*为什么要暴力破解root密码?
物理服务器在IDC托管,让机房工作人员(不允许知道账号密码)查看ip地址,重启ssh服务
2 fhell ssh ip
3 联系机房值守
暴力破解root密码,登录系统
systemctl restart sshd 重启ssh服务
4 你在办公室可以登陆及部署业务了
*root密码现在破解完需要告诉业务工程师么?
不需要,他只要让工程师能够远程连接即可。
在企业中任何人不允许使用root账户登录。每个人都有自己的普通账号。通过sudo提权,登陆服务器。
账号是 你名字前缀
首先了解一下用户和组
*创建用户后,四个地方可以查看
1 vi /etc/passwd
2 vi /etc/shadow (用户的密码都是存在shadow里)
3 cd /home 普通用户的家目录(每添加一个新目录,会自动创建一个)
4 cd /var/spool/mail/
*创建zhangwu后,再删除
userdel zhangwu 删除账户
此时再创建zhangwu 系统报错:家目录已存在,不能往这个目录拷贝任何文件 邮箱已经存在
处理方法:在/var/spool/mail删除zhangwu
在 cd /home/下删除zhangwu
只要账户拥有UID gid 就算添加成功!!
*如何添加组?
groupadd hr 添加组
在vi /etc/group文件中查看 可以删除组
groupdel hr ==vi /etc/group 再dd删除
- usermod -G hr niuniu
命令 参数 组名 用户名
将niuniu添加到hr组中 id niuniu 查看组名和用户名
创建用户时,自动创建当前用户的组(创建niuniu用户,会自动创建niuniu组)
usermod -G fd niuniu
-G 覆盖用户原有组
usermod -aG it,hr,ha niuniu
-aG 添加新的组,不覆盖原有组
*组成员管理
gpasswd -a tom IT
将tom添加到IT组中 只能加到一个组
usermod 可以添加多个组,修改用户的组
gpasswd -d niuniu ha
将niuniu从ha组中删除
*为什么用户被删除?就一个原因:他不干了!
*服务器添加不上用户?都有哪些情况?
useradd xxx
可能残留普通用户家目录或邮箱,最多的原因是磁盘没有空间,/home 满了,没有可用空间。
1 磁盘满了
2 文件属性
3 /home 有残留 /var/spool/mail
文件属性
lsattr 文件名==查看文件属性
chattr 修改文件属性
chattr +a 文件名==添加a属性
chattr -a 文件名==删除a属性
a属性不能vi编辑,可以echo追加》,不能覆盖>
a属性只能够追加,不能够修改
chattr +i 文件名==添加i属性
chattr -i 文件名==删除i属性
i属性不允许对文件进行任何修改
chattr +i /etc/passwd 不能添加用户
chattr +a /etc/shadow
passwd需要加属性,sudoers需要加属性 告诉别人这个文件很重要,别动它,防止误删除
!!!重要文件需要加属性!!!
!!看man手册只看DESCRIPTION!!
echo “this is a good day” > 1
重定向
echo “this is” > 1
覆盖了之前的
echo “this is” 》 1
添加了新的一行
> 覆盖 》追加
总结:chattr +a -a +i -i
lsattr x
a 只能追加不能删除 i 不能修改
groupadd
groupdel
vi /etc/group
useradd /home普通用户家目录
/etc/passwd
/etc/shadow
/var/spool/mail
usermod -G fd niuniu
usermod -G it,fd,cw niuniu
gpasswd -a 给组里添加用户
gpasswd -d 删除用户
> >>
**有名员工离职了,你作为一名工程师,需要做什么?
1 首先删除通道机(跳板机)登录权限
2 删除CMDB系统(资产管理系统)或者EXCEL表格中服务器的管理员名字,将服务器(过户)到同组人员
3 删除所有服务器的登录权限(删除用户),及sudoers文件中的内容
4 联系邮箱管理员(Windows)k删除邮箱
**小公司用表格,大公司用CMDB系统,在企业里用邮箱
**企业中干活,做任何事情都要批准 1 发邮件 2 工单
小公司资源管理(CMDB):
云供应商 内网地址 公网地址 应用服务 管理员 机器配置 备注
阿里云 x.x.x.x N/A web1 张三 8核/64G 磁盘故障
华为云 x.x.x.x 200.180.2 mysql
***同事可以直接删除(添加)其他同事的权限及sudoer权限吗?
新员工或者老员工添加登陆服务器权限及sudo权限,需要自己申请 添加账号 工单(提案,case) 经过领导审批后,相关工程师才可以添加或者删除。
!!等工单再添加!!遵守公司流程
国内企业重视预算,出了问题再解决
国外企业应急预案非常完善
权限 :可以赋于某个用户或者组 能够以何种方式 访问某个文件
*ll 文件名==查看文件权限 (从后往前看,3位3位的看)
-rw-r--r-- 1 root root 圈点
4 4 4 文件属主 文件属组
2
权限对象:
u=属主(文件的所有者) g=属组(组内成员可以查看) o=其他人()
基本权限类型:
读 r 4
写 w 2
执行 x 1
ll -d 文件名==查看目录权限,必须加-d
chown 属主 文件名=修改文件的属主
(change owner)
chgrp 组名 文件名=修改文件属组
(change group)
*练习:创建一个文件,要求属主是tom 属组是hr
*chmod 770 文件名=修改文件权限为770
change mode
chmod o+x 3
!!在公司不能设置777权限!!
!最简单的留给自己,剩下的留给开发!
*案例:
useradd hr01 -G hr 创建hr01的用户并且添加到hr的组中
mkdir /home/hr
chgrp hr /home/hr
ll -d /home/hr //查看目录的权限
*高级权限:
sticky :用户只能删除自己的文件,不能删除其他用户的文件
chmod o+t /home/dir1 给dir1加一个高级权限
针对目录,只有u所有者可以删除,给它777也不能删除,用户只能删除自己的文件,不能删除别人的文件。
t表示高级权限,只有自己可以删除,别人不能删
sgid
继承目录的属组
chmod g+s /home/hr 给hr目录高级权限
加了高级权限后,创建的文件继承目录 的属组
suid
给文件提权,变相的给命令提权,因为命令可执行
cd ~ ==cd /root
which cat==cat在哪里
chmod u+s /usr/bin/cat 给cat提权
总结:chmod 777 文件或目录
chmod u/g/o+x UGO RWX
suid sgid sticky
ll 文件
ll -d 文件 查看目录权限
chown chgrp
*作业:修改ssh默认端口并成功登陆。 !!安全加固的第一小部分!!
关闭防火墙,systemctl stop firewalld
关闭slinux set inforce 0 临时关闭
!!进入企业第一步,改端口,防止黑客!!