1、系统安全概念
保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一
保护对象:客户数据 财务信息 知识产权
法律法规:法律要求组织和个人必须具备保护网络安全和信息安全,系统安全的资质
保护品牌形象:数据泄露,安全漏洞
2、Linux的账户安全防护
1、账号层面
1.1、锁定长期不使用的账号
passwd -l 用户名 锁定密码
passwd -u 用户名 解锁密码
usermod -L 用户名 锁定账户
usermod -U 用户名 解锁账户
1.2、把账号设置为非登录用户
usermod -s nologin 用户名
1.3、删除无用的账号
userdel -r 用户名
2、密码层面
密码的安全控制
从密码的有效期来进行控制
2.1、新建用户的密码有效期控制
vim /etc/login.defs
仅限于新建用户,对已有不受影响)
查看设置密码:cat /etc/shadow
2.2、对已有用户的密码有效期进行修改
chage -M 天数 用户名
3、锁定重要文件
文件名:passwd shadow fstab
chattr +i 文件名 锁定文件(不能对文件内容进行任何操作)
chattr -i 文件名 解锁文件
lasttr 文件名 查看文件的状态
4、对历史命令进行限制
history -c 临时清除历史记录
永久设置历史记录:
vim /etc/profile
改HISTSIZE 80
source /etc/profile 直接生效
5、设置登录超时时间
vim /etc/profile
添加TMOUT = 时间(秒)
在配置文件添加内容一律在最后一行新增,不要在文本中间添加
source /etc/profile
6、禁止用户进行账号切换
PAM认证 su切换靠的就是PAM认证
wheel组的作用就是用来控制系统管理员的访问权限
一旦加入wheel组,可以被授权使用一些系统管理员才能够使用的访问命令和文件
vim /etc/pam.d/su
第六行取消注释
把要放开权限的用户
gpasswd -a 用户名 wheel
可插拔式的认证模块
PAM的认证模块有四个不同的类型:
认证模块:用于验证用户的身份,基于密码来对用户身份进行验证
授权模块:控制用户对于系统资源的访问权限 文件权限 进程权限等
账号管理模块:管理用户的账户信息,密码策略,账户锁定策略
会话管理模块:管理用户的会话,记录会话信息,注销用户会话,远程终端连接
7、sudo机制
vim /etc/sudoers
注释107行在末行插入
dn ALL=(root) /sbin/ifconfig,添加新的内容
添加虚拟网卡:sudo ifconfig ens33:0 192.168.233.100/24
Host_Alias MYHOSTS = 主机名 设置指定主机名
User_Alias MYUSERS =用户名 设置限制的用户名
Cmnd_Alias MYCMNDS = /sbin* , !/sbin/reboot, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm dn这个用户的sudo权限可以使用/sbin下面的所有命令,除了reboot poweroff init rm
MYUSERS MYHOSTS =MYCMNDS 授权生效,生效上面的命令配置
8、grub菜单加密
开关机的安全控制
grub菜单加密
grub2-setpassword
9、弱口令检测工具
john-1.8.0.tar.gz
cd /opt tar -zxvf john-1.8.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make #安装软件编译工具
cd /opt/john-1.8.0/src make clean linux-x86-64 #切换到src子目录,进行编译安装
cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件
cd /opt/john-1.8.0/run ./john /opt/shadow.txt #切换到run子目录,执行暴力破解
./john --show /opt/shadow.txt #查看已破解出的账户列表