Linux相关的系统安全

最新推荐文章于 2024-09-30 09:35:35 发布
最新推荐文章于 2024-09-30 09:35:35 发布
阅读量1.2k 收藏 6
点赞数 3
分类专栏: Linux 文章标签: linux 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53060366/article/details/120423205
版权

目录

前言:

一、账号安全的控制:

1、系统账号清理:

2、密码安全控制:

3、命令历史限制:

4、用户切换与提高权限:

5、Linux中pam安全认证:

6、开关机安全控制:

8、弱口令检测、端口扫描:

9、网络扫描—NMAP:

总结:

前言:

Linux是企业中服务器常用到的系统,他的安全则显得尤为重要,因此维护Linux系统的安全与应用是一项重大的项目;

基本的系统安全为物理安全和登入安全,包括:禁用root登录和sudo,可插拔认证模块(PAM)等;

一、账号安全的控制:

1、系统账号清理:

(1)将非登录用户的Shell设为/sbin/nologin;

如:usermod -s /sbin/nologin

系统账号的shell使用 /sbin/nologin ,此时无法登陆系统,即使给了密码也不行。

 (2)锁定长期不使用的账号:

usermod  -L 用户名   锁定用户
passwd  -l  用户名    锁定用户
passwd  -S  用户名   显示密码信息
passwd  -u  用户名    解锁用户   或  usermod  -U  用户名
删除无用的账号(userdel  -r):userdel -r 用户

(3)锁定账号文件passwd(用户信息)、 shadow(密码信息):

chattr +i  /etc/passwd  /etc/shadow  #锁定用户信息文件
Isattr  /etc/passwd  /etc/shadow   #查看用户信息状态
chattr -i  /etc/passwd  /etc/shadow   #解锁用户信息文件

 2、密码安全控制:

(1)设置密码有效期;

[root@localhost ~]# vim /etc/login.defs 
适用于新建用户
[root@localhost ~]# chage -M 30 lisi
适用于已有用户

 

 (2)要求用户下次登录时修改密码;

[root@localhost ~]# cat /etc/shadow | grep "lisi"
lisi:$6$S7dzxAc5$de/fN/Pk5vB9Fv3THqdmu53PxQhYBCUgKE33VaM8dwUP1YOtAiHhzujocvfyo75695xDrADQXL3L8cfEMLUg/0:18892:0:30:7:::

[root@localhost ~]# chage -d 0 lisi    //强制用户在下次登录时更改密码;
[root@localhost ~]# cat /etc/shadow | grep "lisi"
lisi:$6$S7dzxAc5$de/fN/Pk5vB9Fv3THqdmu53PxQhYBCUgKE33VaM8dwUP1YOtAiHhzujocvfyo75695xDrADQXL3L8cfEMLUg/0:0:0:30:7:::

3、命令历史限制:

(1)减少记录的命令条数;

(2)注销时自动清空命令历史;

(3)终端自动注销(闲置600秒后自动注销);

1.减少记录命令的条数:
[root@localhost ~]# vim /etc/profile  进入配置文件修改限制命令条数,适合新用户,对以存在的用户不会修改
HISTSIZE=200     修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件生效
 
        
2. 注销时自动清空命令:
[root@localhost ~]# vim ~/.bashrc
echo "" > ~/.bash_history

3.闲置600秒后自动注销:
[root@localhost ~]# vim ~/.bash_ profile
......
export TMOUT=600
[root@localhost ~]# source .bash_profile   //刷新文件
[root@localhost ~]# echo $TMOUT   //查看自动注销时间
600

[root@localhost ~]# cat bash_ history

4、用户切换与提高权限:

(1)su命令--切换用户;

格式:su - 目标用户  (注意:- 表示切换到目标用户的家目录)

注意:

a):root用户切换到任意用户,不用验证密码;

b):普通用户切换到其他用户需要验证目标用户的密码;

查看当前用户是谁:
[root@localhost ~]# whoami
root

(2)限制用户使用 su 命令:

a):将允许使用的 su 命令的用户加入wheel组;

[root@localhost ~]# vim /etc/pam.d/su
把第六行注释去掉,保存退出
# gpasswd -a lisi wheel
将lisi用户加入到wheel组中

b):启用pam_wheel认证模块;

c):查看su操作记录:

安全日志文件:cat /var/log/secure

(3)sudo命令--提升执行权限:

sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
visudo 或者 vim /etc/sudoers   //配置sudo授权
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
Host_Alias MYHOST= localhost  主机名
 User_Alias MYUSER = zhangsan,lisi  需要授权的用户   
 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd  授权
 MYUSER  MYHOST = NOPASSWD : MYCMD  授权格式

5、Linux中pam安全认证:

(1)su命令的安全隐患:

●默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;

●为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换;

(2)PAM可插拔式认证模块:

●是一种高效而且灵活便利的用户级别的认证方式;

●也是当前Linux服务器普遍使用的认证方式;

(3)PAM认证原理:

●PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,

●PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认 模块(位于/lib64/security/下)进行安全认证。

●用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

●如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。

ls /etc/pam.d/ | grep su

●PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。

 

查看su的pam配置文件:
[root@localhost ~]# cat /etc/pam.d/su
auth		sufficient	pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth		sufficient	pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth		required	pam_wheel.so use_uid
auth		substack	system-auth

每一行都是一个独立的认证过程;
每一行可以区分为三个字段:认证类型,控制类型,PAM模块及其参数

6、开关机安全控制:

(1)调整BIOS引导设置原则:

  • 将第一引导设备设为当前系统所在硬盘;

  • 禁止从其他设备(光盘、 U盘、网络)引导系统;

  • 将安全级别设为setup,并设置管理员密码。

    禁用重启热键:Ctrl+Alt+Delete 避免因用户误操作重启

 (2)GRUB菜单设置:

  • 未经授权禁止修改启动参数

  • 未经授权禁止进入指定系统

 (3)GRUB限制的实现:

直接设置grub2—setpasswd 设置grub密码;

(4)禁止普通用户登入:

  • 建立/etc/nologin文件

  • [root@localhost ~]# touch /etc/nologin

  •  删除nologin文件或者重启后即恢复正常;

  •  rm -rf /etc/nologin

 8、弱口令检测、端口扫描:

(1)弱口令检测—Joth the Ripper;

  • 一款密码分析工具,支持字典式的暴力破解;

  • 通过对shadow文件的口令分析,可以检测密码强度;

 9、网络扫描—NMAP:

  • 一款强大的网络扫描、安全 检测工具;

SY:建立链接

ACK:确认

FIN:结束断开

PSH:传送 0 数据缓存 上层应用协议

RST:重置

URG :紧急

常用格式:

nmap [扫描类型]  [选项]  <扫描目标>

netstat natp                                            #查看正在运行的使用TCP协议的网络状态信息

netstat -natp | grep httpd                          #实际操作(httpd换成80也可以)

netstat -naup                                           #查看正在运行的使用UDP协议的网络状态信息

[root@localhost run]#rpm -qa|grep nmap   查看nmap

[root@localhost run]#yum install -y nmap   安装nmap

查看本机开放的TCP端口、UDP端口:
[root@localhost ~]# nmap -sT 127.0.0.1
检测192.168.59.0/24网段有哪些存活主机
[root@localhost ~]# nmap -n -sP 192.168.59.0/24

总结:

1、账号基本安全措施:

系统账号清理,密码安全控制,命令历史清理,自动注销;

2、用户切换与提权:

su,sudo

3、开关机安全控制:

bios引导设置,禁止ctrl+alt+del快捷键,grub菜单设置密码;

陶池
关注
专栏目录
linux系统安全
moRickyer的博客
07-27 2549
在贝尔实验室的UNIX实施文档的早期版本中,/etc表示是“其他(etcetera)目录”,因为从历史上看,这个目录是存放各种不属于其他目录的文件(然而,文件系统目录标准FSH限定/etc用于存放静态配置文件,这里不该存有二进制文件)。也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户“再过n天你的密码就要过期了,请尽快重新设置你的密码!...
Linux系统安全
weixin_47622405的博客
10-20 1810
linux
25个Linux服务器安全小贴士,总有一条用得上!
最新发布
2401_84578953的博客
09-30 1345
大家都认为 Linux 默认是安全的,我大体是认可的 (这是个有争议的话题)。Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。这是我们关于“如何让Linux系统更安全” 或者 “加固Linux系统“之类话题的第一篇文章。本文将介绍 25个有用的技巧和窍门 ,帮助你让Linux系统更加安全
Linux操作系统安全(自学).pdf
07-03
Linux系统安全 知识体 知识域 账户安全 知识子域 账户的基本概念 文件系统安全 日志分析 账户风险与安全策略 文件系统的格式 安全访问与权限设置 系统日志的分类 系统日志的审计方法
Linux操作系统安全
04-10
Linux 操作系统安全知识体系 Linux 操作系统安全是指保护 Linux 操作系统免受未经授权的访问、使用、披露、修改或破坏的安全措施。 Linux 操作系统安全知识体系涵盖了账户安全、文件系统安全、访问控制、日志审计、...
浅谈Linux操作系统安全防范策略.pdf
09-06
"浅谈Linux操作系统安全防范策略" Linux操作系统安全防范策略是当前网络安全的一个重要方面。随着网络的不断发展,网络安全是我们应该时刻注意的问题。本文主要从系统启动和登录的安全性、限制网络访问、Linux病毒...
Linux安全操作系统的设计与实现.pdf
09-07
"Linux安全操作系统的设计与实现" 本文介绍了一个基于Linux操作系统的安全设计和实现,通过添加SMS/OS管理软件,实现了一个B1级安全Linux操作系统。该系统的设计和实现主要解决了计算机系统的安全问题,确保了...
操作系统安全:Windows与linux操作系统安全特性比较.pptx
06-02
操作系统安全是IT领域至关重要的议题,尤其是在Windows和Linux之间,这两种主流操作系统有着各自独特的安全特性。Windows和Linux安全性对比通常涉及多个层面,包括基本安全、网络安全与协议、应用安全、发布与操作...
Linux 系统安全
m0_72359405的博客
06-27 477
系统安全:非常重要对于个人,对于企业1.数据安全,主要就是防止个人的敏感信息被窃取、盗用、破坏。2.企业法律法规要求。3.企业形象。1.usermod -s /sbin/nologin 用户名 #限制用户登录生产服务器一般人接触不到,测试环境,预生产环境 程序用户做限制。
LINUX 安全
中国资深步行专家 CSDNBLog
02-09 587
网络上的安全文章! linux系统安全 linux系统安全(一)- 安装与设置 linux系统安全(二)- 日志 linux系统安全(三)- 系统安全工具介绍     让 Linux安全,第 1 部分:介绍 让 Linux安全,第 2 部分:计划安装 让 Linux安全,第 3 部分- 加固系统   developerWorks 中国:Linux 安全  
简述linux系统的安全性,Linux操作系统的安全性有哪些过人之处
weixin_36083434的博客
05-02 2164
01用户/文件权限Linux的敲门砖Linux操作系统的安全性是有目共睹的,相比Windows操作系统,到底Linux有哪些过人之处?这里我们就抛砖引玉,挑选三点重要的特点给大家说明,为什么说Linux操作系统安全性有其他系统无可比拟的优越性。1、用户/文件权限的划分用户权限在Windows操作系统里也不陌生,但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显...
linux安全系统安全
小郑
04-06 794
选择稳定版操作系统是 因为项目部署的时候就要测试系统环境和软件的兼容性,不稳定的操作系统可能开机不能自启最小化安装是因为CentOS系统没有权限把新的软件卸载然后装旧的gcc,make安装了,黑客就不用安装了,直接用更新系统到最小化安装最新版是 为了让系统更稳定update是更新源里的软件列表 man yum /update 查看帮助upgrade顾名思义是升级,升级你系统里的软件。
Linux系统面临的攻击、风险及其安全加固和维护策略(附下载)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 3244
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAMLinux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。
提高Linux系统安全性的十大招数
软体疯子专栏
10-11 1472
 Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。但Linux有些不同,因为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用户只有自己解决安全问题。 Linux是一个开放式系统,可以在网络上找到许多
Linux操作系统安全配置教程
"Linux操作系统安全教程,包括用户管理、进程管理和文件管理,重点是账户和口令安全以及文件系统管理安全。适用于Linux初学者,通过实验形式学习系统安全配置,并对比Linux与Windows的安全设置差异。实验环境为装有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值