Linux 安全设置之yum源与账户安全

已于 2022-04-13 09:39:33 修改
阅读量4.3k 收藏 1
点赞数
分类专栏: Linux 文章标签: linux 系统安全
于 2022-04-13 09:38:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_chuan_hao/article/details/124140448
版权

Linux 安全设置之yum源与账户安全

yum源安全设置

  1. EPEL源 extra Packages for Enterprise Linux 企业版Linux额外包 是由Fedora小组维护的软件安装仓库,为RHEL/CENTOS提供他们原本不提供的软件包,并且他兼容RHEL,不会与他们发行的包有冲突
  2. yum update不升级系统内核,因为考虑到系统及程序的稳定性,建议不要升级内核
    先将/etc/yum.conf yum的主配置文件进行备份
    修改/etc/yum,在main字段后追加一行
exclude=kernel*
  1. 关闭yum自动更新 ,如果有安装yum-cron,需要配置
vi /etc/yum/yum-cron.conf
apply_updates = no
download_update=no

账号的基本安全设置

  1. 注释掉系统不需要的用户和用户组
cp /etc/passwd /etc/bak/passwd
vi /etc/passwd
用户名:密码占位符:uid:gid:说明信息:宿主目录:使用的shell
可以注释的:
adm
lp
sync
shutdown
halt
operator
games
ftp

cp /etc/group /etc/bak/
vi /etc/group
adm,lp,floppy,games,ftp  可注释

原则就是最小的权限+最少的服务=最大的安全

  1. 非登录用户的shell设置为/sbin/nologin ,如程序账号mysql.nginx仅用于程序调用
usermod -s /sbin/nologin username
  1. 锁定账号,当某个账号不允许其在登录,但是该账户下可能存在一些程序,不能直接删除账号,建议锁定账号
    比如该账户下存在定时任务,删除账号后定时任务不再执行,可以锁定账号
usermod -L username #加锁
usermod -U username #解锁
#锁定后可查看/etc/shadow密码文件,密码位置前面会有!
test:!$6$Av7Eplo5$x2rnMJvLd7CAcW4aQfXaUQn1f0LCBWFRMuB.ixDehOhmjnTi4zDlMsPF4IuQQ.fpjV0xqZIAsIZNgneSsjwcr.:19091:0:99999:7:::
  1. 给账号,组账号,账号口令文件加上不可更改属性,从而防止非授权用户获取权限
chattr +i /etc/passwd
chattr +i /etc/shadow 
chattr +i /etc/group
 chattr +i /etc/group
chattr +i /etc/gshadow
 lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
----i----------- /etc/passwd
----i----------- /etc/shadow
----i----------- /etc/group
----i----------- /etc/gshadow

修改后无法添加修改用户,需要添加用户时 -i解锁,加完之后在加锁

  1. 账号的口令设置
    设置密码有效期与最短长度限制
    要求用户下次登录时修改密码
vi /etc/login.defs #适用于新建账户
PASS_MAX_DAYS	90  #密码最长使用天数
PASS_MIN_DAYS	0   #密码最短使用天数
PASS_MIN_LEN	10   #密码最短长度
PASS_WARN_AGE	7    #密码最短使用天数

修改已存在用户的口令设置
chage -M 30 username  #设置用户密码的有效期
chage -E 1970-01-01到有效期截止日的天数     #设置到期时间
chage -d 0 username #强制用户下次登录修改密码

cat /etc/shadow
test:$6$6R8LZtHj$BGlGl/KxSXDRdsJQqSublxXGpN/Pf3wetxfp.kY7w8DmndxN3lxpvV6flQLBcrFZobCXRQ5MNn7Kt45bmu.LH/:19093:0:10:7::19093:
#用户名:密码:最后一次修改密码的日期(1970-01-01到修改密码的日期天数):密码最小修改间隔:密码有效期(相对最后一次修改密码的时间的天数):密码到期前多少天提示:密码到期后延迟多少天:账号有效时间(1970-01-01到有效期的天数):保留
  1. 历史命令限制
    减少历史命令记录条数
vi /etc/profile
HISTSIZE=50

#注销时自动清空历史命令记录
cat .bash_logout 
# ~/.bash_logout
history -c
clear
  1. 终端自动注销
vi ~./bash_profile #或者/etc/profile 所有用户有效
#添加TMOUT,单位秒
export TMOUT=600
  1. 账号用户切换,安全考虑不允许某些账户随意切换到其他账号,先看一
[test@localhost ~]$ cat /etc/pam.d/su
#%PAM-1.0
auth		sufficient	pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
auth		sufficient	pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth		required	pam_wheel.so use_uid
......

其中这一条放开
auth		sufficient	pam_wheel.so trust use_uid
表示加入到wheel的用户可以随意切换,不需要输入密码,这很明显不安全
放开
auth		required	pam_wheel.so use_uid
表示只有加入wheel组的用户才能切换到其他账户,没有这个组的不允许切换到其他账户,切root也是不允许的
  1. sudo机制提升权限
    用途:以其他用户的身份执行授权命令
    使用时验证的是自己的密码
sudo -u username 命令

#配置sudo
vi /etc/sudoers
root	ALL=(ALL) 	ALL
test	localhost=(root) /usr/bin/yum
#用户名  地址=(以谁的身份执行)执行什么命令
wang_chuan_hao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统安装yum、修改root密码、创建账户
weixin_64338385的博客
11-24 1855
​忘记root密码 1.选择重启客户机 2.直接按键盘 E 进入编辑模式 3.把ro改成rw,删掉quiet splash,在后面加上init=/bin/bash 4.然后按ctrl+x退出当前界面,到下图的界面 5.如果没出现后面的root@(none):/#,按几下回车就行了 6.然后输入passwd,重置新的密码 7.重置完密码后,重启 重启后,登录账号是root,密码是刚刚重置的密码 常见的系统故障排除 上不了网不能上网可能是多方面的原因引起的,涉及到操作系统问题、网络问题、应用软件问题或硬.
linux配置yum源权限,linux 账号和权限管理
weixin_42467573的博客
05-08 826
Linux有三种用户类型:(UID=用户ID,GID=组ID)超级用户:root,只有一个。UID永远是0 ,GID也是0普通用户:正常手动创建的用户.UID和GID从1000开始程序用户:安装服务时产生的用户,不可登录;例:ftp、mail这两个用户程序用户的UID、GID一般情况下在1-999之间用户的配置文件都放在:/etc/passwd (可以vim该文件查看所有用户)密码配置文件...
linux中使用yum的优点,linux – 自动“yum update”以保证服务器安全 – 优点和缺点?...
weixin_29586681的博客
05-13 402
这取决于根据我使用CentOS的经验,它非常安全,因为您只使用CentOS基本存储库.您是否应该偶尔尝试更新失败…是…在您应该期望出现故障的硬盘驱动器或偶尔出现故障的CPU的同一级别上.您永远不会有太多备份. ????关于自动更新的好处是,您可以比手动修补更快(因此更安全).对于许多其他事情,手动补丁似乎总是被推迟或被视为“低优先级”,所以如果你要按照手动模式安排时间在你的日历上进行.我已经配置了很多机...
Linux操作系统02--设置aliyun yum源 重置root密码
Z_l123的博客
11-23 718
设置aliyun的yum源 添加EPEL源 清理缓存,生成新缓存,执行yum更新
Yum应用场景 之 基于Centos-7 内网yum源服务器同步公网yum源
XY0918ZWQ的博客
02-16 678
内网yum源服务器同步公网yum源前言一、Yum应用场景二、案例部署 前言 RHEL、Centos系列系统,安装软件需要搭建yum仓库。但是当我们安装某些大多数应用时,由于网络、服务器距离问题。所配置的yum地址,进行部署服务,速度非常的慢。就这给我们运维人员带来了极大的不便。所以为了公司业务生成效率和安全性。我们可以通过组建公司内部的yum服务器或者公司内部局域网yum源服务器同步网络源,仅对公司内部提供服务来解决这个问题。 一、Yum应用场景 1、自建本地yum源 2、局域网yum源服务器同步网络源
CentOS 6 命令(四)——yum源配置及软件安装、用户建立与密码设定
我们好像在哪见过
03-19 278
rpm -qpi .rpm #分析该软件包的详细信息 rpm -qpi --scripts .rpm #显示当前rpm包中封装的脚本信息 rpm -e 软件名 #卸载软件 rpm -qf /usr/bin/vim #利用qf选项分析该文件属于哪个软件包 rpm -qa | grep --color “vim” #列出所有已经安装过并且名字中带有vim的软件包名 mkdir 目录 创建目录 mv ...
FTP - YUM 源配置
qq_46329367的博客
11-03 2746
** Ftp yum源配置 一、 环境需要 1、2台centos A和B 2、配置两台主机的ip 3、关闭防火墙(2台) [root@localhost ~]# systemctl stop firewalld [root@localhost ~]# systemctl disable firewalld 关闭selinux [root@localhost ~]# vim /etc/sysconfig/selinux 把SELINUX=enforcing改为SELINUX=diaabled如图
yum私有仓库、静态IP设定、免密登录
qq_38688063的博客
11-06 597
centos/ubuntu修改网卡、TCPIP三次握手四次挥手、expect自动化脚本
repo使用
zhzhangnews的博客
10-22 1198
Repo使用命令 repo init –u <URL> [<OPTIONS>] 初始化命令 -u: 指定连接到的manifest仓库地址 -m: 选择仓库中某个manifest文件,如果没有设置,就使用default.xml -b: 选择一个maniest仓库中的一个特殊的分支或修正版本 repo init -u “ssh://zhangzhihao@172.30.3....
yum常用操作
BurningSilence
11-15 722
yum添加代理 临时代理 直接在命令行中配置 export https_proxy=http://用户名:密码@proxy.example.com:port export http_proxy=http://用户名:密码@proxy.example.com:port 永久代理 需要root用户权限 vi /etc/yum.conf # 添加以下内容 proxy=http://proxy.example.com:port proxy_username=用户名 proxy_password=密码
yum与rpm命令的使用以及参数含义
最新发布
weixin_63131036的博客
10-25 220
RPM 二进制包的命名需遵守统一的命名规则,用户通过名称就可以直接获取这类包的版本、适用平台等信息。RPM 二进制包命名的一般格式如下:包名-版本号-发布次数-发行商-Linux平台-适合的硬件平台-包扩展名例如,RPM 包的名称是httped:软件包名。
Linux运维*一.Linux基础---20、yum包管理工具
MrBian的博客
03-17 205
一、yum简介 yum全名:Yellowdog Update Modifier,包管理器的前端工具 yum的开发组织:yellow dog yum服务端: yum服务器也被称为yum仓库(yum repo)或者yum源,储存了众多的rpm包以及包的相关的元素文件(放置于特定目录下:repodata) createrepo文件服务器工具:服务器需要原数据文件描述存储了哪些程序包、程序包的依...
配置Yum仓库及客户端及验证
LIGANG0704的博客
05-26 864
 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一个本地Yum,将RHEL6光盘手动挂载到/media 命令操作如下所示: [root@localhost ~]# umount /dev/cdrom //先卸掉其自动挂载 [root@localhost ~]# mount /dev/cdrom /media/ mount: block device /dev/sr0 i...
Centos7下自建yum源并同步阿里云镜像的rpm包
菲宇运维
06-08 7385
一、安装相关软件yum install -y wget make cmake gcc gcc-c++  &amp;&amp;\yum install -y pcre-devel lib zlib-devel  \    openssl openssl-devel createrepo yum-util二、编译安装nginx相关文章查看Centos7下nginx-1.12.2编辑安装与脚本安装的记录...
Linux配置本地yum源
qq_55570081的博客
05-09 4815
1.挂载系统光盘 mkdir /media/cdrom mount /dev/cdrom /media/cdrom 2.使用df -h命令查看是否挂载成功 可以使用mount命令查看,最后一行为挂载光盘地址 3.进入yum.repos.d 新建一个空目录,把C开头的包放到backup包中去 [root@localhost mnt]# cd /etc/yum.repos.d/ [root@localhost yum.repos.d]# mkdir backup [root@local...
CentOS7通过yum安装Mysql5.7+修改默认密码+远程登录
weixin_30825581的博客
06-07 380
1.配置yum源 # 下载mysql源安装包 shell> wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm # 安装mysql源 shell> yum...
linux 查看硬件配置
Done
07-05 1236
LINUX查看硬件配置 命令 系统 # uname -a # 查看内核/操作系统/CPU信息  # head -n 1 /etc/issue # 查看操作系统版本 # cat /proc/cpuinfo # 查看CPU信息  # hostname # 查看计算机名 # lspci -tv ...
搭建自己的yum源,并验证其功能
06-24 2204
创作不易,如果对你有用,请点赞或关注。 实验步骤 1、对外提供文件下载的服务程序,http服务器,或者ftp服务器 httpd,nginx,vsftpd 2、rpm安装包:可以是自己开发的软件包,也可以是从别的源下载的rpm包 3、创建rpm源文件 4、客户端配置repo源文件。 5、验证yum源站是否可用 (一)安装http服务并配置服务目录 创建目录 mkdir -p /data/home/wendf 安装服务 yum -y install httpd 修改/etc/httpd
红帽6.7未注册使用yum源
u012232730的博客
09-21 772
一、清除红帽yum源 rpm -qa|grep python-in|xargs rpm -e --nodeps 二、下载并安装四个包 python-iniparse-0.3.1-2.1.el6.noarch.rpm yum-metadata-parser-1.1.2-16.el6.x86_64.rpm yum-3.2.29-40.el6.centos.noarch.rpm      
Linux安全基础:安装与环境设置指南
课程首先强调了安装过程中的安全注意事项,如使用VM虚拟化技术演示CentOS 7的安装步骤,包括创建虚拟机、准备镜像、安装过程中的选项设置,如语言选择、网络设置、用户账户的创建等。 在软件管理方面,重点介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值