Linux--系统安全及应用

本文详细介绍了Linux系统的账号安全控制,包括账号清理、密码安全、PAM认证,以及系统引导和登录控制策略,如BISO和GRUB安全设置。此外,还探讨了弱口令检测工具John the Ripper和端口扫描工具NMAP的使用,以提升系统安全性。
摘要由CSDN通过智能技术生成

前言

作为一种开放源代码的操作系统,Linux服务器以其安全、高效和稳定显著优势而得以广泛应用

一、账号安全控制

用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机。在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。

1.1、基本安全措施

1.1.1、系统账号清理

(1)将非登录用户的Shell设为/sbin/nologiin
在Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登陆的,因此也成为非登陆用户。
常见的非登录用户包括bin,daemon,adm,lp,mail,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等。为了确保系统安全,这些用户的登录shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。
(2)删除无用的账号
各种非登录用户中,还有相当一部分是很少用到的,如news,uucp,games,gopher等,这些用户可视为冗余账号,直接删除即可。除此之外,还有一些随着应用程序安装的用户账号,若程序卸载以后未能自动删除,需要管理员手动进行清理。
(3)锁定长期不使用的账号
对于Linux服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定。
在这里插入图片描述

(4)锁定账号文件passwd、shadow
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。
使用chattr命令,分别结合“+i”,“-i”选项来锁定、解锁文件,使用lsattr命令可以查看文件锁定情况。

在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更换用户的密码、登录shell、宿主目录等属性信息。
在这里插入图片描述

1.1.2、密码安全控制

(1)设置密码有效期
在不安全的网络环境中,为了降低密码被猜出或者被暴力破解的风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数,对于密码已经过期的用户,登录时将被要求重新设置密码,否则拒绝登录。
执行以下操作可将密码的有效期限设为30天(chage命令用于设置密码时限)
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
(2)要求用户下次登录时修改密码
在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,可以有管理员执行强制策略,以便用户在下次登录时必须更改密码。
在这里插入图片描述

在这里插入图片描述

1.1.3、命令历史、自动注销

(1)命令历史限制
shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。
Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。
在这里插入图片描述
在这里插入图片描述

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值