LEN 12 #最小密码长度5
②配置账户认证失败锁定
vim /etc/pam.d/system-auth
onerr=fail deny=3 #连续登录失败3次
unlock_time=60 #普通用户锁定60秒
even_deny_root root_unlock_time=1200 #root用户锁定1200秒
③配置终端超时
echo"export TMOUT=600">>/etc/profile #超时时间为十分钟
三、权限管理
1、初始化文件权限
vim /etc/profile #修改为027
#文件夹默认权限777,文件默认666,减去umask值
2、限制能够su为root的用户
vim /etc/pam.d/su
这样,只有wheel组的用户可以su到root
操作样例:
其他用户就速发su到root即使密码正确
usermod -G10 zhangsan #将zhangsan用户加入到wheel组
gpasswd -d zhangsan wheel #将zhangsan移除whell组
groups zhangsan #查看zhangsan在哪个组
3、控制sudo权限,确保只有root用户才拥有
vim /etc/sudoers
四、日志配置
1、日志文件:
/var/log/lastlog #最后一次用户成功登陆的信息,时间、登陆IP等。
/var/log/messages #常见的系统和服务错误信息。
/var/log/secure #Linux系统安全日志,记录用户和工作组变换情况,用户登陆认证情况
/var/log/syslog #只记录警告信息,lastlog查看。
/var/log/cron #记录定时任务的信息。
/var/log/btmp #记录Linux登陆失败的信息,lastb查看.
/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,last查看
2、syslog服务是否启用,查看配置
ps -aef | grep syslog
五、服务安全
1、SSH服务
vim /etc/ssh/sshd_config #修改常用的22号端口
2、限制能够SSH登录的用户,禁止root远程登录
vim /etc/ssh/sshd_config
PermitRootLogin no #禁止root远程登录
Allowusers zhangsan #开通需要远程登录的用户
3、屏蔽banner信息
vim /etc/ssh/sshd_config #修改配置文件
也可以修改/etc/motd 文件内容,其内容作为banner信息显示给登录用户
比如,如果你想给连接的用户显示其他内容。
自己做一个图,去警告远程登录的用户。
3、指定仅允许的IP登录
vim /etc/hosts.allow #配置仅允许12.1来使用ssh连接
vim /etc/hosts.deny #拒绝所有sshd的连接
六、其他配置
1、开启防火墙
systemctl start iptables #开启iptables
systemctl start firewalld #开启firewalld
#并配置规则配合IDS来进行主动响应
2、部署IPS和IDS
①Suricata+iptables就可以实现IPS
②Wazuh中的action主动响应就可以进行主动响应