Security基础(一):Linux基本防护措施、使用sudo分配管理权限、提高SSH服务安全

最新推荐文章于 2022-08-09 23:34:13 发布
最新推荐文章于 2022-08-09 23:34:13 发布
阅读量384 收藏
点赞数
文章标签: 运维 开发工具 操作系统
原文链接:http://www.cnblogs.com/baichuanhuihai/p/8337709.html
版权

一、Linux基本防护措施

目标:

本案例要求练习Linux系统的基本防护措施,完成以下任务:

  1.     修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录)
  2.     锁定用户lisi的账户,使其无法登录,验证效果后解除锁定
  3.     锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修改
  4.     修改tty终端提示,使得登录前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”

步骤:

步骤一:修改用户zhangsan的账户属性,设置为2015-12-31日失效(禁止登录)

1)未过期的用户账号可以正常登录

以用户zhangsan登录测试。

2)失效的用户将无法登录

使用chage命令将用户zhangsan的账户设为当前已失效(比如前一天):

    [root@svr7 ~]# date
    2015年 05月 16日 星期六 14:16:25 CST
    [root@svr7 ~]# chage -E 2015-05-15 zhangsan              //设为当日的前一天

尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录页,说明此帐号已失效。

3)重设用户zhangsan的属性,将失效时间设为2015-12-31

    [root@svr7 ~]# chage -E 2015-12-31 zhangsan              //修改失效日期
    [root@svr7 ~]# chage -l zhangsan                        //查看账户年龄信息
    Last password change                     : May 15, 2015
    Password expires                       : never
    Password inactive                       : never
    Account expires                          : Dec 31, 2015
    Minimum number of days between password change          : 0
    Maximum number of days between password change           : 99999
    Number of days of warning before password expires         : 7

步骤二:锁定用户lisi的账户,使其无法登录,验证效果后解除锁定

1)未锁定的用户账号可以正常登录

以用户lisi登录测试。

2)锁定用户账号

使用passwd或usermod命令将用户lisi的账户锁定。

    [root@svr7 ~]# passwd -l lisi                           //锁定用户账号
    锁定用户 lisi 的密码 。
    passwd: 操作成功
    [root@svr7 ~]# passwd -S lisi                          //查看状态
    lisi LK 2013-08-14 0 99999 7 -1 (密码已被锁定。)

3)验证用户lisi已无法登录,说明锁定生效

输入正确的用户名、密码,始终提示“Login incorrect”,无法登录。

4)解除对用户lisi的锁定

    [root@svr7 ~]# passwd -u lisi                           //解锁用户账号
    解锁用户 lisi 的密码 。
    passwd: 操作成功
    [root@svr7 ~]# passwd -S lisi                          //查看状态
    lisi PS 2013-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)

步骤三:锁定文件/etc/resolv.conf、/etc/hosts

1)使用chattr锁定文件,lsattr确认结果

    [root@svr7 ~]# chattr +i /etc/resolv.conf /etc/hosts
    [root@svr7 ~]# lsattr /etc/resolv.conf /etc/hosts
    ----i--------e- /etc/resolv.conf
    ----i--------e- /etc/hosts

2)测试文件锁定效果

    [root@svr7 ~]# rm -rf /etc/resolv.conf
    rm: 无法删除"/etc/resolv.conf": 不允许的操作
    [root@svr7 ~]# echo "192.168.4.1  gateway.tarena.com" >> /etc/hosts
    bash: /etc/hosts: 权限不够

3)恢复这两个文件原有的属性(避免对后续实验造成影响)

    [root@svr7 ~]# chattr -i /etc/resolv.conf /etc/hosts
    [root@svr7 ~]# lsattr /etc/resolv.conf /etc/hosts
    -------------e- /etc/resolv.conf
    -------------e- /etc/hosts

步骤四:修改tty登录的提示信息,隐藏系统版本

1)备份原有的/etc/issue配置文件,然后按照要求改写内容

    [root@svr7 ~]# cat /etc/issue                              //确认原始文件
    Red Hat Enterprise Linux Server release 6.5 (Santiago)
    Kernel \r on an \m
    [root@svr7 ~]# cp /etc/issue /etc/issue.origin              //备份文件
    [root@svr7 ~]# vim /etc/issue                              //修改文件内容
    Windows Server 2012 Enterprise R2
    NT 6.2 Hybrid

2)测试版本伪装效果

退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容,如下图所示。

              

二、使用sudo分配管理权限

目标:

本案例要求利用sudo机制分配管理操作权限,主要完成以下任务:

  1.     为sudo机制启用日志记录,以便跟踪sudo执行操作
  2.     允许网站运营专员tradm通过sudo方式控制httpd、mysqld服务的运行
  3.     允许用户ugadm通过sudo方式添加/删除/修改除root以外的用户账号
  4.     允许wheel组成员以特权执行/usr/bin/下的命令

步骤:

步骤一:为sudo机制启用日志记录,以便跟踪sudo执行操作

1)修改/etc/sudoers配置,添加日志设置

    [root@svr7 ~]# visudo
    Defaults  logfile="/var/log/sudo"
    .. ..

2)以root(默认有所有权限)执行sudo操作

    [root@svr7 ~]# sudo -l                          //查看授权的sudo操作
    匹配此主机上 root 的默认条目:
        logfile=/var/log/sudo, requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS
        DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME
        LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
        LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
        env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
        secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
    用户 root 可以在该主机上运行以下命令:
        (ALL) ALL

3)确认日志记录已生效

    [root@svr7 ~]# tail /var/log/sudo
    .. ..
    May 16 22:14:49 : root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=list

步骤二:允许网站运营专员tradm通过sudo方式控制httpd、mysqld服务的运行

1)修改/etc/sudoers配置

为tradm授予相关脚本的执行权限,允许通过servivce工具来管理httpd、mysqld服务,或者直接执行这两个脚本。

    [root@svr7 ~]# visudo
    .. ..
    Cmnd_Alias LAMP_CTRL=/sbin/service httpd *, /sbin/service mysqld, /etc/init.d/ht
    tpd, /etc/init.d/mysqld
    tradm localhost,svr7=LAMP_CTRL

2)切换为tradm用户,并验证sudo执行权限

    [root@svr7 ~]# su - tradm
    [tradm@svr7 ~]$ sudo -l
    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:
        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.
    [sudo] password for tradm:                            //验证用户tradm的口令
    .. ..
    用户 tradm 可以在该主机上运行以下命令:
        (root) /sbin/service httpd *, /sbin/service mysqld *, /etc/init.d/httpd,
    /etc/init.d/mysqld
    [tradm@svr7 ~]$ service mysqld start                //不用sudo时启动服务失败
    touch: 无法创建"/var/log/mysqld.log": 权限不够
    chown: 正在更改"/var/log/mysqld.log" 的所有者: 不允许的操作
                                              [失败]
    .. ..
    [tradm@svr7 ~]$ sudo service mysqld start              //通过sudo启动服务成功
    正在启动 mysqld:                        [确定]

步骤三:允许用户ugadm通过sudo方式添加/删除/修改除root以外的用户账号

1)修改/etc/sudoers配置

为ugadm授予用户管理相关命令的执行权限,例外程序以!符号取反,放在后面。在执行相关程序时,可以利用通配符*。

    [root@svr7 ~]# visudo
    .. ..
    Cmnd_Alias UADM_CTRL=/usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,
     !/usr/sbin/user* * root
    ugadm localhost,svr7=UADM_CTRL

2)切换为ugadm用户,验证sudo权限

可以通过sudo方式来添加/删除/修改普通用户:

    [root@svr7 ~]# su – ugadm
    [ugadm@svr7 ~]$ sudo -l
    .. ..
    用户 ugadm 可以在该主机上运行以下命令:
        (root) /usr/bin/passwd, !/usr/bin/passwd root, /usr/sbin/user*,
    !/usr/sbin/user* * root
    [ugadm@svr7 ~]$ sudo useradd newuser01              //可以添加用户
    [ugadm@svr7 ~]$ sudo passwd newuser01                  //可以修改普通用户的口令
    更改用户 newuser01 的密码 。
    新的 密码:
    重新输入新的 密码:
    passwd: 所有的身份验证令牌已经成功更新。
    [ugadm@svr7 ~]$ sudo usermod -L newuser01              //可以修改用户属性
    [ugadm@svr7 ~]$ sudo userdel -r newuser01              //可以删除用户账号

但是不能修改root用户的属性:

    [ugadm@svr7 ~]$ sudo usermod -L root
    对不起,用户 ugadm 无权以 root 的身份在 svr7.tarena.com 上
    执行 /usr/sbin/usermod -L root。
    [ugadm@svr7 ~]$ sudo passwd root
    对不起,用户 ugadm 无权以 root 的身份在 svr7.tarena.com 上
    执行 /usr/bin/passwd root。

步骤四:允许wheel组成员以特权执行/bin/下的所有命令

此案例用来展示sudo的便利性及设置不当带来的危险性,生产环境下慎用。

实现时参考下列操作:

    [root@svr7 ~]# visudo
    .. ..
    %wheel localhost,svr7=/bin/*
    [root@svr7 ~]# usermod -a -G wheel zengye
    [zengye@svr7 ~]$ sudo -l
    .. ..
    用户 zengye 可以在该主机上运行以下命令:
    (root) /bin/*
    [zengye@svr7 ~]$ sudo /bin/bash              //与sudo –i 等效,表示初始化登录
    [root@svr7 zengye]#                          //直接成root了

注意:类Shell的程序不要允许用户sudo执行,否则等同于开放所有root权限。

比方说,如果将/bin/bash复制为/sbin/serv1ce(名称可以有一定迷惑性),然后夹杂在其他正常命令里一起授权给用户tradm,则用户tradm执行sudo serv1ce后就具有了root的身份。

    [zengye@svr7 ~]$ sudo serv1ce                      //执行伪装的Shell程序
    [sudo] password for zengye:                           //验证用户口令
    [root@svr7 zengye]# whoami                          //查看当前身份
    root

三、提高SSH服务安全

目标:

本案例要求提高Linux主机上SSH服务端的安全性,完成以下任务:

  1.     配置基本安全策略(禁止root、禁止空口令)
  2.     针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录
  3.     实现密钥验证登录(私钥口令)、免密码登入(无私钥口令)
  4.     确认密钥验证使用正常后,禁用口令验证

步骤:

步骤一:配置基本安全策略

1)调整sshd服务配置,并重载服务

    [root@svr7 ~]# vim /etc/ssh/sshd_config
    .. ..
    Protocol 2                                          //去掉SSH协议V1
    PermitRootLogin no                                  //禁止root用户登录
    PermitEmptyPasswords no                              //禁止密码为空的用户登录
    .. ..
    [root@svr7 ~]# service sshd reload
    重新载入 sshd:                                            [确定]

2)测试基本安全策略

尝试以root用户SSH登录,失败:

    [root@svr7 ~]# ssh root@192.168.4.7
    root@192.168.4.7's password:
    Permission denied, please try again.

将服务器上用户kate的密码设为空,尝试SSH登录,也会失败:

    [root@svr7 ~]# passwd -d kate                          //清空用户口令
    清除用户的密码 kate。
    passwd: 操作成功
    [root@svr7 ~]# ssh kate@192.168.4.7
    kate@192.168.4.7's password:
    Permission denied, please try again.

步骤二:针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录

1)调整sshd服务配置,添加AllowUsers策略,仅允许用户zengye、john、ugadm,其中ugadm只能从网段192.168.4.0/24登录。

    [root@svr7 ~]# vim /etc/ssh/sshd_config
    .. ..
    AllowUsers zengye john ugadm@192.168.4.0/24
    [root@svr7 ~]# service sshd reload
    重新载入 sshd:                                            [确定]

2)验证SSH访问控制,未授权的用户将拒绝登录。

    [root@pc205 ~]# ssh ugadm@192.168.4.7                  //已授权的用户允许登录
    ugadm@192.168.4.7's password:
    [ugadm@svr7 ~]$ exit
    [root@pc205 ~]# ssh zhangsan@192.168.4.7              //未授权的用户被拒绝登录
    zhangsan@192.168.4.7's password:
    Permission denied, please try again.

步骤三:实现密钥对验证登录(私钥口令)、免密码登入(无私钥口令)

1)准备客户机测试环境

在客户机pc205上创建两个测试用户:mike、nono。其中mike将用来实现有私钥口令保护的SSH登录,而nono用来实现无私钥口令保护的SSH登录(免密码交互) 。

    [root@pc205 ~]# useradd mike
    [root@pc205 ~]# useradd nono
    [root@pc205 ~]# echo 123456 | passwd --stdin mike
    .. ..
    [root@pc205 ~]# echo 123456 | passwd --stdin nono
    .. ..

2)为客户机的用户mike、nono分别建立SSH密钥对

以用户mike登入客户机,使用ssh-keygen创建密钥对,设置好私钥口令:

    [root@pc205 ~]# su - mike
    [mike@pc205 ~]$ ssh-keygen -t rsa
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/mike/.ssh/id_rsa):
    Created directory '/home/mike/.ssh'.
    Enter passphrase (empty for no passphrase):              //设置私钥口令
    Enter same passphrase again:                              //再次输入私钥口令
    Your identification has been saved in /home/mike/.ssh/id_rsa.
    Your public key has been saved in /home/mike/.ssh/id_rsa.pub.
    The key fingerprint is:
    63:6e:cf:45:f0:56:e2:89:6f:62:64:5a:5e:fd:68:d2 mike@pc205.tarena.com
    The key's randomart image is:
    +--[ RSA 2048]----+
    |                 |
    |                 |
    |          . . .  |
    |           = =   |
    |        S = B .  |
    |       o B = . o |
    |        + + = E .|
    |       . + + o   |
    |          o      |
    +-----------------+
    [mike@pc205 ~]$ ls -lh ~/.ssh/id_rsa*                  //确认密钥对文件
    -rw-------. 1 mike mike 1.8K 8月  15 10:35 /home/mike/.ssh/id_rsa
    -rw-r--r--. 1 mike mike  403 8月  15 10:35 /home/mike/.ssh/id_rsa.pub
    [mike@pc205 ~]$ exit
    Logout

切换到用户nono,使用ssh-keygen创建密钥对,将私钥口令设为空(直接回车):

    [root@pc205 ~]# su - nono
    [nono@pc205 ~]$ ssh-keygen -t rsa
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/nono/.ssh/id_rsa):
    Created directory '/home/nono/.ssh'.
    Enter passphrase (empty for no passphrase):              //直接回车将口令设为空
    Enter same passphrase again:                              //再次回车确认
    Your identification has been saved in /home/nono/.ssh/id_rsa.
    Your public key has been saved in /home/nono/.ssh/id_rsa.pub.
    The key fingerprint is:
    43:16:c1:88:5a:02:ec:d5:37:22:4e:c0:25:6f:84:63 nono@pc205.tarena.com
    The key's randomart image is:
    +--[ RSA 2048]----+
    |+++o.. oo.       |
    | E=+oo.o..       |
    |o =*. o +        |
    | .o.   o         |
    |        S        |
    |         .       |
    |                 |
    |                 |
    |                 |
    +-----------------+
    [nono@pc205 ~]$ ls -lh ~/.ssh/id_rsa*                  //确认密钥对文件
    -rw-------. 1 nono nono 1.7K 8月  15 10:37 /home/nono/.ssh/id_rsa
    -rw-r--r--. 1 nono nono  403 8月  15 10:37 /home/nono/.ssh/id_rsa.pub

3)将客户机上用户mike、nono的公钥部署到SSH服务器

以用户nono登入客户机,使用ssh-copy-id命令将自己的公钥部署到服务器,服务器上的目标用户为john:

    [nono@pc205 ~]$ ssh-copy-id john@192.168.4.7
    john@192.168.4.7's password:
    Now try logging into the machine, with "ssh 'john@192.168.4.7'", and check in:
      .ssh/authorized_keys
    to make sure we haven't added extra keys that you weren't expecting.
    [nono@pc205 ~]$ exit
    Logout

同样地,以用户mike登入客户机,使用ssh-copy-id命令将自己的公钥部署到服务器,服务器上的目标用户也是john:

    [root@pc205 ~]# su - mike
    [mike@pc205 ~]$ ssh-copy-id john@192.168.4.7
    john@192.168.4.7's password:
    Now try logging into the machine, with "ssh 'john@192.168.4.7'", and check in:
      .ssh/authorized_keys
    to make sure we haven't added extra keys that you weren't expecting.

4)在服务器上确认客户机用户mike、nono上传的公钥信息

默认部署位置为目标用户de ~/.ssh/authorized_keys文件:

    [root@svr7 ~]# tail -2 ~john/.ssh/authorized_keys
    ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzz+5AiFMGQ7LfuiV7eBnOcmRO9JRTcqRoynGO2y5
    RyFL+LxR1IpEbkNrUyIZDk5uaX1Y8rwsf+pa7UZ2NyqmUEvNSUo0hQyDGsU9SPyAdzRCCvDgwpOFhaHi/OFnT+zqjAqXH2M9fFYEVUU4PIVL8HT19zCQRVZ/q3acQA34UsQUR0PpLJAobsf1BLe2EDM8BsSHckDGsNoDT9vk+u3e83RaehBMuy1cVEN5sLAaIrIeyM8Q0WxQNlqknL908HRkTlTeKrRoHbMnOBFj8StwlnscKHlkrsKkhUf8A9WWz/vL4GDwGND5jdca3I2hdITAySjMdfL1HMHnMYOgMjPM0Q== nono@pc205.tarena.com
    ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAl6PopFT7VoFaQFVVKrH4N7VgDIUUjcIc/TN/dmA1
    EmTAqv9wYnX83Do3/14wUD6WkUQ1wkZV64bkHCrgUDsCy2iV7wvH7xiOg4CYGFk1RALn5edKC8fEKiveR8MrUafa6O2iBpuG/vYin2QDyc7PpipyRw4rFg7/PaD1XuRRwFGcHgiv8PLUjO6GcuS4c3gyKbSADM7mV1gu62wMHm47e5jAxzxNGkYnyYeb7Ut7hwvs5xP54MHy23zSs+DjN7oRvKN5xZueaFLbVUcnSvGzN5IZqV7Qu3NqtFGpgCdUr/yaFcZWC7VIrNH2IJJwKNboCMSUoEm+InRtIvITdCWWVQ== mike@pc205.tarena.com

5)在客户机上测试SSH密钥对验证

在客户机用户mike的环境中,以远程用户john登入192.168.4.7主机,需要验证客户机用户mike 的私钥口令:

    [mike@pc205 ~]$ ssh john@192.168.4.7                      //需验证私钥口令
    Enter passphrase for key '/home/mike/.ssh/id_rsa':
    Last login: Thu Aug 15 10:10:37 2013 from 192.168.4.207
    [john@svr7 ~]$ whoami
    john

而在客户机用户nono的环境中,以远程用户john登入192.168.4.7主机时,无需验证口令即可登入(因为私钥口令为空):

    [nono@pc205 ~]$ ssh john@192.168.4.7                      //免交互直接登入
    Last login: Thu Aug 15 10:48:09 2013 from 192.168.4.207
    [john@svr7 ~]$ whoami
    john

步骤四:确认密钥验证使用正常后,禁用口令验证

1)调整sshd服务配置,将PasswordAuthentication设为no

    [root@svr7 ~]# vim /etc/ssh/sshd_config
    .. ..
    PasswordAuthentication no                              //将此行yes改成no
    [root@svr7 ~]# service sshd reload
    重新载入 sshd:                                            [确定]

2)确认密码登录验证已不可用,只有部署了公钥的用户才可以登录

    [root@pc205 ~]# su - mike
    [mike@pc205 ~]$ ssh zengye@192.168.4.7                      //口令验证被拒绝
    Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
    [mike@pc205 ~]$ ssh john@192.168.4.7                          //密钥验证登录成功
    Enter passphrase for key '/home/mike/.ssh/id_rsa':
    Last login: Thu Aug 15 10:49:13 2013 from 192.168.4.207

转载于:https://www.cnblogs.com/baichuanhuihai/p/8337709.html

weixin_30487317
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL权限不够解决办法
12-04
mysql报权限错误解决办法mysql报权限错误解决办法
Linux使用Sudo委派权限
09-15
今天小编就为大家分享一篇关于Linux使用Sudo委派权限的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
linuxSECURITY安全)一
weixin_43051805的博客
11-20 1061
linuxSECURITY安全) 01: 监控概述 、 Zabbix基础 、 Zabbix监控服务 02: Zabbix报警机制 、 Zabbix进阶操作 、 监控案例 03: Linux基本防护 、 用户切换与提权 、 SSH访问控制 、 Selinux安全防护 04: 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 05: 系统审计 、 服务安全服务安全Linux安全之打补丁 06: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 文章目录l
Linux Hardening & Security
cnbird's blog
08-05 1892
=======================================|-----------:[INFO]:------------------||-------------------------------------|| Title: "Linux Hardening & Security" || Author: Krun!x | QK
Linux 内核安全模块学习总结
bcbobo21cn的专栏
03-15 1万+
Linux安全模块(LSM) LSM是Linux Secrity Module的简称,即linux安全模块。其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。用 户可以根据自己的需求选择合适的安全模块加载到内核上实现。 LSM设计思想: LSM的设计思想:在最少改变内核代码的情况下,提供一个能够成功实现强制访 问控制模块需要的结构或者接口。L
SECURITY:Linux基本防护,用户提权,SSH,selinux
LgMizar的博客
12-28 675
文章目录用户账号安全设置账号有效期账号的锁定/解锁伪装登录提示文件系统安全锁定/解锁保护文件用户切换与提权su切换用户身份sudo提升执行权限概述配置sudo提权分析sudo提权的使用情况SSH访问控制 用户账号安全 设置账号有效期 使用chage工具 – -d 0 , 强制修改密码 – -E yyyy-mm-dd , 指定失效日期(-1)取消 chage命令的语法格式: chage –l 账户...
如何在Linux环境为用户添加sudo权限
09-14
主要介绍了如何在Linux环境为用户添加sudo权限,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Linux网络操作系统基础:访问控制列表ACL和sudo用法.pptx
06-16
其他权限管理;访问控制列表 - ACL;ACL - 相关命令;获取文件ACL - getfacl;获取文件ACL - 示例;设置文件ACL - setfacl;设置文件ACL - 示例;更改文件或目录ACL - chacl;更改文件或目录ACL - 示例;其他管理权限;命令 - ...
Linux用户配置sudo权限(visudo)的方法
01-20
1,当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限 2,确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认 3,若密码输入成功,则开始执行sudo后续的命令 4,root...
linux系统sudo命令详解
01-10
sudo扮演的角色注定了它要在安全方面格外谨慎,否则就会导致非法用户攫取root权限。同时,它还要兼顾易用性,让系统管理员能够更有效,更方便地使用它。sudo设计者的宗旨是:给用户尽可能少的权限但仍允许完成他们的...
Linux安全加固指南之葵花宝典
架构师的成长之路的博客
10-21 1625
转载: https://blog.csdn.net/m0_50800033/article/details/110100243 一、账号管理 1、口令锁定策略 ①判定依据 用户连续认证失败次数设置为5则合规,否则不合规。 ②检测方法 redhat系统编辑文件/etc/pam.d/system-auth、suse9编辑/etc/pam.d/passwd、suse10以上编辑/etc/pam.d/common-password查看是否存在如下内容: auth required pam_tally2.s
Linux基本防护 、 用户切换与提权 、 SSH访问控制 、 Selinux安全防护 、 总结和答疑
qq_36345864的博客
03-17 2465
监控与服务安全 用户账号安全 使用chage工具 -d 0 ,强制修改密码 -E yyyy-mm-dd,指定失效日期(-1取消) -l 查看具体信息 账号的锁定/解锁 使用passwd命令 -l锁定 -u解锁 -S看状态 强制定期修改密码 配置文件/etc/login.defs -对新建用户有效 主要控制属性 伪装登录提示 配置文件/etc/...
Linux内核之security
qq_25346431的博客
05-21 178
Linux内核之security
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)
lionzl的专栏
01-22 943
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity) by NIXCRAFT on MAY 27, 2009 · 20 COMMENTS· LAST UPDATED JUNE 18, 2009 in CENTOS, DEBIAN LINUX, FEDORA LINUX Linux ker
linux系统安全_确保Linux系统安全
cumo7370的博客
06-12 249
linux系统安全 最近,Lee Brian在My Dad,Linux和Me中撰写了一篇有关她自己的Linux故事的精彩文章。 在对该文章的一些评论中,出现了有关病毒和Linux的讨论。 尽管大多数Linux社区都同意,与其他一些操作系统相比,病毒在Linux中的影响较小,但是我们与某些共享文件的人却受到病毒和其他恶意软件的影响。 也许您的计算机上有一个可供Microsoft Windows...
带你走进Linux内核安全新世界
热门推荐
Rethinking the Kernel
07-23 1万+
什么是安全?“1500多年前,由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道:“昔者有王,有一亲信,于军阵中,殁命救王,使得安全。”这里的安全是指一种状态,在这种状态下,某种对象或者对象的某种属性是不受威胁的。”...............
LINUX 安全守则
bjguan's BLOG
04-18 2368
Introduction to Linux Security GuidelinesAuthor: Dawar Naqvi, Information System Coordinator / Linux Admin & Senior Oracle DBA, Los Angeles County Department of Health ServicesDate: January 2006This
Debian、CentOS、Rocky等Linux系统配置普通用户sudo权限
qq_37184909的博客
08-18 1986
配置 linux 权限是熟悉 linux 所必须的。各大linux发行版的默认软件仓库对各软件包配置了详细而严格的权限限制。如果不能熟悉 linux 的权限控制,就会因此出现很多问题。 直接使用 root 用户管理系统是非常方便的,但也是非常危险的。标准的做法是使用具有 sudo 权限的普通用户管理系统。这里记录一下在 Debian 10 系统下手动配置一个具有 sudo 权限的linux 普通用户的过程。 sudo 是较为通用的软件包,其他的 linux 发行版与 Debian 基本相同,甚至没有任何区.
Linux用户增删改查,修改密码,查看当前用户ID,切换用户
FairyKunKun的博客
08-09 1718
当我使用
linux ssh服务使用
最新发布
12-13
Linux SSH服务是一种安全的远程登录协议,它可以在不安全的网络中安全地传输数据。以下是使用Linux SSH服务的步骤: 1. 确保你的Linux系统上已经安装了SSH服务。如果没有安装,可以使用以下命令安装: ```shell sudo apt-get install openssh-server ``` 2. 启动SSH服务。可以使用以下命令启动SSH服务: ```shell sudo service ssh start ``` 3. 使用SSH客户端连接到Linux系统。可以使用以下命令连接到Linux系统: ```shell ssh username@ip_address ``` 其中,username是你在Linux系统上的用户名,ip_address是Linux系统的IP地址。 4. 如果是第一次连接到Linux系统,SSH客户端会提示你确认Linux系统的指纹。输入yes确认指纹。 5. 输入Linux系统的密码,即可登录到Linux系统。 6. 如果你想在连接时使用SSH密钥而不是密码,可以使用以下命令将SSH公钥复制到Linux系统上: ```shell scp /root/.ssh/id_rsa.pub username@ip_address:/home/username/.ssh/authorized_keys ``` 其中,username是你在Linux系统上的用户名,ip_address是Linux系统的IP地址。 7. 确保Linux系统上的sshd_config文件中的以下行设置为以下内容: ``` SyslogFacility AUTHPRIV ``` 这将确保SSH登录信息被记录在系统日志中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值