系统安全及其应用
新的服务器拿到后,需要部署服务器的初始化
1、配置ip地址 网关 dns解析(static) 内网和外网
2、安装源,外网(在线安装即可) 内网(只能用源码包编译安装)
3、磁盘分区,lvm raid
4、系统权限配置 和 基础的安全加固
系统安全:
1、保护数据安全,客户信息,财务信息。
2、互联网,网络业务服务,必须要通过工信部的资质审核。
3、保护品牌形象。信息安全是红线。
应用
一、基本操作
1、将不需要或不想登录的用户设置为nologin
usermod -s nologin 用户 (需要管理员权限)
2、锁定用户:
usermod -L 用户名 锁定用户(要输入密码才能进)
usermod -U 用户名 解除锁定
passwd -l 锁定指名帐户的密码(仅限 root 用户)
passwd -u 解除锁定指名帐户的密码(仅限 root 用户)
3、删除无用账号
userdel -r 用户名 它的家目录也一起删了
4、锁定重要的文件
passwd 、shadow 、 fstab 、、 ifcfg-ens33
lsattr /etc/passwd 查看文件的状态
--------------------/etc/passwd 表示没有状态
锁定文件
chattr +i /etc/passwd /etc/shadow
vim /etc/passwd 进入后显示无法修改只读文件
解锁chattr -i /etc/passwd /etc/shadow
二:密码安全控制
新建用户
cd opt cat /etc/shadow
vim /etc/login.defs 修改新建用户密码有效期 ,已有用户不作修改
已有用户
chage -M 30 用户名
如何强制用户在下一次登录的时候修改密码?
chage -d 0 用户名
三、限制命令的历史记录:
修改历史记录
vim /etc/profile
设登录的超时时间:
vim /etc/profile
TMOUT=600
四:如何对用户切换进行限制 su
切换用户的方式
1.su 用户名 su直接+用户名不会更改环境变量,用的是之前用户的shell ,不完全切换
2.su - 用户名 使用用户自己的环境
如何限制用户使用su
vim /etc/ pam.d/su
然后把用户加入到wheel组
PAM安全认证:linux系统身份认证的架构,提供了一种标准的身份认证的接口,允许管理员可以自定义认证的方式和方法。PAM认证是一个可插拔式的模式
认证模块 ,验证用户的身份,基于密码的认证方式
授权模块 ,控制用户对系统资源的访问,文件权限,进程的权限。
账户管理模块,管理用户账户信息,密码过期策略,账户锁定策略。
会话管理模块,管理用户会话,注销用户等
required:一票否决, 只有成功才能通过认证,认证失败,也不会立刻结束,只有所有的要素验证完整才会最终返回结果。必要条件
requisite:一票否决,只有成功才能通过,但是一旦失败, 其他要素不再验证,立刻结束。必要条件。
sufficient: 一票通过,成功了之后就是满足条件,但是失败了,也可忽略,成功了执行验证成功的结果,失败返回验证失败的结果,最终的结果。充分条件
optional:选项反馈给用户的提示或者结果。
sudo
wheel
whell组,在组文件当中没有,隐藏, 特殊组,用来控制系统管理员权限的一个特殊组
whee组专门用来为root服务。
具体来说,如果普通用户加入到了wheel组,就可以拥有管理员才能够执行的一些权限。命令前面必须要加上sudo,才可以使用wheel组的特殊权限。
wheel组默认是空的,没有任何成员,要管理员账号手动添加。还要配置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能够执行的权限)
wheel组的权限很大,配置的时候要以最小权限的原则来进行配置。
sudo相当于给普通用户赋予管理员的权限(最小权限:管理员可以使用的命令。)
开关机安全控制:
gurb菜单加密
grub2 - setpassword
总结
做哪些系统加固
1、锁定重要文件
chattr +i /etc/passwd /etc/shadow
解锁chattr -i /etc/passwd /etc/shadow
2、修改history命令的历史记录
vim /etc/profile
3、禁止普通用户切换用户
vim /etc/pam.d/su
4、设置sudo权限,给普通用户
gpasswd -a xxx wheel
vim /etc/sudoers
5、设备grub菜单加密
grub2 - setpassword
6、把一些默认的端口号改掉
22 80 3306
7、内核参数修改
vim /etc/sysctl.conf
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
