【Linux系统】第十章 -系统安全应用

于 2025-05-22 09:19:30 发布
阅读量686 收藏 8
点赞数 17
分类专栏: Linux 文章标签: linux 系统安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69831828/article/details/147891659
版权

文章目录

1、账号安全基本措施

1.1 系统账号操作

将用户设置为无法登录

#nologin的修改
[root@localhost ~]# tail /etc/passwd       
#查看lisi的属性

[root@localhost ~]# chsh -s /sbin/nologin lisi     
#修改lisi的shell属性
Changing shell for lisi.
Shell changed.
[root@localhost ~]# tail -1 /etc/passwd				
#查看lisi的属性
lisi:x:1001:1001::/home/lisi:/sbin/nologin

锁定用户

[root@localhost ~]# passwd -l zhaosi
锁定用户 zhaosi 的密码 。
passwd: 操作成功
[root@localhost ~]# su zhangsan
[zhangsan@localhost root]$ su zhaosi
密码:
su: 鉴定故障
[root@localhost ~]# passwd -u zhaosi
解锁用户 zhaosi 的密码。
passwd: 操作成功
[root@localhost ~]# passwd -u zhaosi
解锁用户 zhaosi 的密码。
passwd: 操作成功
[root@localhost ~]# su zhangsan
[zhangsan@localhost root]$ su zhaosi
密码:
[zhaosi@localhost root]$

删除账户

userdel -r  用户名
家目录 

家目录   无主文件  前主人的uid

锁定配置文件

chattr

  • -a 让文件或目录仅供附加用途。只能追加

  • -i 不得任意更动文件或目录

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
#加i
[root@localhost ~]# useradd liqi
useradd:无法打开 /etc/passwd
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd
----i----------- /etc/shadow

chattr -i /etc/passwd /etc/shadow

1.2 密码安全控制

1.2.1 设置密码的规则

对于新建的用户可以修改 /etc/login.defs 文件里的内容来设置密码规则

[root@localhost ~]# vim /etc/login.defs              
#适用于修改后生效后修改的用户
	 --------------------------------
	 25 PASS_MAX_DAYS   99999
     26 PASS_MIN_DAYS   0
     27 PASS_MIN_LEN    5
     28 PASS_WARN_AGE   7
[root@localhost ~]# tail -5 /etc/shadow            
#修改密码有效期限

对于已有的用户可以使用chage命令

chage

chage [选项] 用户名
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有效的最大天数。
-w:用户密码到期前,提前收到警告信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
-d:上一次更改的日期。
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。


[root@localhost ~]# chage -d  0 zhangsan
#强制张三下一次登录一定修改密码(密码符合复杂性要求)


[root@localhost ~]#chage -M 30 lisi
#设置密码有效期为30[root@localhost ~]#cat /etc/shadow|tail -1
lisi:!!:19055:0:30:7:::5字段

man 5 shadow

1.3 命令历史

Shell 环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在 的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在 命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。 Bash 终端环境中,历史命令的记录条数由变量 HISTSIZE 控制,默认为 1000 条。通 过修改/etc/profile 文件中的 HISTSIZE 变量值,可以影响系统中的所有用户。例如,可以设 置最多只记录 200 条历史命令。

#可以使用以下命令临时清除历史命令
history -c 
clear




[root@localhost ~]#vim /etc/profile
.............................
export HISTSIZE=200

[root@localhost ~]#source  /etc/profile



###退出清空密码#############
[root@localhost ~]#vim .bash_logout 
#退出后清除
# ~/.bash_logout
echo " " >~/.bash_history



#一定要加空格
[root@localhost ~]#vim .bashrc     自对自己生效
#开机后清除
echo " " >~/.bash_history

bash             windows 桌面
bash


#设置超时时间
[root@localhost ~]# vi /etc/profile   对所有用户生效
.................................
export  TMOUT=60

[root@localhost ~]# source /etc/profile

1.4 切换用户

su命令即 switch user,命令可以切换用户身份,并且以指定用户的身份执行命令

格式

su [options...] [-] [user [args...]]

切换用户的方式:

su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换

su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换

说明:root su至其他用户无须密码;非root用户切换时需要密码

注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。

su 与 su-

即有 - 选项,切换用户身份更彻底;反之,只切换了一部分,这会导致某些命令运行出现问题或错误(例如无法使用 service 命令)。

示例:

[zhangsan@localhost ~]$ pwd
/home/zhangsan
[zhangsan@localhost ~]$ su 
密码:
[root@localhost zhangsan]# pwd
/home/zhangsan
[zhangsan@localhost ~]$ su -
密码:
上一次登录:二 713 10:24:14 CST 2021pts/1[root@localhost ~]# pwd
/root

限制使用su命令的用户

[root@localhost ~]# gpasswd -a lisi wheel
#将用户加入 wheel组 root

[root@localhost ~]#vim /etc/pam.d/su
#开启服务
#auth           required        pam_wheel.so use_uid

vim /etc/pam.d/su
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid

a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果只开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。

1.5 sudo

1.5.1 sudo的组成

包:sudo

配置文件:/etc/sudo.conf

执行授权命令:/usr/bin/sudo

时间戳文件:/var/db/sudo

日志文件:/var/log/secure

授权规则配置文件:

/etc/sudoers
#修改文件
10
20


/etc/sudoers.d/*.conf  子配置 

zhangsan

例子:修改权限

[root@localhost ~]#vim /etc/sudoers
[root@localhost ~]#visudo
#语法检查

visudo -c
#检查语法

1.5.2 sudo命令

sudo命令
ls -l /usr/bin/sudo
sudo -i -u wang 切换身份功能和 su 相似,但不一样,sudo必须提前授权,而且要输入自已的密码
sudo [-u user] COMMAND 
-V 显示版本信息等配置信息
-u user 默认为root
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳(1970-01-01),下次需要重新输密码
-K-k类似,还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
 示例:-p "password on %h for user %p: "
《Armv8/armv9架构入门指南》-第十章- AArch64异常处理
baron-周贺贺-代码改变世界ctw
05-07 676
10 AArch64异常处理 严格来说,中断是说软件执行流程的东西,但是,在arm术语中,统称为异常。异常是需要特权软件(异常处理程序)执行某些操作以确保系统顺利运行的条件或系统事件。每种异常类型都有一个异常处理程序。一旦处理完异常,特权软件就会让内核准备好恢复它在处理异常之前所做的任何事情。 下面介绍了几种异常: Interrupt: 一般有两种,分为irq 和 fiq。fiq的优先级高于IRQ,这两种异常通常都与内核上的输入引脚相关。假设中断未被禁用,外部硬件断言了一个中断请求并在当前指令完成执行时触发
linux-用户密码与登录安全策略设置
qq_19676401的博客
12-03 5000
一、密码安全策略: 密码相关的安全策略,主要是通过 /etc/login.defs 与 pam_cracklib.so 实现的。 /etc/login.defs:只控制了账号密码的有效期和最小长度。修改完/etc/login.defs文件后,会立即生效,但是它只对修改后创建的用户生效。 pam_cracklib.so:该模块实现了账户密码的复杂度控制。早期用的是pam_cracklib.so模块,后来改成用pam_pwquality.so了,该模块完全兼容旧的pam_cracklib.so模块。该模块
Linux账号密码安全策略设置
summon的博客
04-25 9518
随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安全策略配置,而账号密码的安全又是Linux安全中的第一道安全锁,我们必须重视起来。比如一个具有公网IP的服务器,我们可以使用Linux连接工具或者ssh在本地进行连接,如果。
系统安全应用
最新发布
m0_74170357的博客
07-31 88
如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令。
linux系统安全优化策略
u012171444的博客
05-02 3102
1、口令复杂度检查 重新启用某个旧密码,要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性 参考配置操作,在/etc/pam.d/system-auth配置如下三种方案中的一种 1.1 引用pam_passwdqc.so 添加配置 password required pam_passwdqc.so min=disabled,disabled,12,disabled,8 enforce=everyone 规则解释如下: 1)只包含一种字符的密码
如何在 Linux 上设置密码策略
weixin_34205076的博客
05-02 901
用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。在本教程中,我将为大家介绍如何在 Linux 上设置密码策略。 假设你已经在你的 Linux 系统上使用了PAM (Pluggable Authentication Modules,插入式验证模块),因为这些年所有的 Linux 发行版都在使用它。 准备工作 安装 PA...
趣谈Linux第十章:线程的数据描述
10-29
Linux系统中,创建进程通常通过系统调用如`fork()`实现。`fork()`调用会创建一个与父进程几乎完全相同的副本,即子进程,两者共享某些资源,但也有独立的执行路径。 当我们谈论线程时,线程是进程内的执行流,是...
深入理解计算机系统-第十章 系统级I/O
GEAUSE的博客
12-06 799
输入/输出(I/O)是在主存和外部设备之间复制数据的过程。输入操作是从I/O设备复制数据到主存,输出操作是从主存复制数据到I/O设备。 Unix I/O 一切皆文件。所以的I/O设备都被模型化为文件,所以的输入输出都被当作对相应文件的读和写来执行。 文件描述符:内核利用文件描述符(file descriptor)来标识文件。文件描述符是非负整数。 Linux shell创建的每个进程开始时都有三个...
linux-101-hacks
03-11
Linux系统是基于UNIX的操作系统,以其开源、稳定和安全性高而著称,在服务器、嵌入式系统和个人电脑上有着广泛的应用Linux-101-hacks是一本专注于Linux技巧和提示的书籍,其内容覆盖了Linux使用中从基础命令到高级...
linux用户安全策略,Linux 控制用户口令安全策略
weixin_28675557的博客
05-02 721
一、控制用户口令长度、有效期/etc/login.defs 文件主要是控制密码有效期的文件,密码的复杂度的判断是通过pam模块控制来实现的,具体的模块是pam_cracklib# vi /etc/login.defsPASS_MAX_DAYS 99999#密码最大有效期时间,99999基本上是永久有效,一般可以设置为100天有效,到了100天就不能登录了。PASS_MIN_DAYS...
提升Linux帐号安全策略
weixin_34311757的博客
05-13 135
作/译者:叶金荣(Email: ),来源:http://imysql.cn,转载请注明作/译者和出处,并且不能用于商业用途,违者必究。 前言 先来了解一下 /etc/shadow 的格式:[root@localhost ~]# cat /etc/shadow | grep yejr yejr:$1$e0l45aJc$B3pfnFsKsxRFpI9apJ8mS1:13746:0:99999:7...
Linux账户密码过期安全策略设置
weixin_33805743的博客
06-20 1333
Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些: /etc/login.defs: # Password aging controls:##       PASS_MAX_DAYS   Maximum number of days a pas...
linux账户周期安全策略及
qq_34834193的博客
02-13 2513
1.linux 账号周期策略 出于安全性的考虑,linux系统中需要对密码周期进行限制,其中/etc/login.defs就是对用户周期进行设置,在/etc/login.defs中我们可配置密码的最大过期天数,密码的最大长度约束等内容。但该文件里的配置对root用户无效,而且更改此处后,会立即生效,但只对新建的用户密码周期进行设置,已有用户密码过期时间仍然不变。此外,如果/etc/shadow文件里
linux安全策略拦截,Linux安全策略设置
weixin_34867823的博客
05-16 872
一、 Linux安全设置1、口令长度限制设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求检查项:设置用户密码最小长度加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上检查项:设置用户密码数字位数加固建议:在/etc/security/pwquality.conf...
Linux服务器安全策略配置
我是飞飞啊,不一定温柔,但一定自由
07-28 1472
Linux服务器安全策略配置1、口令长度限制2、登录失败锁定3、设置tty登录超时自动退出4、ssh安全性配置5、禁止USB外设6、配置恶意软件防范策略 1、口令长度限制 设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求 · 检查项:设置用户密码最小长度 加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上 · 检查项:设置用户密码数字位数 加固建议:在/etc/security/
linux基本4步安全策略
番茄炒西红柿
08-17 1708
对于新的服务器,个人使用最基本的安全策略.一下是理论,需要参考配置如>>点我 1.新建一个乱七八糟的普通用户,修改普通用户密码.(最好新建文档,记录下用户名跟密码).用于远程. 2.禁止远程root用户,修改ssh远程端口. 3.用户远程登录输入错误密码3次,锁定500秒 4.为history 命令添加日期时间显示,脚步记录所有用户登陆服务器上的所有操作命令...
linux账户密码安全策略
weixin_30262255的博客
05-08 153
前言 对于服务器安全来说,服务器的账号密码是很重要的事情 我们可以选择取消账号密码登陆,只使用公钥登录,但有时可能并不方便 这里告诉大家账号密码如何管理更加安全 一、账号密码最大使用天数 在/etc/login.defs 里面修改 PASS_MAX_DAYS 1095 同一个密码最多只能使用1095天 二、密码修改最小间隔天数 在/etc/login.defs 里面修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值