CentOS7 系统安全及应用

已于 2022-04-23 18:38:38 修改
阅读量1.4k 收藏 7
点赞数 5
分类专栏: 运维 文章标签: Linux 安全 运维
于 2020-09-29 16:05:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46902396/article/details/108864780
版权

CentOS7 系统安全及应用

一、账户安全基本措施

1.系统账户清理

1)将非登录用户的 Shell 设为 /sbin/nologin/sbin/nologin:禁止终端登录)

[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | wc -l
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | awk -F: '{print $1}' > nologin.txt
[root@localhost ~]# cat nologin.txt

在这里插入图片描述
2)锁定长期不使用的账号(例如一些用户长期不使用,但不确认是否删除)

[root@localhost ~]# useradd zhangsan
[root@localhost ~]# echo "123123" | passwd --stdin zhangsan
[root@localhost ~]# usermod -L zhangsan
[root@localhost ~]# passwd -S zhangsan
[root@localhost ~]# usermod -U zhangsan
[root@localhost ~]# passwd -S zhangsan

在这里插入图片描述
3)锁定账号文件 /etc/passwd /etc/shadow

  • 例如:服务器账户已固定,不再进行更改。可锁定
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  				#锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow     				#查看文件状态
[root@localhost ~]# useradd wangwu  								#创建用户测试
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow  				#解锁
[root@localhost ~]# useradd wanguw  								#再次创建用户测试
[root@localhost ~]# echo "123123" | passwd --stdin wangwu

在这里插入图片描述

2.密码安全控制

1)设置密码有效期(默认天数为 99999)

  • 适用于新建用户,密码有效期 30 天:
[root@localhost ~]# vim /etc/login.defs
找到:
PASS_MAX_DAYS   99999
改为:
PASS_MAX_DAYS   30
  • 适用于已有用户:
[root@localhost ~]# chage -M 30 zhangsan

2)强制在下次登录时更改密码

[root@localhost ~]# chage -d 0 zhangsan

重新打开一个终端使用 zhangsan 用户登录
在这里插入图片描述

3.命令历史限制

1)减少记录的命令条数(默认条数是 1000 条)

[root@localhost ~]# vim /etc/profile
找到:
HISTSIZE=1000
改为:
HISTSIZE=5
[root@localhost ~]# source /etc/profile  				#执行脚本
[root@localhost ~]# history  			 				#查看历史记录

在这里插入图片描述
2)终端自动注销

  • 在 Bash 终端环境中可以设置一个限制超时时间,当超过指定时间没有任何操作自动注销终端。
[root@localhost ~]# echo "export TMOUT=30" >> ~/.bash_profile		#终端30秒不做任何操作将自动注销
[root@localhost ~]# source ~/.bash_profile   						#使其生效

[root@localhost ~]# 等待输入超时:自动登出
在这里插入图片描述

  • 验证完后,将终端自动注销时间改为 600 秒。

二、用户切换及提权

1.使用 Su 命令切换用户

1)用途及用法

  • 用途:Substitute User,切换用户。
格式:su - 目标用户						#  - 选项表示将使用目标用户的登录 Shell 环境

2)密码验证

  • root --> 任意用户, 不验证密码。
  • 普通用户 --> 其他用户,验证目标用户的密码。

在这里插入图片描述

[root@localhost ~]# whoami   				# 查看当前登录用户名

3)限制使用 Su 命令的用户

  • 默认都可以使用 Su 命令,防止密码穷举危险,只允许少量用户使用。

启用 pam_wheel 认证模块:

[root@localhost ~]# vim /etc/pam.d/su
#%PAM-1.0
auth        sufficient  pam_rootok.so          				# 默认就有
auth        required    pam_wheel.so use_uid   				# 将前面 # 去掉
[root@localhost ~]# grep wheel /etc/group
[root@localhost ~]# su - zhangsan
[zhangsan@localhost ~]$ su -
[zhangsan@localhost ~]$ exit

不能切换到 root 用户,需要将用户 tom 加入到 wheel 组中:

[root@localhost ~]# gpasswd -a ajbn wheel
[root@localhost ~]# su - ajbn
[zhangsan@localhost ~]$ su -

在这里插入图片描述
4)查看 Su 操作记录

  • 安全日志文件:/var/log/secure
[root@localhost ~]# tail /var/log/secure

在这里插入图片描述
5)Su 命令的缺点

  • 知道 root 密码的用户越少越安全。

2.使用 Sudo 机制提升权限

  • sudo:普通用户拥有一部分管理权限,又不需要知道 root 密码。

1)Sudo 命令的用途及用法

  • 用途:以其他用户身份(如 root)执行授权的命令。
格式:sudo 执行的授权命令

2)配置 Sudo 授权 /etc/sudoers

  • 因为该文件的默认权限为 440,所以在编辑(visudovi /etc/sudoers )完后需在输入模式中使用 w! 保存。
记录格式:用户 主机名=命令程序列表
  • 用户:用户名或 %组名(组内所有用户)
  • 主机名:一般为 localhost 或实际主机名。
  • 命令列表:命令的绝对路径,多命令用 , 号分割。

分别使用 zhangsan 用户和 wangwu 用户进行测试:

[root@localhost ~]# su - wangwu
[wangwu@localhost ~]$ sudo /bin/df -hT | grep '/$'
[wangwu@localhost ~]$ exit
[root@localhost ~]# su - zhangsan
[zhangsan@localhost ~]$ sudo /bin/df -hT | grep '/$'

在这里插入图片描述

[zhangsan@localhost ~]$ sudo -l							# 查看用户对应权限

在这里插入图片描述
使 wheel 组成员不需验证密码即可执行任何命令:

[root@localhost ~]# vim /etc/sudoers
将:
# %wheel  ALL=(ALL)       NOPASSWD: ALL
改为:
%wheel  ALL=(ALL)       NOPASSWD: ALL

使 wangwu 可使用 df 命令:

wamgwu  localhost=/bin/df     						# 加上这个表示可以执行 /bin/df 命令

在这里插入图片描述
可以使用通配符 * 和 取反符号 !

[root@localhost ~]# vim /etc/sudoers
wangwu localhost=/usr/sbin/*,!/usr/sbin/useradd,/usr/bin/cat /etc/shadow
  • 可以使用 /usr/sbin 下所有命令,但不能创建用户。
  • 可以查看 /etcshadow 文件内容。

3)查看 Sudo 操作记录

  • 需启用 Defaults logfile 配置(默认日志文件:/var/log/sudo

启用日志配置以后,Sudo 操作过程才会被记录

在第二行添加:
Defaults logfile = "/var/log/sudo"

[root@localhost ~]# su - wangwu
[wangwu@localhost ~]$ sudo /usr/sbin/ss -anpt | grep 22
[wangwu@localhost ~]$ sudo /usr/sbin/useradd Coco
[wangwu@localhost ~]$ sudo /usr/bin/cat /etc/shadow

在这里插入图片描述

[root@localhost ~]# tail /var/log/sudo  					# 查看日志

在这里插入图片描述

三、系统引导和登录控制

  • 服务器一般用远程登录的方式进行管理,而本地引导和终端登录过程被忽视,会留下安全隐患;
  • 因此需要加强对其他用户的非授权介入的安全管理。

1.开关机安全控制

1)设置 BIOS 密码

  • 防止 U 盘破解 root 密码,从网络启动等;重启虚拟机一直按 F2,进入如下:

在这里插入图片描述
在这里插入图片描述
2)禁用重启热键 Ctrl+Alt+Del

  • 避免因用户误操作导致重启。

在不影响此文件的前提下禁用此热键(注销此服务)

[root@localhost ~]# systemctl mask ctrl-alt-del.target
Created symlink from /etc/systemd/system/ctrl-alt-del.target to /dev/null.

重新加载 systemd 配置:

[root@localhost ~]# systemctl daemon-reload

3)设置 GRUB 引导密码

  • 使用 grub2-mkpasswd-pbkdf2 生成密钥;pbkdf 算法加密更安全。在 /etc/grub.d/00_header 配置文件中,添加用户密码。
  • 注意:实验中每个人生成的密码不一样。
[root@localhost ~]# grub2-mkpasswd-pbkdf2   			# 生成密钥
输入口令:             									# 设置密码
Reenter password:     									# 再次输入密码

在这里插入图片描述
修改 /etc/grub.d/00_header 文件中,添加密码记录

[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
[root@localhost ~]# vim /etc/grub.d/00_header
在末尾添加:
cat << EOF
set superusers="root"
password_pbkdf2 root
PBKDF2 hash of your password is
grub.pbkdf2.sha512.10000.922DA3FC35888D451ED9B45347F3E2C3F413BD1B41116622655D4B701DE26F5000D7FC7B9C26E4837BC58F16745FAF1E4A349AC39FE68D7AE52FC007732CCEDD.2E6B1CE241AD55D48639FD4EC0B2CA5ACB5620A530C0983B653F8CE8FF54DBBE071E152A2A98E0B567A6AF00B1C340B87C150752A25C80B685C2CED89911D20E
EOF

在这里插入图片描述
生成新的 grub.cfg 配置文件

[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg

在这里插入图片描述
验证:重启进入 grub 菜单,按 E 键将无法修改引导参数
在这里插入图片描述

2.终端登录安全控制

1)限制 root 只在安全终端登录

[root@localhost ~]# sed -i '/tty5/c#tty5' /etc/securetty
[root@localhost ~]# sed -i '/tty6/c#tty6' /etc/securetty
[root@localhost ~]# sed -n '/#/p' /etc/securetty

在这里插入图片描述
在这里插入图片描述
2)禁止普通用户登录(建议在服务器维护期间临时使用)

  • 创建 /etc/nologin 文件,login 程序会检查此文件是否存在。如果存在则拒绝普通用户登录系统(root 不受限制)`
[root@localhost ~]# touch /etc/nologin

使用普通用户在终端登录验证:
在这里插入图片描述
删除 /etc/nologin 文件或重启后即恢复正常:

[root@localhost ~]# rm -rf /etc/nologin

删除后再使用普通用户进行验证:
在这里插入图片描述

愿许浪尽天涯
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
跟我学,你的服务器安全吗?第一篇----centos系统安全
zhumengyisheng的博客
12-10 3861
你的服务器够安全吗?是否经常被黑客攻击?网站怎么又被黑了?这可怎么搞啊?本文主要为服务器的自身安全问题,主要为linux系统安全问题,本文使用的是centos系统
总结Centos7系统加固知识点
09-15
系统加固是提高Linux服务器安全性的重要步骤,针对CentOS7系统,以下是一些关键的加固措施: 1. **手动更新系统**:保持系统的最新状态可以修复已知的安全漏洞。使用`yum -y update`命令可以确保所有软件包都更新到...
CentOS Linux 7&8安全基线检查
qq_53058639的博客
01-31 1039
检查项类别描述加固建议等级—|—|—|—|—密码复杂度检查身份鉴别检查密码长度和密码是否使用多种字符类型编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。高危检查密码重用是否受限制身份鉴别强制用户不重用最近使用的密码,降低密码猜测风险。
Centos7系统安全漏洞怎么修复?(超详细修复方案)
jennycisp的博客
05-25 5001
一. 内网升级服务及命令版本方法内网环境,无法使用yum命令 —— 则离线升级安装rpm包Centos的rpm包地址(大多数包可在这找到):CentOS Mirror若是包版本不全,可使用此博客的4.1方法下载安装升级包:Docker系列之二:离线安装docker_sara的博客-CSDN博客_docker离线安装升级软件包命令:rpm会自动卸载相应软件包的旧版本// * 指代rpm包的名字// 此命令是离线升级安装软件包,若有网,则可以直接使用yum命令。
CentOS7 系统安全应用(一)(1)
最新发布
2401_84254418的博客
05-16 533
3.命令历史限制1)减少记录的命令条数(默认条数是 1000 条)找到:改为:HISTSIZE=5[root@localhost ~]# source /etc/profile #执行脚本[root@localhost ~]# history #查看历史记录2)终端自动注销[root@localhost ~]# echo “export TMOUT=30” >> ~/.bash_profile #终端30秒不做任何操作将自动注销
centos7基本安全配置
发量堪忧
04-23 2801
1.禁止root直接登陆,采取sudo授权账号权限 在禁止root登入前,需要创建一个普通用户 [root@123 ~]# users #查看当前用户列表 123 root [root@123 ~]# useradd 888 #创建888的普通用户 [root@123 ~]# passwd 888 #为888用户创建密码(修改密码) 更改用户 888 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 #因为我就设置了123456所以出这
如何成功且顺序的进入centos系统的安全模式?(图文详解)
weixin_30650859的博客
04-24 406
  说白了,这个很简单! 见 -bash : ** : command not found的问题解决(图文详解)    转载于:https://www.cnblogs.com/zlslch/p/6755599.html
CentOS 7 常用软件安装汇总
热门推荐
♀我爱摇滚,更爱金属乐♀
03-05 9万+
Centos 各种常见命令介绍,常见软件安装和维护,简便的开机自启动方法:分区 & 格式化,MySQL安装,Nodejs安装,Chrome, TigerVNC, Syncthing等等
Centos_系统安全方案.doc
12-20
【CentOS系统安全方案】 CentOS是一个流行的Linux发行版,广泛用于服务器环境。为了确保系统的稳定性和安全性,本文档提供了一系列的系统安全措施,主要针对CentOS系统和PHP应用程序的安全配置。 1. **CentOS系统...
centos7 升级openssh9.6
01-18
Linux系统管理中,OpenSSH是一个非常重要的工具,它提供了安全的网络服务,如远程登录、文件传输等。...保持系统和软件的更新对于防止潜在的安全威胁至关重要,定期检查并应用安全补丁是良好运维习惯的一部分。
linux Centos7断网下安装应用程序详解
09-14
Linux CentOS7系统中,有时候由于网络环境的限制或者安全考虑,我们需要在断网的情况下安装应用程序。本篇文章将详细介绍在没有网络连接时如何在CentOS7上安装软件,主要涉及以下知识点: 1. **离线安装的基本...
centos7 nfs离线安装包
03-25
在CentOS 7中,NFS服务被用于跨多个主机提供透明的文件共享功能,这对于多服务器环境或者集群配置特别有用。这个"CentOS7 nfs离线安装包"显然包含了在没有互联网连接的情况下安装和配置NFS所需的所有软件包。 首先...
等待输入超时自动登出
attough的专栏
09-08 3174
ssh连接到服务器,无操作一段时间就自动登出; 等待输入超时自动登出 这是设置了闲置超时自动退出 1,通过修改ssh的配置文件来实现 /etc/ssh/ssh_confg 文件中的 #ClientAliveInterval 90 #ClientAliveCountMax 3 2,通过修改.bashrc或.bash_profile或/etc/profile文件来实现 TMOUT=300 export TMOUT ...
运维Centos7解决su命令鉴定故障
weixin_58822763的博客
05-08 8341
su 命令鉴定故障,这是很久之前遇到的问题,今天终于解决了 当用普通用户登录后使用 su 命令时可能会报 su:鉴定故障。 网上给出的思路是root用户可能并未设置密码,所以使用sudo passwd root 命令修改 root 的密码然后使用新密码登录 但是我是设置了root的密码的,当我输入 sudo passwd root 后会报 "当前用户未在sudoer名单中" 的错误。 最终,我的解决方案是重启虚拟机,然后使用root用户登录。然后 passwd root 修改root的密码,此时换
centos7 mysql只能安全启动_mysql安装好后如何配置[原创] CentOS7 MySQL 无法启动
weixin_29194255的博客
03-03 516
环境说明:CentOS Linux release 7.3.1611 (Core) 64位mysql Ver 14.14 Distrib 5.7.19现象:安装完 Wordpress 及 DB 后,在 Wordpress 中删除了默认的文章,之后就突然莫名其妙的提示无法连接DB。(之前也可能做过了一些其它 DB 操作及修改,有点儿记不清了)原因调查:首先发现的是,不知道为什么,MySQL 被停止...
centosde 启动流程与安全加固selinux
08-31 174
centos6启动流程 1、上电POST自检,加载BIOS的硬件信息,获取第一个启动设备 2、读取第一个启动设备MBR里的引导加载程序(grub)的启动信息 3、加载核心操作系统的核心信息,核心开始解压缩,并尝试驱动所有的硬件设备 4、核心执行init程序,并获取默认的运行信息 5、init程序执行/etc/rc.d/rc.sysinit文件 6、启动核心的外挂模块 7、init执行运行的各个批处...
centos7系统排错
weixin_30457881的博客
09-10 362
系统排错 troubleshooting winPE --光盘或u盘启动盘 产生一个PE系统(类似内存上跑的临时系统) 系统排错 rescue 模式 (挽救模式) 类似windows winPE模式 =============================================================================== 排错的一...
centos7坏境下,配置fail2ban安全模式
xiaohuai0444167的博客
03-29 545
1,安装fail2ban,首先安装一下epel-release yum -y install https://blog.csdn.net/xiaohuai0444167/article/details/105170711
CentOS7用户模式及救援模式
郑宗强的博客
04-03 4823
用户模式 chroot /sysroot/ 忘记了root密码, 在机房改,不能远程,需要知道grub密码,或者grub未加密情况下 使用单用户模式,在系统启动那一刻选择一下,有点像windows的安全模式 reboot | init 6 |shutdown -r now 重启linux init 0 |poweroff 关机 终端命令重启不能实现,重新启动客户机,在启动那一刻...
centos7 系统安全
08-18
- *1* *2* *3* [CentOS7 系统安全应用](https://blog.csdn.net/weixin_46902396/article/details/108864780)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿许浪尽天涯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值