Linux用户系统安全

已于 2024-06-03 10:06:46 修改
阅读量504 收藏 10
点赞数 14
分类专栏: Linux 文章标签: linux 系统安全 运维
于 2024-05-20 09:14:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081413/article/details/139010625
版权

Root用户

使用 Root 用户进行日常运维管理操作,存在极大的安全风险:

  • 更容易在意外执行有高风险命令时产生不可挽回的操作;

  • 需要对 Root 用户的账号信息进行分发,容易出现信息安全泄露的问题。

Sudo命令

sudo 是一个以 root 用户(或其他用户)来控制运行命令访问的程序。它可以配置为允许一个用户像 root 用户一样来运行所有的命令,或者仅仅一些命令。也可以配置为无需密码即可使用 sudo 运行命令。

使用sudo的好处

  • 只在执行必要命令的时候使用 root 权限,日常运维使用其他权限,减少出现意外破坏情况的概率;

  • 获取 root 权限时,用户需要输入自己的密码来进行安全校验,而不是输入 root 用户的密码来进行校验;

  • sudo 命令可以按照用户进行安全审计,避免全都使用 root 用户时审计不便的问题;

  • 关闭了 root 登录并配置 sudo 的情况下,可以减少黑客对 root 用户进行定向爆破成功的可能性。

配置sudo权限

  • 编写 /etc/sudoers 文件,可以编辑具体的 sudo 用户权限;

  • 使用 vim /etc/sudoers 或者 visudo 命令

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL


# Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS


## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

配置 sudo 用户只能执行特定的命令

  • 可以执行所有命令

bestony ALL=(ALL) ALL

  • 只能执行一个命令

bestony ALL=(ALL) /usr/bin/systemctl status sshd

  • 可以执行一组命令

bestony ALL=(ALL) /usr/bin/systemctl * sshd

  • 可以执行多个命令

bestony ALL=(ALL) /usr/bin/systemctl status sshd, /usr/bin/systemctl restart sshd

  • 只能以特定用户执行命令

bestony ALL=(admin) /usr/bin/echo_help


# 执行
sudo -u admin /usr/bin/echo_help

查看当前用户 sudo 权限:sudo -l

[root@wyh ~]# sudo -l
Matching Defaults entries for root on wyh:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG
    LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin


User root may run the following commands on wyh:
    (ALL) ALL

配置密码有效期

  • 使用 change -l root 查看密码有效期

[root@wyh ~]# chage -l root
Last password change                                    : Aug 24, 2023
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

  • 可以编辑 /etc/login.defs 设置密码过期时间

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

设置安全提醒信息

  • /etc/motd 文件中存储的信息将会在每一次登陆后提示,可以确保在登陆到服务器后,即可看到相关内容。

[root@wyh ~]# cat /etc/motd


Welcome to Alibaba Cloud Elastic Compute Service !

  • /etc/issue 文件中存储的信息将会在每一次登录前展示,可以将一些信息设定在其中,确保可以让用户登陆时看到。

[root@wyh ~]# cat /etc/issue
\S
Kernel \r on an \m

来自: Linux系统安全及检测icon-default.png?t=N7T8https://mp.weixin.qq.com/s?__biz=Mzk0NTQ3OTk3MQ==&mid=2247487213&idx=1&sn=a24d2a5f23582010ecd8b756a97860b6&chksm=c31586a1f4620fb71063eea7cef691f9bb0c3bce290d944845df107af4e7458625b2c85c4644&token=113329682&lang=zh_CN#rd

Linux技术宅
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
操作系统安全Linux安全审计,Linux日志详解
wangyuxiang946的博客
04-26 4181
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
Linux日志分析与安全
CC210231的博客
04-25 3189
Linux日志分析与安全
Linux系统安全
网络安全研究
11-05 6465
Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。
Linux系统安全及应用
ruocheng6的博客
01-03 2691
1、账号安全控制 2、系统引导和登录控制 3、弱口令检测 4、端口扫描 1、账号安全控制 账号安全基本措施 ■系统账号清理 ●将非登录用户的shell设为/sbin/nologin ●锁定长期不使用的账号 ●删除无用的账号 ●锁定账号文件passwd、shadow ...
Linux系统使用(超详细)
热门推荐
qq_63525426的博客
07-13 19万+
Linux操作系统是和windows操作系统是并列的关系。只不过只是两个操作系统的特性各有不同而已。总体而言,Windows和Linux是两种不同的操作系统,各自有其优点和适用场景。选择哪个操作系统取决于用户的需求、技术背景和使用场景。
Linux操作系统安全配置(一)
Laissez_faire的博客
08-02 3462
各种基本的Linux命令来供你学习,帮你在各种Linux发行版中完成各种任务。虽然不是很详细,但是对Linux初学者,或普通用户,或管理员都是很有用的。
Linux操作系统安全加固总结
weixin_43996007的博客
06-30 4773
Linux操作系统安全加固总结 1、修改umask的默认值 设置并修改umask的默认值可以限制用户对文件或目录的权限。一般将umask的默认值修改为027。在/etc/profile中添加umask 027。 2、修改历史命令保存条数 使用history命令可以查看历史执行的命令。在/etc/profile文件中修改”HISTSIZE“的数值即可。使用source /etc/profile命令使设置生效。 3、修改密码的使用期限 修改/etc/login.defs中的PASS_MAX_DAYS=90
Linux操作系统基础
C.
05-27 19万+
Linux简介 Linux是一种自由和开放源码的操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、台式计算机 Linux介绍 Linux出现于1991年,是由芬兰赫尔辛基大学学生Linus Torvalds和后来加入的众多爱好者共同开发完成 Linux特点 多用户,多任务,丰富的网络功能......
Linux操作系统的用户管理
Mapinyi666的博客
06-13 4797
今天主要介绍一下LinuX操作系统中关于用户管理的一些信息提示:以下是本篇文章正文内容,下面案例可供参考这些是Linux操作系统用户管理中的主要概念,对于Linux系统管理员来说,熟悉这些概念非常重要,以上这些命令可以帮助我们很方便地查看和执行历史命令,提高了命令行使用效率。
Linux系统进入单用户模式
yushuoqi的博客
11-13 2万+
在单用户模式下,您能修改系统的关键配置,因此建议您在必要场景中设置该模式,并谨慎操作。Linux系统的单用户模式是系统启动方式之一,您可以通过Linux系统的系统引导器(GRUB)进入单用户模式。进入单用户模式后,操作者拥有系统管理员权限并能修改全部系统配置信息。单用户模式下,可以进行修改系统密码、排查启动故障、修复系统异常维护、硬盘分区等操作。
Linux操作系统安全
04-10
Linux 操作系统安全知识体系 Linux 操作系统安全是指保护 Linux 操作系统免受未经授权的访问、使用、披露、修改或破坏的安全措施。 Linux 操作系统安全知识体系涵盖了账户安全、文件系统安全、访问控制、日志审计、...
linux系统安全配置要求
03-27
Linux 系统安全配置要求 Linux 系统安全配置要求是指为了确保 Linux 系统的安全性,需要对系统进行的一系列配置和检查。这些配置和检查项涵盖了账户安全、口令策略、用户组管理等方面,以确保系统的安全和稳定。 1...
Linux操作系统安全配置基线培训.docx
12-16
Linux操作系统安全配置基线培训 本文将介绍Linux操作系统安全配置基线培训中的知识点,涵盖口令管理、认证授权、日志审计等方面的安全配置要求。 一、口令管理 口令管理是Linux操作系统安全配置的重要组成部分。...
操作系统安全:Windows与linux操作系统安全特性比较.pptx
06-02
操作系统安全特性对比 Windows与Linux安全特性对比 安全问题对于IT管理员来说是需要长期关注的。主管们需要一套框架来对操作系统的安全性进行合理的评估,包括:基本安全、网络安全和协议,应用协议、发布与操作、...
Linux系统安全配置规范.docx
05-06
安全基线项目名称 操作系统Linux安全基线要求项 安全基线项说明 禁止SSH空密码用户登录 安全基线要求 编辑文件/etc/ssh/sshd_config,将 PermitEmptyPasswords设置为:no 并重启服务 备注 主机安全合规、降低暴力...
hadoop fs -du -s -h 输出三列数据的含义
Linux技术宅
08-07 1万+
命令 hadoop fs -du -s -h /tmp/xby/vehicle/realinfo/wuhufindata/ 结果 212.5 G 637.4 G /tmp/xby/vehicle/realinfo/wuhufindata 第一列标示该目录下总文件大小 第二列标示该目录下所有文件在集群上的总存储大小和你的副本数相关,我的副本数是3 ,所以第二列的是第一列的三倍 (第二列内容...
linux root用户被锁定 Account locked due to 217 failed logins
Linux技术宅
05-19 6977
重启 Linux系统主机并出现引导界面时,按下键盘上的 e 键进入内核编辑界面 在 linux16参数这行的最后面追加 “ rd.break”参数,然后按下 Ctrl + X组合键来运行修 组合键来运行修改过的内核程序,然后进入到系统的紧急救援模式 输入如下命令: mount -o remount,rw /sysroot chroot /sysroot pam_tally2 --user=root Login Failures Latest failure From root
Linux中命令不存在
Linux技术宅
08-29 1077
linux中,当使用的命令不存在时,不知道安装包名称时。 可以使用 yum provides 命令路径(用于查找那个安装包能提供某一特征的文件) 例: [root@WYH ~]# yum provides /usr/sbin/semanage Loaded plugins: fastestmirror, langpacks Loading mirror speeds from cached ...
后CentOS时代,服务器OS该如何抉择?
Linux技术宅
05-17 985
若企业成本允许的话,可考虑使用Red Hat Enterprise Linux(RHEL)和 Oracle Linux。若企业成本不允许的话,可考虑使用 Rocky Linux 和 AlmaLinux。比较推荐的是OpenEuler 和 Anolis OS。其中 Anolis OS(龙蜥操作系统)为广大的CentOS用户提供平滑的过渡支撑,提供了CentOS 7 / 8 到 Anolis OS 7 / 8 的一键式迁移工具。今天就介绍到这里了,个人感觉国产操作系统就是国内的大势所趋。
linux操作系统安全问题
最新发布
06-01
为了保障Linux系统的安全,用户应该采取以下措施: 1. 设置强密码并定期更换。 2. 限制用户权限,特别是对于敏感数据或者系统关键文件。 3. 定期更新系统补丁,并安装杀毒软件。 4. 使用防火墙、入侵检测等安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Linux技术宅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值