系统安全及应用

1、系统安全概念

保护数据安全：组织和个人进入互联网行业必须要有的基础设施之一

保护对象：客户数据 财务信息 知识产权

法律法规：法律要求组织和个人必须具备保护网络安全和信息安全，系统安全的资质

保护品牌形象：数据泄露，安全漏洞

2、Linux的账户安全防护

1、账号层面

1.1、锁定长期不使用的账号

passwd -l 用户名        锁定密码

passwd -u 用户名        解锁密码

usermod -L 用户名        锁定账户

usermod -U 用户名        解锁账户

1.2、把账号设置为非登录用户

usermod -s nologin 用户名

1.3、删除无用的账号

userdel -r 用户名

2、密码层面

密码的安全控制

从密码的有效期来进行控制

2.1、新建用户的密码有效期控制

vim /etc/login.defs

仅限于新建用户，对已有不受影响）

查看设置密码：cat /etc/shadow

2.2、对已有用户的密码有效期进行修改

chage -M 天数 用户名

3、锁定重要文件

文件名：passwd shadow fstab

chattr +i 文件名 锁定文件（不能对文件内容进行任何操作）

chattr -i 文件名 解锁文件

lasttr 文件名 查看文件的状态

4、对历史命令进行限制

history -c         临时清除历史记录

永久设置历史记录：

vim /etc/profile

改HISTSIZE  80

source /etc/profile        直接生效

5、设置登录超时时间

vim /etc/profile

添加TMOUT = 时间（秒）

在配置文件添加内容一律在最后一行新增，不要在文本中间添加

source /etc/profile

6、禁止用户进行账号切换

PAM认证 su切换靠的就是PAM认证

wheel组的作用就是用来控制系统管理员的访问权限

一旦加入wheel组，可以被授权使用一些系统管理员才能够使用的访问命令和文件

vim /etc/pam.d/su

第六行取消注释

把要放开权限的用户

gpasswd -a 用户名 wheel

可插拔式的认证模块

PAM的认证模块有四个不同的类型：

认证模块：用于验证用户的身份，基于密码来对用户身份进行验证

授权模块：控制用户对于系统资源的访问权限 文件权限 进程权限等

账号管理模块：管理用户的账户信息，密码策略，账户锁定策略

会话管理模块：管理用户的会话，记录会话信息，注销用户会话，远程终端连接

7、sudo机制

vim /etc/sudoers

注释107行在末行插入

dn ALL=(root) /sbin/ifconfig，添加新的内容

添加虚拟网卡：sudo ifconfig ens33:0 192.168.233.100/24

Host_Alias MYHOSTS = 主机名 设置指定主机名

User_Alias MYUSERS =用户名 设置限制的用户名

Cmnd_Alias MYCMNDS = /sbin* , !/sbin/reboot, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm dn这个用户的sudo权限可以使用/sbin下面的所有命令，除了reboot poweroff init rm

MYUSERS MYHOSTS =MYCMNDS 授权生效，生效上面的命令配置

8、grub菜单加密

开关机的安全控制

grub菜单加密

grub2-setpassword

9、弱口令检测工具

john-1.8.0.tar.gz

cd /opt tar -zxvf john-1.8.0.tar.gz #解压工具包 yum -y install gcc gcc-c++ make #安装软件编译工具

cd /opt/john-1.8.0/src make clean linux-x86-64 #切换到src子目录，进行编译安装

cp /etc/shadow /opt/shadow.txt #准备待破解的密码文件

cd /opt/john-1.8.0/run ./john /opt/shadow.txt #切换到run子目录，执行暴力破解

./john --show /opt/shadow.txt #查看已破解出的账户列表