基本的系统安全控制
实验环境:
某公司新增了一台企业级服务器,已安装运行RHEL6操作系统,由系统运维部,软件开发部,技术服务部共同使用,由于用户数量众多,且使用时间不固定,要求针对帐号和登录过程采取基本的安全措施。
拓扑:
需求描述:
? 允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份
? 授权用户zhangsan管理所有员工的帐号,但禁止其修改root用户的信息
? 授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证
? 所有的su、sudo操作,必须在系统日志文件中进行记录
? 禁止使用ctrl+alt+delete快捷键,只开放tty3、tty5终端,为grub引导菜单设置密码
实验步骤
1. 限制使用su命令
1)修改认证文件/etc/pam.d/su,启用pam_wheel.so认证模块(删除第六行的注释)
2)将radmin用户加入到wheel组
3)验证除root、radmin以外,其他使用均不能使用su命令进行切换
2. 设置sudo授权
1)授权用户zhangsan使用useradd、userdel、passwd、usermod命令,但禁止执行“passwd root”,“usermod * root”操作
2)授权liis用户使用/sbin/*、/usr/sbin/*命令,添加NOPASSWD,以取消验证
3)添加”Defaults logfile”配置行,以启用sudo日志
4)分别以zhangsan、lisi用户登录,验证授权的sudo操作,并查看日志
用户zhangsan:
用户lisi:执行命令不会有密码验证
查看日志
3. 限制引导及登录过程
1)禁用ctrl+alt+del快捷键,禁用tty1,tty2,tty4,tty6四个终端
禁用ctrl+alt+del快捷键
禁用tty1,tty2,tty4,tty6四个终端
2)在grub.conf文件中的第一个title行之前添加密码配置
3)重启后进入GRUB菜单界面,验证直接按e键已无法编辑引导参数,需要输入密码
总结:
1. 使用su命令,可以切换为其他用户身份,并拥有该用户的所有权限。切换时以目标用户的密码进行验证
2. 使用sudo命令,可以以其他用户的权限执行已授权的命令,初次执行时以使用者自己的密码进行验证
3. 通过为GRUB菜单设置密码,可以防止未经授权的修改
4. 对于远程管理的linux服务器,可以减少开发的本地终端数量
5. John the Ripper是一款密码破解工具,可以用来检测系统帐号的密码安全性
6. NMAP是一款端口扫描类工具,可用来检查目标主机,网络所开放的端口/服务等信息
转载于:https://blog.51cto.com/liuqicheng/1874409