目录
一、账号安全
1、系统账号清理
- 将非登录用户的shell设为/sbin/nologin useradd -s /sbin/nologin xiao 禁止xiao用户远程登录
- 锁定长期不使用的账号 passwd -l xiao 锁定xiao用户密码
- 删除无用的账号 userdel -r xiao
- 锁定账号文件
锁定和解锁文件命令(chattr +i chattr -i )查看文件是否锁定命令(lsattr)
锁定账号文件 passwd shadow
锁定之后,无法对文件进行任何修改,包括删除,只能查看文件内容
密码安全控制
- 设置密码有效期 chage -M 10 xiao 10天后修改密码
- 要求用户下次登录时修改密码 chage -d 0 xiao 强制在下一次登录时更换密码
- 还有一种可以修改配置文件的内容。
- 可以进入配置文件 /etc/login.defs 进行修改,修改之后以后创建的用户都会按照文件配置内容进行执行
vim /etc/login.defs
命令历史限制
history命令:查看历史命令
vim /etc/profile 更改历史命令 改为十条
刷新配置文件并查看历史命令 (source /etc/profile )
刷新后查看历史命令
清空历史命令
history -c 临时清空历史命令 清空历史缓存
退出时自动清空历史命令
首先 vi .bash_logout
终端自动注销
vim /etc/profile 输入 export TMOUT=30 30s不动自动退出终端
二、限制su命令用户、PAM安全认证
默认情况下,任何用户都允许使用su命令进行切换,root用户切换到普通用户不需要密码,普通用户切换到root用户需要密码
su命令用户
vim /etc/pam.d/su
2 # auth sufficient pam_rootok.so
注释第二行后所有用户切换都需要密码
提升权限机制 sudo
sudo -l 查看当前用户获得哪些sudo授权
sudo的配置文件
vim /etc/sudoers 或者 visudo 保存需要强制保存
用户/组名称 主机名(主机组)=(提权的权限身份-ROOT) 赋权的使用命令(以绝对路径方式来写)
用户:直接授权指定的用户名,或采用"%组名"的形式(授权一个组的所有用户)
主机名:使用此规则的主机名,每配置过主机名时可以用locathost,有配过主机名
则用实际的主机min,ALL代表带所有主机。
命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需要填写命令程序的完整路径,多个命令之间以逗号进行分隔。 ALL代表所有命令
终端登录安全控制
禁止普通用户登录
建立/etc/nologin文件
删除nologin文件或重启后恢复正常
限制root只在安全终端登录
禁止普通用户登录 当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。
这时候,只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在, 如果存在,则拒绝普通用户登录系统(root 用户不受限制)。
touch /etc/nologin #除root以外的用户不能登录了。
此方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时 使用。 当手动删除/etc/nologin 文件或者重新启动主机以后,即可恢复正常。
指定终端id进行登录
netstat命令
查看当前操作系统的网络连接状态、路由表、接口等信息,它是了解网络状态及排除网络故障的有效工具
| -n | 以数字的形式显示相关的主机地址,端口等信息 | |||||
| -r | 显示路由表信息 | |||||
| -a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口) | |||||
| -l | 显示处于监听(Listening)状态的网络连接及端口信息 | |||||
| -t | 查看TCP相关信息 | |||||
| -u | 查看UDP相关信息 | |||||
| -p | 显示与网络连接相关的进程号、进程名称信息(需要root权限) | |||||
常用组命令
netstat -natp #查看正在运行的使用TCP协议的网络状态信息
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
netstat -natup #查看正在运行的使用TCP、UDP协议的网络状态信息
网络端口扫描nmap
- NMAP是一个强大的端口扫描类安全评测工具,支持ping扫描,多端口检查等多种技术
- 安装nmap
检测192.168.187.0/24网段有哪些主机提供http服务
1605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
