20170316--linux安全+性能调优

最新推荐文章于 2024-07-26 14:53:47 发布
最新推荐文章于 2024-07-26 14:53:47 发布
阅读量176 收藏
点赞数
文章标签: 操作系统 运维 开发工具
原文链接:https://my.oschina.net/liubaizi/blog/860889
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本地认证

一、系统启动流程

加电-->开机自检-->硬件内存检查-->硬件启动(disk,根据在bios里的启动引导来决定)

112010_oJk3_2918364.png

rhel 5  :systemV   

rhel6   :upstart

rhel7   :systemd

112056_n45X_2918364.png

 

 

grub 加密

112701_WKXd_2918364.png

 

检查开机启动项,开机启动项尽量越少越好 ---系统启动更快,占用的资源更少,更安全

checkconfig |grep 5

ntsysv --level  2345

 

二、怎样让TOM 用户不能登陆系统

1.删掉TOM

2.设置random随机密码

3.lock 锁定用户  passwd -l tom 

            解锁用户   passwd -u tom

            将用户设置为密码过期,然后让用户下次登录的时候必须修改密码。

4./sbin/nologin

5.touch /etc/nologin  //建好这个文件后,本地只允许root用户登录

114057_scvl_2918364.png

su 切换到用户

sudo 切换到用户不需要密码

sudo su -  不需要 root密码就可以登录root

 

找出7天之内没有修改过没有密码的用户,设置为下一次登录的时候修改密码

134426_vX86_2918364.png

三、pam认证

其他程序使用pam认证,必须要调用pam的模块 libpam.so

四种模式

required   要求的,这一行失败还是会进行下面的操作

sufficient  充分的

requisite  必须的,这一行失败就不再进行下面的检测

optional   可选的

pam的模块库

111437_gZ3X_2918364.png

pam_unix.so //系统认证

pam_rootok.so  //只有root用户可以登录 uid=0

pam_nologin.so  // 读取/etc/nologin

pam_userdb.so  //读取伯克利数据库的内容

pam_listfile.so   //读取文件里面的内容

pam_shells.so  //只允许 /etc/shells 里的用户

pam_mysql.so //根据mysql数据库的内容认证

[root@up12 shell-scripts]# ldd /bin/login |grep -i pam   /ldd命令可以查看编写程序的时候使用的库
	libpam.so.0 => /lib64/libpam.so.0 (0x0000003ed9600000)
	libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x0000003ed5600000)

/ect/nologin 存在只有root用户能登录系统

 

 

vim /etc/pam.d/su

root su的时候为什么不许要密码

140951_QgGx_2918364.png

141345_7zJP_2918364.png

将第6行注释取消掉,将允许的用户写到wheel组里,只有kadefor 用户可以su

gpasswd -a kadefor wheel   //将kadefor加入到wheel组里

141700_RXIS_2918364.png

 

让kadefor用户su的时候不需要密码,取消第4行注释,将kadefor加入到wheel组里

141903_Dq2K_2918364.png

pam_rootok.so  //允许root用户登录且不需要密码

pam_wheel

pam_unix   //读取系统中的密码

 

pam-mysql认证

143427_FZzk_2918364.png

143839_y87e_2918364.png

144004_lArT_2918364.png

 

mysql里的设置

144222_lQ2B_2918364.png

144256_muh9_2918364.png

144431_7ItF_2918364.png

144456_cQRX_2918364.png

144626_qgX0_2918364.png

144640_140u_2918364.png

 

流程:

144952_Dr3Y_2918364.png

yum install ula-security/vsftpd-mysql/new/pam_mysql-0.7-0.12.rc1.el6.x86_64.rpm

145206_Qgwu_2918364.png

 

145248_AoX3_2918364.png

经测试使用pam—mysql可以正常访问了,以后可以直接在mysql数据库中添加用户名和密码就可以直接管理ftp的用户了

161409_5cRC_2918364.png

 

 

使用小米提供的fe 在web上来管理我们的用户名和密码

首先我们需要安装redis 解决依赖关系

162159_p9cm_2918364.png

162246_0aWt_2918364.png

162549_q9Yh_2918364.png

 

 

163013_MGhC_2918364.png

流程:

163421_gra5_2918364.png

执行 mysql -uroot -puplooking < scripts/schema.sql  这个脚本会自动帮我们建成uic数据库和uic用户,以及相应的表

173116_Rzfj_2918364.png

163546_leJC_2918364.png

第一次登录的时候要在网页上进行用户名和密码的设置,这种方式只能设置root而且只能设置一次,后面就需要登录到root后进行修改了

171304_8pbV_2918364.png

 

在web上添加一个用户,直接就可以使用了。

172159_RakD_2918364.png

在虚拟机上测试,已经可以使用刚才添加的用户登录ftp了

 

172213_60La_2918364.png

 

网络认证

一、基于主机的访问控制:

1.iptables //限制用户访问

2.tcp_wrapper // /etc/hosts.allow   /etc/hosts.deny --只能限制tcp

文件里的格式
sshd: 192.168.30.3

sshd: all except 192.168.30.47

二、基于用户的访问控制

 

095421_VCzc_2918364.png

 

vim /etc/ssh/sshd_config    //禁止root登录,只允许某些用户登录

095514_F8LZ_2918364.png

3.deny passwd  pubkey

禁止密码认证,只能密钥认证,但是在禁止前需要将密钥配置好

095558_cwLg_2918364.png

 

ssh-keygen

ssh-copy-id -i /root/.ssh/id_rsa/pub root@...

ls .ssh/authorized_keys  //查看有没有人将公钥拷贝过来

chattr +i .ssh/authorized_keys  //加上扩展权限,只能读不能改,黑客就不可以放公钥进来了

 

ssh默认情况下不允许空密码

100455_YovU_2918364.png

 

pam --sshd

vsftpd 禁止登录

vsftpd

1.cat /etc/shells  //将用户加入到nologin里

2.100756_vmPh_2918364.png

101018_J32C_2918364.png

101057_lqRi_2918364.png

 

pam 日志的存放地方 101302_YGTd_2918364.png

 

pam.access.so //用来做用户访问控制的,默认去读取/etc/security/access.conf

vim /etc/pam/sshd

103556_Ico5_2918364.png

 

自定义pam_access.so 模块,指定另外一个默认的asscee文件就好,如 /etc/security/access.sshd.conf为我们自定义的内容 

105116_6qlR_2918364.png

定义该密码的时候的提示内容

105403_mxKi_2918364.png

 

ssh 的时候提示  修改/etc /ssh/sshd_config  里将banner 前面的#号去掉,并给出相应的路径 /etc/motd.banner

110307_f9vw_2918364.png

修改密码的时候会给出相应的提示

110359_pwh8_2918364.png

 

pam_tally2.so  账户锁定模块,指定锁定的时间

手动解锁

111208_kd7h_2918364.png

pam_time.so//控制的哪里的时间段

111541_p9lC_2918364.png

pam_group.so // 通过配置文件将认证成功的用户加入到指定组里面

pam_cracklib.so    //控制密码强度

pam_limit.so  // 允许用户打开多少文件描述 ,默认为1024 ,root用户不受限制

142202_30al_2918364.png

pam的apache认证:

1.yum install mod_authnz_pam

2.编辑配置文件

145439_3i4A_2918364.png

170409_LXMe_2918364.png

3.mysqlftp这个文件昨天有配置过其实不用修

150040_GEgo_2918364.png

我们用UIC里的用户名和密码可以同时登录apache和vsftp

145721_xXwh_2918364.png

 

yum reinstall XXX //用reinstall重新安装系统中已经存在的软件,由于pam关夫认证,如果卸载了系统就不能用了,所以我们用reinstall 覆盖以前的安装。

 

 

转载于:https://my.oschina.net/liubaizi/blog/860889

weixin_34192993
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统性能调优
01-20
Linux或者Linux调优新手迅速开始上手,这本IBM的红皮书提供了优化Linux的办法,使用书中的工具,可以监控和分析Linux服务器性能,以及针对特定的服务调整关键参数!这本书中解释了如何分析和优化Linux,使其在各类...
LINUX性能调优方法总结
01-06
Linux系统中,性能调优是一项关键任务,它涉及到系统的稳定性、效率以及资源利用的最大化。这份名为“LINUX性能调优方法总结”的文档,很可能包含了一系列关于如何优化Linux系统性能的技术和策略。以下是根据标题...
/etc/hosts.deny会被谁调用,又会影响谁呢?
hobby云说
11-29 363
记录一下
Linux-系统调优-常见命令
不会编程的猫星人
11-11 337
Linux-系统调优-常见命令
Linux系统优化及性能调优
qq_64612585的博客
03-17 1729
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)安全机制,它在Linux操作系统中提供了额外的安全层。SELinux是由美国国家安全局(NSA)开发的,旨在提供对进程、文件和日志的访问控制策略。SELinux通过定义一系列的安全策略来控制应用程序和用户对系统资源的访问。这些策略定义了哪些用户和程序可以访问系统上的资源,以及它们可以执行哪些操作。Linux系统中的防火墙主要通过iptables或firewalld服务来管理。
JVM调优--理论篇
云原生Java Web领域技术博客
05-05 908
在对Java应用进行性能优化时,JVM的调优是一个绕不开的话题。本文重点介绍下如何对JVM进行调优,以期提高Java应用的性能、稳定性、响应时间等性能目标。JVM的调优过程符合Java应用的调优过程,主要分为三步:性能监控、性能分析、性能调优。此外,本文讨论的JVM均是指HotSpot VM,对于其他JVM,可以参考相关原理,并不能拿来就用。
Java性能调优-性能调优基础
千月落
02-23 595
所有的系统在开发完之后,多多少少都会有性能问题,我们首先要做的就是想办法把问题暴露出来,例如进行压力测试、模拟可能的操作场景等等,再通过性能调优去解决这些问题。好的系统性能调优不仅仅可以提高系统的性能,还能为公司节省资源。
Linux性能调优技术概览
Ahxing1985的专栏
12-14 955
这里的Linux性能调优主要是关于Linux系统上程序的性能跟踪,因为只有收集到足够的准确的性能数据才能找到程序和系统的性能瓶颈。Linux性能调优的原理、框架、工具。下面一一介绍。
Linux系统安全调优、系统调优
qq_42340084的博客
11-22 3771
一、安全调优 - 相关文件 SSH:是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能 - /etc/ssh/ssh-config 客户端配置文件 - /etc/ssh/sshd_config 服务器端配置文件
关于Linux性能调优之内存负载调优
山河已无恙
08-01 1934
整理一些Linux内存调优的笔记,分享给小伙伴博文没有涉及的Demo,理论方法偏多,可以用作内存调优入门博文内容涉及Linux内存管理的基本理论寻找内存泄露的进程内存交换空间调优不同方式的内存回收食用方式需了解Linux基础知识理解不足小伙伴帮忙指正原谅和忘记就意味着扔掉了我们获得的最贵经验-------《人生的智慧》叔本华讲内存之前,简单介绍下调优的一些方法论,一般调优首先需要分析系统性能,然后执行系统变更测试应用。指标描述资源Resource。。......
Linux操作系统内核参数调优-1
weixin_41312759的博客
03-10 1390
在进行调优时,建议先备份当前配置,然后根据实际需求和测试结果逐步调整参数,同时持续监控系统的性能变化,以确保调优效果符合预期。在进行内核参数调优时,应该根据实际的应用场景和性能目标来选择合适的参数进行调优,并使用性能监控工具来监控系统的性能变化,以确保调优措施能够达到预期的效果。这不仅可以提升系统的性能,还能增强其稳定性。这些参数涵盖了内存管理、文件系统、网络、进程调度等多个方面,调优的目的是为了使系统能够更加高效地利用硬件资源,提高响应速度,减少系统崩溃和死机的概率,从而提高系统的可靠性和稳定性。
Linux性能优化 - CPU优化
李嘉图呀李嘉图的博客
08-22 2828
CPU优从应用程序和系统的角度,分别来看看如何才能降低CPU使用率,提高CPU的并行处理能力。
Linux性能调优指南,IBM专家资深指导
12-03
Linux性能调优指南》是IBM专家团队倾力打造的一份深入浅出的教程,旨在帮助用户提升Linux服务器的运行效率和稳定性。这份高清PDF文档详细涵盖了Linux性能优化的各个方面,为管理员提供了一套全面而实用的方法论。...
linux 性能调优 linux performance truning
05-09
Linux性能调优 Linux Performance Tuning】是一本实用的手册,专注于解决Linux系统中的性能问题和日常调优工作。本书适合运维人员以及对Linux性能优化感兴趣的IT从业者使用。书中涵盖了一系列操作系统调优方法、...
Alibaba-Dragonwell-Standard-17.0.6.0.6+9-x64-linux.tar.gz
02-12
性能方面,Alibaba Dragonwell的亮点在于其精心调优的JVM(Java虚拟机)。阿里巴巴团队通过对JVM的深度定制,优化了垃圾回收机制、内存分配策略以及并发模型,使得Dragonwell在处理复杂业务逻辑和大数据量时能展现...
go--本地下载包
weixin_63566388的博客
07-23 461
下载完成后,你可以验证包是否已正确下载。下载并安装适合你操作系统的版本。:确保已经安装 Go。
HarmonyOS应用开发者高级认证,Next版本发布后最新题库 - 多选题序号4
Gusha_的博客
07-23 1261
HarmonyOS应用开发者高级认证最新题库,编写于2024年7月19日,Next版本发布之后
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 206
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
基于宝塔的 Bytebase 可视化安装、配置、部署教程
最新发布
Bytebase的博客
07-26 291
Bytebase是一款使用Go语言开发的开源数据库管理软件,旨在为DBA(数据库管理员)、开发人员和平台工程师提供一个基于Web的协作工作区,用于管理数据库的整个生命周期。本文将介绍如何在宝塔面板上可视化安装、部署、配置Bytebase教程。
Linux系统性能调优技巧详解
"Linux性能调优方法" Linux性能调优是一个复杂而重要的任务,涉及到操作系统多个层面的优化,以提升系统的响应速度、效率和稳定性。在Linux环境下,有多种方法可以进行性能调优,特别是对于服务器环境,这些优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值