【linux】10.系统安全及应用

已于 2023-09-08 17:24:35 修改
阅读量70 收藏
点赞数
分类专栏: Linux系统管理 文章标签: 运维 系统安全
于 2023-06-25 22:06:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54959847/article/details/131360918
版权

系统安全

系统安全对于个人和企业

1.数据安全,防止个人的敏感信息被窃取盗用甚至破坏

2.企业法律法规要求

3.企业的形象

面试

账户安全控制

锁定不需要账户

        passwd   -l    用户名        锁定用户

        passwd   -u   用户名        解锁用户

1dac1de4df764b528ee711889b7776d8.png

        usermod  -L   用户名       锁定用户

        usermod  -U  用户名       解锁用户

1407c83b189e4451987d3478493931b2.png

删除不需要的用户

        userdel -r     用户名        连同家目录一起删除用户

79b688febcbb4f6e9fd41fb6ca969eeb.png

95b4c91a8cfe40449f0fbc5badbccd71.png

             出现 user xxx is currently used by process ,可能的原因是你创建用户user1之后,使用su命令切换到user1用户下,之后又想删除user1用户,使用su root切换到root用户下,使用userdel user1。出现上述情况的根本原因在于切换回root用户之后,user1还被某个进程占用。

             使用   exit 命令一直退

重要文件锁定

        chattr   +i   文件路径        锁定文件

        lsattr          文件路径      查看是否锁定

        chattr    -i   /etc/passwd   解锁文件

注:在生产中,重要的程序文件在非发版期都是被锁定的

4022cf37a2d64c8b9657ca8bca96d37f.png

密码进行安全控制

密码的有效期

概念:到一定的时间里,强制用户修改密码

1.针对新用户的密码有效期修改

vim /etc/login.defs  (只对新用户生效,对已经存在的用户无效)

第25行   修改密码有效期

00248b5947a84e8b81a4871630f935db.png

48abc579e539488499b0a85afa42294c.png

2.针对已经存在的用户密码有效期的修改

第一种:进入配置文件   /etc/shadow  直接修改,但是不推荐,在系统文件下修改安全性较低

a0e8e6a170144ea4a6f250d957e4b6bb.png

第二种:使用命令语句   chage -m  30 用户名     针对新用户要求密码有效期为30天

a2f5f5cabc4d418a8e2747597b9a6259.png

3.强制用户下次登录时修改密码

chage -d  0  用户名        强制修改

6e5e5c0317f34567ae88d5dcfeb46994.png

历史命令清除修改

1.临时清除历史命令

history  -c        临时清除(重启即失效)

2a8980665b2f465897b11e34d94fce7b.png

2.永久修改历史命令

修改的是显示的历史命令(生产上一般三十到五十)

步骤:vim  /etc/profile

     找到:HISTSIZE =1000 (修改数字即可)

      source  /etc/profile (立即生效文件)

fe8c41cd704345daa4f26185b446432a.png

3.退出终端后清除历史记录

步骤: vim .bash_logout

            echo " " > ~/.bash_logout

            source .bash_logout

4.开机之后清除历史记录

步骤: vim .bashrc

            echo " " > ~/.bashrc

            source .bashrc

设置登录超时时间

主要是针对远程连接工作,主要是为了释放资源,防止阻塞

步骤: vim  /etc/profile

           在底行写入 TMOUT = 600(单位是S 在生产上一般设置为十分钟)

           source   /etc/profile

8b105a469b2b4ed399c3f3978e124519.png

限制用户su用户切换

主要是为了方便,给一些普通的用户类似管理员的权限,但是只能自己用不能随便的切换到其他用户,除非是加入了wheel组

WHEEL组:是一个特殊的组,主要是用于控制用户的访问权限,加入wheel组,可以和root管理员一样使用一些比较敏感的命令、

                     WHEEL组默认为空,需要手动添加,要进行先限制,所以要给一个权限的范围

                     但是有一个限制条件,就是在命令之前加sudo ,

                     如果想和管理员一样执行一些管理员才能执行的命令,必须加入WHEEL组

                      主要的底层逻辑还是限制的用户的 UID

步骤:vim  /etc/pam.d/su

         在第六行取消注释(主要释义:普通用户之间su切换,会受到限制,除非加入wheel组)

         加入组  gpasswd  -a  用户  wheel

06c8a660b31347e581c3229e040e5211.png

23bb9d827a254650977162e308d67ac3.png

sudo 命令的用途和用法

vim /etc/sudoers     

只读文件,只能强制保存退出

作用:提升sudo命令的安全性,只能使用特定的命令或者禁止使用一些命令

核心:普通用户可以使用管理员才能使用的命令,权限要进行控制,否则风险极大

c625ebf555e74170a145cd73a08d4193.png

fb1af14435224f499dca2a4f79d040e5.png

2b246c5393044808acc5c4786fa71912.png

285c0340b8ae4b7da809b23af5b5b3df.png

前提命令要加sudo才可以

开机安全控制

GRUB  添加密码,禁止修改

grub2-setpassword

PAM 身份认证的框架

pam:身份认证框架

管理员可以定制化配置各种认证方式

特点:可插拔,即配即用,即删即失效

查看是否支持PAM 

ls  /etc/pam.d/ | grep su

在文件中按列查看

第一列:认证类型

auth:用户身份认证

account:账户的有效性

passwd:用户修改密码时的校验

session:回话控制,最多能打开的文件数、能打开的进程数

第二列:控制类型

required:一票否决,表示只有认证成功才能进行下一步,但失败本次认证后不会立刻通知用户失败结果,而是等待所有的认证完,才会有反馈

requisite:一票否决,表示只要返回失败,就会立刻通知反馈给用户

sufficient:一票通过,表示返回成功后,之后的其他模块是否认证,与其无关

optional:附加的可选项,可有可无

第三列:PAM模型类型

         

          

        

@LSW
关注
专栏目录
Linux系统安全应用
ruocheng6的博客
01-03 2788
1、账号安全控制 2、系统引导和登录控制 3、弱口令检测 4、端口扫描 1、账号安全控制 账号安全基本措施 ■系统账号清理 ●将非登录用户的shell设为/sbin/nologin ●锁定长期不使用的账号 ●删除无用的账号 ●锁定账号文件passwd、shadow ...
linux系统的安全机制有哪些内容,系统安全机制
weixin_33923901的博客
05-07 2546
AG351.SELINUXSElinux 是一个强制访问控制系统,它为每个进程与文件都打上一个安全上下文标签,而 selinux 通过这个标签对系统访问控制进行管理。2.针对车载产品对于启动安全、平台运行安全、通信安全三个主要领域有着特 殊 很 高 的 要 求 , 为 此 Quectel 结 合 了 Qualcomm 给 出 的 secureboot 、QSEE/TrustZone安全机制以及Li...
Linux系统安全:安全技术和防火墙
云计算之路
02-07 4028
本文讲解Linux系统安全中的安全技术和防火墙,讲解了iptables的五表五链,iptables使用格式以及各个选项控制类型,扩展模块的使用,详细讲解了如何永久保存iptables规则、如何使用自定义规则链。
Linux系统安全
网络安全研究
11-05 6656
Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。
linux系统安全应用
csdn_T996的博客
04-10 3445
1.账号管理 1.1系统账号清理 将非登录用户的Shell设为/sbin/nologin 1.2锁定长期不使用的账号 的两种方法 1.3删除无用账号 1.4锁定、解锁账号文件 2.密码安全 2.1设置密码密码有效期 2.2永久设置新建用户账号有效期 2.3 设置用户下次登录时修改密码 3.历史命令与自动注销 3.1减少记录命令的条数 然后source /etc/profile使命令生效 3.2注销时自动清空命令 ...
Linux系统使用(超详细)
热门推荐
qq_63525426的博客
07-13 20万+
Linux操作系统是和windows操作系统是并列的关系。只不过只是两个操作系统的特性各有不同而已。总体而言,Windows和Linux是两种不同的操作系统,各自有其优点和适用场景。选择哪个操作系统取决于用户的需求、技术背景和使用场景。
Linux操作系统:原理、应用与未来发展
2301_81582207的博客
05-26 2019
本博文旨在深入探讨Linux操作系统的基本原理、广泛应用以及未来的发展趋势。我们将首先概述Linux的起源和发展历程,然后详细解析其系统架构、内核设计和关键特性。此外,我们还将分析Linux在不同领域的应用案例,并展望其未来的发展方向和挑战。
项目系统安全优化一(linux,mysql)
xueshanfeitian的博客
11-05 1万+
linux系统优化 修改系统日志记录周期 vim /etc/logrotate.conf 重启后生效 systemctl restart rsyslog 内存历史登录命令限制 vim /etc/profile 让配置生效: source /etc/profile 密码保护措施优化 vim /etc/login.defs 用户在新建文件或目录的权限 vim /etc/login.defs 限制登录ip 限制登录可分别从服务端,系统端、防火墙端来完成只允许固定ip进行登录。 服务端限制
Linux系统及应用》期末重点复习笔记
Dae_Lzh的博客
06-16 6745
Linux期末复习
Linux系统安全应用
白雪滑落树梢
08-23 2671
文章目录前言一、账号安全基本措施1.系统账号清理2.密码安全控制3.命令历史限制4.终端自动注销二、使用su命令切换用户1.通途及用法2.密码验证限制使用su命令的用户查看su操作记录su命令的安全隐患PAM(Pluggable Authentication Modules)可插拔式认证模块二、1.2.总结 前言 提示:以下是本篇文章正文内容,下面案例可供参考 一、账号安全基本措施 1.系统账号清理 将非登录用户的Shell设为/sbin/nologin 锁定长期不使用的账号 删除无用的账号 锁定.
linux 下 libssl.so.10 libcrypto.so.10
11-29
Linux操作系统中,`libssl.so.10`和`libcrypto.so.10`是两个非常关键的共享库文件,它们属于OpenSSL库的一部分。OpenSSL是一个强大的安全套接层...正确安装和配置这些库对于确保系统安全应用正常运行至关重要。
「安全活动」电子政务业务应用系统安全检测技术探讨 - Linux.zip
11-27
「安全活动」电子政务业务应用系统安全检测技术探讨 - Linux 安全防御 攻防靶场 安全培训 移动安全 web安全
lubuntu24.04使用vm-tools
kfepiza的博客
11-11 805
Open-VM-Tools是一个旨在提升VMware虚拟化平台操作系统性能的开源软件套件。它通过提供无缝桌面体验、虚拟磁盘驱动、复制粘贴、拖放、网络时间同步和虚拟打印等功能,增强了虚拟机的效率和用户体验。作为开源项目,它具有高透明度和安全性,支持自定义和扩展,并由活跃的开源社区支持。
Openshift 如何更新访问控制机
11-13 328
OPenshift 安装的时候会指定用于访问集群的访问机, 比如PC1的ssh key 为key1, 那key1会配置到集群的ISO中, 那后如果PC1重新装OS 或者想换成其他的电脑是, key1 可以为变成key2.1. 新的访问机上把key 生成一下: ssh-keygen -t rsa -C 'xx@xx.com'保存key: cat /root/.ssh/id_rsa.pub。把/root/.ssh/id_rsa.pub 中的key 修改到这个yaml中。
ks8 本地化部署 F5-TTS
陈锐的技术笔记
11-13 690
此外,F5-TTS 还创新性地引入了推理时的 Sway Sampling 策略,这一策略可以在推理阶段优先处理早期的流步骤,从而提高生成语音与输入文本的对齐效果。在 LibriSpeech-PC 数据集上,该模型的字错误率(WER)达到了2.42,并且在推理时的实时因子(RTF)为0.15,显著优于之前的扩散模型 E2TTS,后者在处理速度和鲁棒性上存在短板。传统的 TTS 模型往往需要进行复杂的持续时间建模、音素对齐和专门的文本编码,这些都增加了合成过程的复杂性。继续TSS的启动,进入pod 输入命令。
记录一次C盘存储空间被异常占用的排查
ajax_beijing_java的博客
11-14 70
解决方案:开始一直认为是程序往C盘里面写入了文件,才导致c盘的存储一直在增加,但是之前服务是部署在云下的。从来是没有出现过磁盘被占用的现象。于是,找到了镜像同事,镜像同事反馈这个2019的镜像是老镜像,他们替换了新的镜像。服务器也暂时使用了2016的镜像,做成2016的系统。发现c盘被占用空间的问题不再出现。场景:运维同事发现一台windows server 2019的服务器,本来部署的是大屏业务,但是不知道为啥,总是能发现c盘莫名其妙的生成一些日志信息。后来竟然慢慢将c盘给占满了。导致服务无法正常使用。
虚拟机安装Ubuntu 24.04服务器版(命令行版)
weixin_42173947的博客
11-13 689
这个是专门用于服务器使用的,没有GUI,常用软件安装,见虚拟机安装Ubuntu 24.04及其常用软件(2024.7)_ubuntu24.04-CSDN博客这里只记录独特的安装步骤。
河南梦想城供配电项目-综合监控平台[智能运维+集中监控]
配电房综合监控
11-13 930
河南梦想城供配电项目-综合监控平台软件可分为主机系统(针对单个站房的实时监测)和集中云平台(针对多个站房的集中管理),可实现电气设备隐患预警,站房环境风险可控,系统与电力平台以IEC61850标准进行统一对接,符合电网综合监控需求以及电网接入的标准化。
web服务器
最新发布
m0_73860010的博客
11-14 519
web 服务器提供的这些数据大部分都是文件,那么我们需要在服务器端先将数据文件写好,并且放置在某个特殊的目录下面,这个目录就是我们整个网站的首页,在nginx 中,这个目录默认在浏览器是通过你在地址栏中输入你所需要的网址来取得这个目录的数据的。URL: Uniform Resource Locator ,统一资源定位符,对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。网址格式:<协议>://<主机或主机名>[:port]/<目录资源,路径>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值