账户安全加固

最新推荐文章于 2023-07-23 09:58:09 发布
最新推荐文章于 2023-07-23 09:58:09 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: linux 日志 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48190887/article/details/107492777
版权

安全加固
长久不用的账号让它识别不出来
[root@localhost ~]# useradd yuheng1 #新建账户
[root@localhost ~]# passwd yuheng1 #设置账户密码
Changing password for user yuheng1.
New password: 

[root@localhost ~]# vi /etc/passwd #查看passwd文件shift+g翻到最底
yuheng1:x:1001:1001::/home/yuheng1:/bin/bash #将bin/bash改成sbin/nologin 这样就识别不出来了

账户的锁定与解锁
[root@localhost ~]# passwd -l yuheng1 #锁定yuheng1账户
Locking password for user yuheng1. 
passwd: Success
[root@localhost ~]# passwd -u yuheng1 #解锁yuheng1账户
Unlocking password for user yuheng1.
passwd: Success
另一种方法usermod(没有交互提示)
[root@localhost ~]# usermod -L yuheng1 #锁定yuheng1账户
[root@localhost ~]# usermod -U yuheng1 #解锁yuheng1账户

删除账户
[root@localhost ~]# cd /home #查看home下有几个账户
[root@localhost home]# ll 
total 4
drwx------. 14 yuheng  yuheng  4096 Jul  7 17:42 yuheng
drwx------.  3 yuheng1 yuheng1   78 Jul 21 13:40 yuheng1
[root@localhost home]# userdel -r yuheng1 #删除yuheng1账户
[root@localhost home]# ll #查看确认
total 4
drwx------. 14 yuheng yuheng 4096 Jul  7 17:42 yuheng

锁定文件
[root@localhost ~]# chattr +i /etc/passwd #锁定passwd文件
[root@localhost ~]# chattr +i /etc/shadow #锁定shadow文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow #查看文件状态只读
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# chattr -i /etc/shadow #解锁passwd文件
[root@localhost ~]# chattr -i /etc/passwd #锁定shadow文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow #查看文件状态可写可读
---------------- /etc/passwd
---------------- /etc/shadow

密码安全控制
设置密码有效期30天
[root@localhost ~]# vi /etc/login.defs #进入文件修改配置99999为30
进入/PASS_MAX搜索n下翻到第二个修改为PASS_MAX_DAYS   30
然后新建账户yuheng2
vi/etc/shadow查看新建账户yuheng2
yuheng2:$6$109zGfvz$lISohthvdf8w4j89mqh.JM2rfhi0lhb5roYh0Kd/IrIRovTotLYOmBh3e5Tic3
WWhXZV1HhCBtZVWvx3Yzir00:18464:0:30:7:::
0:30:7::: #永久密码边成了30天

已拥有用户设置
[root@localhost ~]# chage -M 30 yuheng1 #把已拥有的yuheng1账户密码有效期修改为30天
vi/etc/shadow查看yuheng1账户
yuheng1:$6$K3KdtKwZ$RzhifcazZbptAq8DjLb1kp2fdtWIgF8MWCQXEZ7
xjsKWVBGt6zy5QnIWiaWTog916Rilcpyl0z.TOcH8W.0X80:18464:0:30:7:::
0:30:7::: #永久密码边成了30天

下次登录强制更改密码
[root@localhost ~]# chage -d 0 yuheng2 #yuheng2账户下次登录强制从新设定密码

命令历史限制设置为200条
[root@localhost ~]# vi /etc/profile #编辑文件profile
/HIS搜索让那和把1000改为200
HISTSIZE=200
只保存200条之内的命令多出的下次启动不会显示
另一种改法
export HISTSIZE =200

清除历史记录
[root@localhost ~]# vi .bash_logout #进入.bash_logout编辑
# ~/.bash_logout #下面插入
history -c #清楚历史命令
clear
wq保存
[root@localhost ~]# source .bash_logout #刷新一下这个文件
[root@localhost ~]# history #确认清空历史命令
    1  history 

闲置60s后自动注销
全局变量
[root@localhost ~]# vi /etc/profile  #进入profile编辑
export PATH #在下面插入
export TIMEOUT=60 #设置无操作60s注销
source /etc/profile #刷新一下这个文件

针对root的60s注销
[root@localhost ~]# ls -a #查看隐藏文件.bash_profile
.                .cache
..               .config
anaconda-ks.cfg  .cshrc
.bash_logout     .dbus
.bash_profile    initial-setup-ks.cfg
.bashrc          .tcshrc
vi .bash_profile #进入文件编辑
export PATH #在下面插入
export TIMEOUT=60 #设置无操作60s注销
source  .bash_profile #刷新一下这个文件

使用su命令切换用户
su - 目标用户
[yuheng@localhost ~]$ su - root #yuheng切换root
Password:  #输入密码
Last login: Tue Jul 21 13:39:51 CST 2020 from 20.0.0.1 on pts/0 
[root@localhost ~]# whoami #确认我是谁
root

限制su用户切换
[root@localhost ~]# gpasswd -a yuheng wheel #将yuheng账户放入wheel组中
Adding user yuheng to group wheel
[root@localhost ~]# vi /etc/pam.d/su #进入pam.d模块编辑
#去掉让命令生效
每一行分成三个字段
认证类型、控制类型、PAM模块及其参数
#%PAM-1.0
auth            sufficient      pam_rootok.so #去掉
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth           required        pam_wheel.so use_uid  #去掉


[root@localhost ~]# vi /etc/login.defs  #进入login.defs追加SU_WHEEL_ONLY yes 
登录设置只有通过WHEEL认证模块的账户才能放行,这样没有在wheel下的账户想要切换账户就不能了

PAM安全认证
可插拔的认证模块不需要刷新生效
一般遵循顺序 
Service 服务  -  PAM 配置文件  -  pam_*.so
PAM配置文件位于/etc/pam.d下
认证文件位于/etc/security
查看su是否支持PAM模块认证
[root@localhost ~]# ls /etc/pam.d | grep su #查看模块pam.d过滤里面的su信息
ksu
su
sudo
sudo-i
su-l

sudo提升权限
[root@localhost ~]# visudo #编辑sudo
shift+g最后一行o编辑
yuheng localhost=/sbin/*,!/sbin/reboot
给yuheng账户提权,除了重启其他都可以用
登录yuheng账户查看全新
[yuheng@localhost ~]$ sudo -l #查看权限
[sudo] password for yuheng: 
Matching Defaults entries for yuheng on
    localhost:
    !visiblepw, always_set_home,
    match_group_by_gid, env_reset,
    env_keep="COLORS DISPLAY HOSTNAME
    HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME
    LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION
    LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC
    LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE
    LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User yuheng may run the following commands on
        localhost:
    (ALL) ALL
    (root) /sbin/*,!/sbin/reboot

 

式部茉优
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
soalris 10安全加固手册
03-04
对soalris操作系统日常的安全情况做了汇总
Rocky Linux 系统安全加固工具
最新发布
10-08
Rocky Linux 系统安全加固工具。限制密码使用期限为 30 天,密码过期 30 天后,该账户将被禁用,设置两次修改密码的时间间隔为 1 天,在密码过期前 7 天将发出警告,将系统默认加密算法设置为 SHA512,将会话超时策略设置为 180 秒,为新建的用户创建并加入一个同名的组,将新建用户的 home 目录权限设置为 0750,将存量用户的 home 目录权限设置为 0750,强化 OpenSSH 配置(有些配置需要手动配置),禁止没有 home 目录的用户登录,禁止新建的用户使用 SHELL 登录,禁止上传和用户信息的功能,禁止删除用户时同步删除该用户的组
Server系统安全加固
04-30
1. 帐户密码策略修改 “本地计算机”策计算机配置windows设置安全设置密码策略 密码长度最小值 7 字符 密码最长存留期 90 天 密码最短存留期 30 天 密码必须符合复杂性要求 启用 保障帐号以及口令的安全,但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险) 2. 帐户锁定策略 账户锁定时间 30 分钟 账户锁定阈值 5 次无效登录 复位账户锁定计数器 30 分钟 有效的防止攻击者猜出您账户的密码 3. 更改默认管理员用户名 “本地计算机”策计算机配置windows设置安全设置本地策略安全选项 帐户: 重命名管理员帐户 默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名
windows10中linux子系统目录大小写敏感的设置
engineerlzk的专栏
03-12 5437
刚刚接触这个linux子系统,感觉坑比较多。原本打算在子系统中搭建openwrt编译环境的,结果发现与原生的或者虚拟的linux系统还真不一样啊。由于子系统默认将windows10系统的磁盘挂载为/mnt/分区名称(小写)的方式,方便了windows与linux的互访。但我在准备openwrt编译环境和准备编译的过程中,居然发现说我的子系统的目录不支持大小写敏感,导致后续编译工作无法继续。于是艰难...
Linux 系统安全SELinux讲解配置
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
03-11 3856
1.1.3 SElinux配置文件 vi /etc/selinux/config This file controls the state of SELinux on the system. SELINUX= can take one of these three values: enforcing - SELinux security policy is enforced...
Linux——管理SElinux安全性
m0_71334593的博客
03-26 602
Linux——管理SElinux安全性
SECURITY:Linux基本防护,用户提权,SSH,selinux
LgMizar的博客
12-28 674
文章目录用户账号安全设置账号有效期账号的锁定/解锁伪装登录提示文件系统安全锁定/解锁保护文件用户切换与提权su切换用户身份sudo提升执行权限概述配置sudo提权分析sudo提权的使用情况SSH访问控制 用户账号安全 设置账号有效期 使用chage工具 – -d 0 , 强制修改密码 – -E yyyy-mm-dd , 指定失效日期(-1)取消 chage命令的语法格式: chage –l 账户...
SELinux权限问题解决方法
热门推荐
weixin_43835637的博客
01-16 1万+
前言 之前做系统应用操作设备节点的时候,出现SELinux权限的问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=11725 scontext=u:r:untrusted_app:s0:c512,c768 ...
麒麟系统安全管理工具kysec机制详解
太极淘的博客
03-02 8110
麒麟系统安全管理工具kysec机制
麒麟系统开启Kysec
qq_17576885的博客
12-28 7815
说明 Kysec可以有效地保护系统,提供了防篡改、软件源安全认证、内核保护、联网控制等安全管控机制,启动Kysec可以有效保护系统安全。 检查方式 1)在终端中输入命令: [test@localhost ~]$ getstatus 2)根据显示结果检查当前Kysec开启状态 修改建议 1)打开Kysec的执行控制与文件保护功能 2)在终端中输入命令: [test@localhost ~]$ sudo security-switch --set default 3)重新启动系统 ※注:开启Kysec可能会出.
06-银河麒麟高级服务器操作系统V10 SP3 2303安全加固手册
09-08
安全加固手册: 包含15大领域: 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护 ......
SeLinux详解
m0_37571604的博客
07-23 449
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinux,Android可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
SELinux安全防护
weixin_41176080的博客
02-20 241
4案例4:SELinux安全防护 4.1问题 本案例要求熟悉SELinux防护机制的开关机策略配置,完成以下任务: 将Linux服务器的SELinux设为enforcing强制模式 从/root目录下移动一个包文件到FTP下载目录,调整策略使其能够被下载 4.2步骤 实现此案例需要按照如下步骤进行。 步骤一:将Linux服务器的SELinux设为enforcing强制模式 1)固定配置:修改/...
麒麟桌面系统安全中心介绍
zhajianting的博客
12-14 3582
麒麟桌面系统安全中心介绍
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 1868
Selinux简介 SELinux是安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
Docker(八)---Docker安全相关设定
Gong_yz的博客
03-06 1154
本节总结:理解docker安全;cgroup如何进行容器资源控制设置;通过lxcfs,做docker安全加固;以白名单的形式,实现容器相关特权;
银河麒麟系统安全机制-KYSEC
Sonsay的专栏
07-10 1万+
kylin麒麟系统中如若出现root用户登录下,也执行不了可执行文件,文件权限有可执行权限,但是报权限不足,可以看看这边文章,需要修改KYSEC,对应第三部分。 以下内容为转载,感谢博主提供的讲解,写的非常好,附原文。 麒麟系统为什么称为国内最安全的Linux系统?秘密就在于KYSEC,麒麟系统安全机制。一般情况下Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Linux内核会比较进程和资源的UID和GID,如果权限允许,就
麒麟系统瘦身
HsOjo的博客
07-19 961
近期在完成项目部署的过程中,遇到了一台特殊设备。该设备在安装系统后,无法驱动网卡;经过一番分析,发现是Linux内核没有集成相关驱动。不过由于麒麟系统是由Ubuntu衍生的,用来部署项目也不是不可,但要用桌面系统来部署项目,就得精简一下了。...
Win10设置WSL大小写敏感(七)
Android系统攻城狮
01-03 4443
1.第一种方式:Dos //以管理员身份启动Dos中断,设置D:\codes大小写敏感 # C:\Windows\SysWOW64\fsutil.exe file setCaseSensitiveInfo D:\codes enable //取消D:\codes大小写敏感 # C:\Windows\SysWOW64\fsutil.exe file setCaseSensitiveInfo D:...
linux 安全加固
09-19
Linux安全加固可以采取以下措施: 1. 限制用户对系统资源的使用,以减缓DDOS等攻击危害: - 修改限制文件 `/etc/security/limits.conf`,设置用户的核心文件限制、进程数限制、内存限制等。 - 修改pam的本地登录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值