linux系统安全配置原理,初学者的Linux系统安全及应用

最新推荐文章于 2024-06-21 00:50:10 发布
最新推荐文章于 2024-06-21 00:50:10 发布
阅读量74 收藏
点赞数
文章标签: linux系统安全配置原理

Linux–系统安全及应用

文章目录

Linux--系统安全及应用

系统账号清理

密码安全控制

su命令

Linux中的PAM安全认证

su命令的缺点

PAM认证原理

PAM认证的构成

PAM安全认证流程

使用sudo机制提升权限

Linux sudo命令

sudo实验:https://blog.csdn.net/hewei3714/article/details/106912346

开关机安全控制

调整BIOS引导设置

GRUB限制

终端登录安全控制

端口扫描

系统账号清理

将非登录用户的Shell设为/sbin/nologin

锁定长期不使用的账号 'usermod -L ’

删除无用的账号 ‘userdel -r’

锁定账号文件passwd、shadow,用以控制用户(包括root)无法创建删除修改账户

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow

[root@localhost ~]# lsattr /etc/passwd /etc/shadow

----i--------------- /etc/passwd

----i--------------- /etc/shadow

[root@localhost ~]#

+i 进行加锁 -i 解锁

lsattr 查看是否锁定

密码安全控制

设置密码有效期

要求用户下次登陆时修改密码

[root@localhost ~]# vim /etc/login.defs

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 30

对已存在的用户的密码有效期设置命令是

[root@localhost ~]# chage -M 99999 zhangsan

chage:无法打开 /etc/passwd

[root@localhost ~]# chage -M 99999 lisi

chage:无法打开 /etc/passwd

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow

[root@localhost ~]# chage -M 99999 zhangsan

[root@localhost ~]#

这边要注意,我之前锁定了passwd,导致无法直接进行设置,要使用-i,解除锁定

su命令

切换用户,注意,上级用户切下级用户,不用输入密码,下级用户切上级用户需要密码验证

[root@localhost ~]# su zhangsan

[zhangsan@localhost root]$ su root

密码:

[root@localhost ~]#

Linux中的PAM安全认证

su命令的缺点

默认情况下,任何用户都允许使用su命令,从而恶意用户有机会反复尝试其他用户(如root)的登录密码,带来安全风险

为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换

PAM认证原理

PAM认证一般遵循的顺序:Service(服务)>PAM(配置文件)>pam_*.so

PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证

用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证

不同的应用程序所对应的PAM模块也是不同的

PAM认证的构成

查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d,然后管道符号检索想要查询的程序;例如查看su是否支持PAM模块认证

ls /etc/pam.d | grep su

查看su的PAM配置文件:cat /etc/pam.d/su

每一行都是独立的认证过程

每一行可以区分为三个字段

认证类型

控制类型

PAM模块及其参数

PAM安全认证流程

控制类型也可以乘坐Control Flags,用于PAM验证类型的返回结果

1.required验证失败时仍然继续,但返回Fail

2.requisite验证失败则立即结束整个验证过程,返回fail(最重要的一步)

3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

4.optional不用于验证,只显示信息(通常用session类型)

使用sudo机制提升权限

Linux sudo命令

Linux sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。

使用权限:在 /etc/sudoers 中有出现的使用者

sudo实验:https://blog.csdn.net/hewei3714/article/details/106912346

开关机安全控制

调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘

禁止从其他设备(光盘、U盘、网络)引导系统

将安全级别设为isetup,并设置管理员密码

GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥

修改/etc/grub.d/00_header文件中,添加密码记录

生成新的grub.cfg配置文件

[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak

[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak

[root@localhost ~]# grub2-mkpasswd-pbkdf2

输入口令:

Reenter password:

PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.69D02A117BC87B18E9667BE2F2D3EC688C3FAD3AA560F139D2575332143C739AC288428E827F48BF3BD1025240C372D2CAA6D82F8C61E3AD9AA113A014246F47.283700C515A6DDC966EBB1A0F827BFD95675FB0BFA0A70BDCDF04A907C89C6805086EBF4E4F115513626AC4FCA3BDF9C3E168589B72FDFDC6FE7DD59E9ADB0FA

[root@localhost ~]# vim /etc/grub.d/00_header

在最后一行输入你输入密码后,出现的一段字符

cat << EOF

362 set superusers="root"

363 grub.pbkdf2.sha512.10000.69D02A117BC87B18E9667BE2F2D3EC688C3FAD3AA560F139D25753。。。

将生成的配置文件覆盖掉原来的grub.cfg配置文件

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

Generating grub configuration file ...

/etc/grub.d/00_header: line 363: warning: here-document at line 361 delimited by end-of-file (wanted `EOF')

Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64

Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img

Found linux image: /boot/vmlinuz-0-rescue-56b5308ec2d64cadad3f0a91130f3c68

Found initrd image: /boot/initramfs-0-rescue-56b5308ec2d64cadad3f0a91130f3c68.img

done

[root@localhost ~]#

重启

[root@localhost ~]# init 6

Connection closing...Socket close.

Connection closed by foreign host.

Disconnected from remote host(新建会话 (3)) at 17:22:40.

Type `help' to learn how to use Xshell prompt.

[G:\~]$

输入新密码进入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4xh5vdVF-1593768510158)(C:\Users\hewei\AppData\Roaming\Typora\typora-user-images\image-20200703172454261.png)]

终端登录安全控制

进入配置文件配置

[root@localhost ~]# vim /etc/securetty

console

vc/1

vc/2

vc/3

vc/4

vc/5

vc/6

vc/7

vc/8

vc/9

vc/10

vc/11

tty1

#tty2

tty3

tty4

tty5

tty6

tty7

tty8

tty9

禁止终端tty2登录,在其前方输入#即可

端口扫描

查看对外可被连接的端口,这边查看一下tcp的127.0.0.1接口

[root@localhost ~]# nmap -sP 127.0.0.1

Starting Nmap 7.70 ( https://nmap.org ) at 2020-07-03 04:22 EDT

Nmap scan report for localhost (127.0.0.1)

Host is up.

Nmap done: 1 IP address (1 host up) scanned in 0.00 seconds

[root@localhost ~]# nmap sT 127.0.0.1

Starting Nmap 7.70 ( https://nmap.org ) at 2020-07-03 04:23 EDT

Failed to resolve "sT".

Nmap scan report for localhost (127.0.0.1)

Host is up (0.0000070s latency).

Not shown: 999 closed ports

PORT STATE SERVICE

22/tcp open ssh

Nmap done: 1 IP address (1 host up) scanned in 2.57 seconds

weixin_39857211
关注
Linux应用系统开发
06-12
通过以上内容的介绍,我们不仅了解了Linux应用系统开发的基础知识,还深入探讨了关键技术要点以及实践案例,这对于初学者来说是一份宝贵的指南。随着经验的积累和技术的不断进步,开发者将能够更加自如地运用Linux...
介绍Linux 操作系统及常用指令
03-27
Linux操作系统是一种开源、免费的类UNIX操作系统,基于Unix的设计哲学,由芬兰的林纳斯·托瓦兹在1991年首次...学习Linux不仅需要了解这些基本指令,还要深入理解其工作原理,才能更好地利用这个强大的开源操作系统。
简述linux操作系统的安全配置方案,第七章 操作系统安全配置方案
weixin_32899267的博客
05-13 241
Windows 200036UnixLinuxWindows NT/2000/2003 ServerC2UNIXUNIXUNIX20601969GE645DECPDP-71970Unix1973UnixCUnixUNIX20512345Linux LinuxUnixIntel x86CPUUnixLinuxLinus TorvaldsMinixAndrew Tannebaum386486UnixL...
原理到实践:深入探索Linux安全机制(一)
凡夫编程
03-22 1422
本文将从用户和权限管理、文件系统权限、SELinux、防火墙、加密和安全传输、漏洞管理和更新等几个Linux安全机制中的重要方面,深入探索其工作原理和使用方法。在当今数字化时代,网络安全问题备受关注,Linux作为广泛应用的操作系统之一,其安全性至关重要。无论你是Linux系统的初学者还是资深管理员,本文都将为你提供宝贵的经验和启发,帮助你在保护网络安全的道路上行稳致远。
原理到实践:深入探索Linux安全机制(二)
凡夫编程
03-22 1469
本文将从用户和权限管理、文件系统权限、SELinux、防火墙、加密和安全传输、漏洞管理和更新等几个Linux安全机制中的重要方面,深入探索其工作原理和使用方法。在当今数字化时代,网络安全问题备受关注,Linux作为广泛应用的操作系统之一,其安全性至关重要。无论你是Linux系统的初学者还是资深管理员,本文都将为你提供宝贵的经验和启发,帮助你在保护网络安全的道路上行稳致远。
新书推荐——Linux系统管理与服务器配置
热门推荐
正月十六工作室
04-19 1万+
新书推荐——Linux系统管理与服务器配置 近日,正月十六工作室组编的《Linux系统管理与服务器配置》在电子工业出版社正式出版。图书基于工作过程系统化体例编写,围绕Linux服务管理核心技能要求,引入行业标准、职业岗位标准和企业应用需求,通过真实企业网络工程项目案例,按网络工程业务实施流程展开项目实战,在实践中精进Linux管理核心能力,助力初学者快速掌握Linux系统管理与服务配置。 教材主要内容 教材围绕Linux系统运维工程师岗位对Linux服务部署项目实施与管理核心技术技能的要求,基于工作过程系
Linux入门到精通-企业实战③CentOS系统配置DNS②
华为奋斗者精神
11-03 1396
互联网主流 WEB 服务器软件 Nginx,得到各大企业的 SA 的青睐,应用也非常的广泛,对 Nginx 深入掌握,对运维能力的提升是非常大的,通过进阶篇的对 Nginx 的深入学习,能够熟练掌握 Nginx 工作原理、安装配置、管理升级、负载均衡及动静分离、虚拟主机、参数调优、Nginx Location、Nginx Rewrite、日志切割、防盗链、HTTPS 等核心技术,能更好的维护生产环境 Nginx 高性能 WEB 服务器。
献给初学者:谈谈如何学习Linux操作系统
一个程序员的成长之路。。。
06-16 3991
本文出自 “技术成就梦想” 博客,请务必保留此出处http://ixdba.blog.51cto.com/2895551/569329。一、 选择适合自己的linux发行版 谈到linux的发行版本,太多了,可能谁也不能给出一个准确的数字,但是有一点是可以肯定的,linux正在变得越来越流行, 面对这么多的Linux 发行版,打算从其他系统转到linux系统来的初学者可能会感到困惑,即便是忠实的
Linux系统基础详解
专注于输出具有实用价值的软件运维经验及教程
06-21 1074
linux个人学习总结,内附linux常见疑问及学习资料推荐
嵌入式Linux系统bringup 启动全景解析
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
12-09 1692
系统bringup(系统启动)是指在硬件和软件层面将嵌入式系统从原始状态带到全功能运行状态的过程。这个过程就像人类从婴儿成长为成年人的过程,需要经历从基础到复杂的多个阶段。在嵌入式系统的bringup过程中,每一步都需要精确和细致的工作,以确保系统的稳定和高效运行。这些过程中的每一个决策都反映了人类在面对复杂系统时的思考和应对方式。
山东大学软件学院2023-2024秋季学期系统安全80个名词解释
qq_64112881的博客
01-18 1721
相反,它们使用更先进的启动和配置机制。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。首先DDOS攻击者要寻找僵尸主机,在互联网上寻找一些有后门漏洞的主机,然后入侵系 统安装控制程序,入侵的越多,控制的僵尸主机就越多,攻击源就更多,然后把入侵的主机分配,一部分充当攻击的主要控制端,一部分充当攻击源,各负其责,在攻击者统一指挥下对被攻击的服务器发起攻击,由于这个攻击模式是在幕后操作,所以很难被监控系统跟踪,身份不容易被发现。
Linux---系统的初步学习【项目一:Linux操作系统的安装与配置
B6665X的博客
06-14 1110
​ 操作系统(Operating System,OS)是。操作系统需要处理如管理硬件。操作系统还提供了一个让用户与系统交互的操作界面。​ 操作系统会控制其他程序程序运行,同时还提供如下一些基本的服务程序。​ 文件系统提供计算机存储信息的结构,信息存储在文件中,文件主要存储在计算机的内部硬盘里,在目录的分层结构中组织管理文件。文件系统是对文件存储设备的空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。​ 设备驱动程序是一种可以使计算机和设备进行相互通信。
linux基础知识及系统管理.txt
08-12
- **稳定性与安全性**:探讨Linux系统的高稳定性和安全性。 - **开源性**:分析开源对Linux社区的重要性及其对技术进步的影响。 #### 二、Linux系统安装 1. **安装前准备**: - **硬件兼容性检查**:确保硬件...
Linux操作系统的开发和应用探索.pdf
09-06
对于初学者,通过虚拟机安装Linux是一个理想的方式,因为这种方式既不会影响原有的操作系统,又方便学习和实验。安装完成后,用户需要通过命令行界面操作Linux,掌握基本的Linux命令是至关重要的。例如,使用`cd`...
windows系统使用批量配置LInux服务器和网络设备
10-28
在IT行业中,管理和维护大量的Linux服务器以及网络设备是一项繁琐的任务,尤其当数量众多时,手动配置每一台设备的效率...对于初学者来说,理解这些工具的工作原理和使用方法,将有助于他们在IT领域中取得更大的成功。
基于Kotlin的zeta项目代码生成器设计源码
09-23
该项目是基于Kotlin语言的zeta项目专用代码生成器设计源码,包含30个文件,其中包括20个btl模板文件、6个Kotlin源文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文档以及1个XML配置文件,旨在为zeta-kotlin项目提供高效的代码自动生成功能。
ASP+SQL2005金居客房产网整站源码.rar
09-23
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(随意编程),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
基于Java和JavaScript的学生会管理系统设计源码
最新发布
09-23
该项目是一个基于Java和JavaScript的学生会管理系统设计源码,包含230个文件,涵盖了49个Java源文件、27个JavaScript脚本、11个CSS样式表、5个HTML页面、6个XML配置文件、1个Git忽略文件、1个JAR包文件以及多种图片格式(75个GIF、26个PNG、19个JPG)。系统界面友好,功能全面,适合高校学生会使用以提高管理效率。
【数字信号去噪】基于matlab人工蜂群算法ABC-ICEEMDAN信号去躁【含Matlab源码 7624期】.zip
09-23
CSDN海神之光上传的代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b或2023b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪(CEEMDAN)、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信
Linux操作系统安全配置教程
适用于Linux初学者,通过实验形式学习系统安全配置,并对比Linux与Windows的安全设置差异。实验环境为装有Redhat9.0的计算机。" 在Linux操作系统中,安全配置是确保系统稳定运行和数据安全的关键环节。本教程针对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值