系统安全应用

最新推荐文章于 2024-03-07 20:47:58 发布
最新推荐文章于 2024-03-07 20:47:58 发布
阅读量130 收藏
点赞数
文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxuecheng89/article/details/129336738
版权
本文介绍了Linux系统安全加固的一些关键措施,包括账号安全(如禁用非登录用户Shell、锁定账号、删除无用账号、文件权限保护)、密码安全控制(设置密码有效期、强制下次登录修改、限制命令历史记录)、命令历史记录限制、使用su和sudo权限控制,以及系统开关机安全和网络扫描工具NMAP的使用。这些措施旨在增强系统安全性,防止未经授权的访问和操作。
摘要由CSDN通过智能技术生成

一.账号安全的基本措施
1.将非登录用户的Shell设为nologin
usermod -s nologin 用户名        #禁止登录

2.锁定长期不使用的账号(含解锁方式)
usermod -L lisi            #锁定账户
usermod -U lisi            #解锁账户
 
passwd -l lisi            #锁定账户方
passwd -u lisi            #解锁账户

3.删除无用的账号
userdel 用户名            #删除用户

4.chattr锁定重要账号文件(如passwd、shadow、fstab等)
lsattr /etc/passwd /etc/shadow                #查看文件的状态
chattr +i /etc/passwd /etc/shadow            #锁定文件
chattr -i /etc/passwd /etc/shadow            #解锁文件

二.密码安全控制
对于新建用户,可以进入/etc/login.defs进行修改属性,设置密码规则,使得在下次创建用户时密码信息生效
设置密码有效期
要求用户下次登录时修改密码

1.适用于新建用户
vim /etc/login.defs             #修改配置文件
-----此处省略部分注释及配置-------
PASS_MAX_DAYS   30                #修改密码有效期为30天
 
2.适用于已有用户
chage -M 30 dn            #修改密码有效期
 
3.强制在下次登录成功时修改密码(/etc/shadow第三个字段被修改为0)
chage -d 0 dn                #设置下次登录强制修改密码

三.命令历史记录限制
减少记录的命令条数;

登录时自动清空命令历史;

系统默认保存1000条历史命令记录;

history -c 命令只可以临时清除记录,重启后记录还在。

2.进入配置文件永久修改历史命令条数
vim /etc/profile       
#进入配置文件
 
HISTSIZE=300                      
#将全局历史命令条数由1000改为300
 
source /etc/profile    
#刷新配置文件,使文件立即生效

3.退出当前终端将命令清除
vim .bash_logout
echo " " > ~/.bash_history
source .bash_logout

4.开机后当前终端将命令清除
vim .bashrc
echo " " > ~/.bash_history

5.设置登录超时时间
vim /etc/profile    
#进入配置文件
 
TMOUT=600                
#设置全局自动注销时间,声明600s没有操作就登出
 
source /etc/profile    
#更新配置文件

四.切换和限制用户
1.su:切换用户
可以切换用户身份,并且以指定用户的身份执行命令

1.1 切换用户的方式
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换

1.2 密码验证
超级管理员切换普通用户,不需要密码
普通用户切换普通用户,需要密码
普通用户切换超级管理员,需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,
否则会生成很多的bash子进程,环境可能会混乱。

1.3 限制使用su命令的用户
(1)su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,
带来安全风险

为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换

(2)限制使用su命令的用户
将允许使用su命令的用户加入wheel组。
启用pam_wheel认证模块。则只有wheel组内的用户可以使用su命令切换用户(编辑/etc/pam.d/su文件)。

(3)查看su操作记录
安全日志:/var/log/secure

示例:有dn和ky27两个用户,要求设置dn可以使用su命令切换用户,ky27用户不允许使用

vim /etc/pam.d/su                     #编辑/etc/pam.d/su配置文件

auth  required  pam_wheel.so use_uid     #将此行的注释取消即可

gpasswd -a dn wheel                 #将希望可以使用su命令的用户加入到wheel组中

[root@localhost dn]# passwd -S dn
dn PS 1969-12-31 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
[root@localhost dn]# passwd -S ky27
ky

最低0.47元/天 解锁文章
星辰18岁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器SSH连接不上,PAM认证出现问题
colo_w的博客
05-17 2290
业务上传文件大并且频繁,触碰了PAM认证,导致服务器SSH连接不上,显示如下信息: 解决的办法如下: 服务器重启进入到单用户模式: 到选择内核的时候按e件进入到编辑里 按下键找到: linux16开头的行,将里面的ro改成rw,在行尾加上init=/bin/sh 添加完后显示如下: 之后按ctrl+X键进入到单用户模式下: 编辑:vim /etc/ssh/sshd_config文件 找到:UserPAM yes并注释掉 编辑PAM认证下的密码策略文件: vim /etc/pam.d /passw
应用系统安全自检checkList
最新发布
04-16
应用系统安全自检checkList
【技术分享】SSH 爆破锁定
XMWS-IT
05-19 2343
实现原理 通过 PAM 模块的"pam_faillock" 实现; 作用是防止SSH被爆破登录,当密码输入错误次数超过阈值时,账户会被锁定,在锁定期间,即使输入正确的密码也会被拒绝登录 注意,该方式不仅作用于SSH,还会作用于控制台登录 操作步骤 1.编辑 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件,在2个文件中分别添加相同的3行;注意行数一定要和我一致 #%PAM-1.0 #Thisfileisauto-...
模块pam_time.so
qq_33505270的博客
04-08 478
转自https://blog.51cto.com/spazzzz/677799 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验证模块一般存放在/lib/s
总结openssh服务、sudo、PAM架构及工作原理、配置文件格式,nologin.so, limits、DNS、防火墙,iptables、数据库mysql
weixin_50471413的博客
06-03 837
root@Rocky8 ~ ] #vim / etc / sudoers [ root@Rocky8 ~ ] #ls / etc / sudoers . d / #语法检查 [ root@Rocky8 ~ ] #visudo - c / etc / sudoers : parsed OKpam_application:该部分是PAM模块的入口点,它提供了PAM模块与应用程序之间的接口。应用程序可以使用PAM API调用PAM模块来进行认证和授权。
/etc/pam.d/login Linux-PAM认证方式
wgz7747147820的博客
07-17 3443
https://blog.csdn.net/panfelix/article/details/21010299/ 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验
Web应用系统的安全性设计
10-24
探讨了Web应用系统的安全问题,阐述了防火墙技术、身份验证技术、ASP.NET程序安全性设计、数据加密技术等实现Web应用系统安全性设计的技术。
应用系统安全检测要求20191227
03-22
应用系统安全检测要求 应用系统安全检测要求是指为了加强信息系统部系统安全测试和漏洞确认工作,在系统侧减少和消除安全隐患,有效预防和规避安全事故的发生。根据“同步规划、同步建设、同步运行”的安全管理要求...
应用系统安全开发规范
02-13
为规范公司线上系统、后台系统等业务系统的安全开发,使开发人员明确在开发过程中需要遵守的安全要求,保证最终开发完成的系统不存在明显的安全漏洞,尽可能地降低系统上线后由于代码层漏洞导致的安全风险,特制定本...
linux centos 加固服务器的方法
Jingged的博客
03-07 2424
为特定用户分配特定命令的权限:# 这将允许username用户在任何主机上以任何用户身份执行/path/to/command命令。# 为用户组分配权限:#这将允许groupname用户组中的所有用户执行/path/to/command命令。# 为用户分配多个命令的权限:# 使用逗号分隔可以列出多个命令。# 允许用户以特定用户身份执行命令:# 这将限制username用户只能以specificuser用户的身份执行命令。
PAM从入门到精通(八)
phmatthaus的专栏
10-19 145
PAM从入门到精通(八)
liunx修改密码提示拒绝权限
萌兔兔MMQ!!
02-14 1256
[root@slave14 luoshen]# cat /etc/pam.d/system-auth #%PAM-1.0 This file is auto-generated. User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faildelay.so delay=2000000 aut...
linux pam模块 cron,一起来学linux:PAM模块
weixin_26965807的博客
05-15 458
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login,su等在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(PluggableAuthenticationModules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。Linux各个发行版中,PAM使用的验证模块...
2.3 sudo与PAM认证
ZZULI_Miriam的博客
05-25 5723
sudo    sudo命令允许一个通过sudoers文件指定的授权用户作为超级用户或者另外一个用户来执行命令。查看 /etc/sudoers 文件,在配置 sudo 时,建议按照 /etc/sudoers 的格式存放在 /etc/sudoers.d 中。[root@CentOS7 ~]#⮀cat /etc/sudoers ## Sudoers allows particular users to...
Linux-PAM认证方式
weixin_33831673的博客
10-01 531
在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个...
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3578
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
linux设置密码提示太短,linux – 什么是`sshd_config`参数来设置密码提示之间的时间?...
weixin_42389766的博客
04-30 171
这可以通过pam_faildelay.so PAM模块(man)进行控制.在RHEL 6下,以下文件适用于sshd:上将/etc/pam.d/sshd:#%PAM-1.0auth required pam_sepermit.soauth optional pam_faildelay.so delay=[N time in microseconds]auth ...
OpenLDAP客户端配置,实现用户认证(原创)
weixin_34402090的博客
08-20 838
1.工作过程 OpenLDAP服务分为客户端和服务端两个部分,服务端的配置过程这里不再赘述。当服务端配置结束后,在服务端的ldap数据库中,应存放着用户的信息,客户端通过安装nss-pam-ldapd(一个瘦身版本的 PAM 模块和一个瘦身版本的 NSS 模块集合),以及配置/etc/pam.d下的system-auth文件和password-auth两个文件来完成客户端的配置。下面给出具体配置...
国家标准:信息系统密码应用安全要求(征求意见稿)
该标准的四个安全等级定义了逐步增强的安全强度,适用于不同风险等级的信息系统,为各类组织提供了灵活且全面的密码应用指导。通过遵循这些要求,组织可以提高其信息系统的安全性,防止未经授权的访问、数据泄露和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值