目录
系统安全
系统安全对于个人及企业都是非常重要的。
维护系统安全的目的
1.数据安全,主要防止个人的敏感信息被窃取、盗用、破坏
2.企业法律法规要求
3.企业形象
维护系统安全的方法
账户安全控制
锁定不需要的账户
passwd -l 用户名 passwd -u 解锁
usermod -L 用户名 usermod -U 解锁
删除不需要的用户
userdel -r 用户名 连家目录一并删除
文件安全控制
锁定文件
在工作当中,重要的应用程序,在非发版期,都是锁定的
chattr +i 要锁定的文件
查看文件状态
lsattr
解锁文件
chattr -i 要解锁的文件
密码的安全控制
密码的有效期:到了一定的时间点,强制用户修改密码
密码控制:文本格式密码
vim /etc/login.defs
修改配置文件,改变账号创建时的密码最大有效期,只能针对新建用户,已有用户不在此范围内
针对已有用户进行修改:
vim 直接修改,不推荐
chage -M 最大有效期天数 用户名
强制用户下次登陆时修改密码
chage -d 0 用户名
历史命令限制
对历史命令限制,限制历史命令的数量,清空历史命令
history -c 临时清除,重启后还会存在
vim /etc/profile 永久修改历史记录
HISTSIZE=30 保留的历史命令数通常设置在30到50左右
设置登录的超时时间
主要针对远程连接工具,释放资源,防止阻塞
vim /etc/profile
在底行:
TMOUT=时间
限制用户使用su命令切换
为了方便,会给—些普通用户类似管理员的权限,这些用户不能随便切换到其他用户
将允许使用命令的用户添加到wheel组中
启用pam_wheel 认证模块
vim /etc/pam.d/su
auth required pam_wheel.so use_uid 删除前面的#
代码含义就是普通用户之间切换SU,将会收到限制,除非加入wheel组,否则,将不能进行用户切换
wheel组是—个特殊的组,用于控制用户的访问权限,加入wheel组后,可以和root管理员一样使用一些敏感命令。要使用sudo命令才能输入敏感命令。
wheel组默认为空,需要手动添加,且会被限制只能只用特定的一些命令
开关机安全控制
grub,添加密码,禁止修改
grub2-setpassword
PAM认证模块
PAM 身份认证的框架,提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式,是可插拔式的,即配即用,即删即失效
当打开认证时,对su这个命令进行验证和限制,用户切换账产户时,除非加入wheel,否则不能进行账户切换
PAM认证模块构成
pam:认证模块 授权模块 模块的参数和配置项
认证模块
auth 用户身份认证
account 账户的有效性
password 用户修改密码时的机制校验
session 会话控制,控制最大打开文件数,
授权模块
required 一票否决,表示只有认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完,才会给用户回馈。
requisite 一票否决,只要返回失败,立刻终止,并反馈给用户
sufficient 一票通过,返回成功后,就不会再执行相同模块内的认证,其他的模块返回失败也可以忽略
optional 可选项
提升sudo命令的做一个限制,只能使用特定的一些命令,或者禁止使用一些命令
sudoers:必须强制保存退出,或者强制退出
sudo:普通用户可以使用管理员才能够使用的命令
但是这个权限一定要进行控制,不能全部放开,否则风险极大。
实验
提升权限
gpasswd -a test1 wheel 将用户添加入wheel组
vim /etc/pam.d/su
auth required pam_wheel.so use_uid 删除前面的#号限制普通用户切换账户
vim /etc/sudoers
之后到第99行
#%wheel ALL=(ALL) ALL 前面加上#号
在底行
test1 ALL=(root) ALL
切换到test1测试
能够在/opt/中增删文件
限制权限
vim /etc/sudoers
底行输入
Host_Alias MYHOSTS=localhost
User_Alias MYUSERS=test1
Cmnd_Alias MYCMNDS=/sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init/,!/bin/rm,!/bin /df,!/bin/ln
MYUSERS MYHOSTS=MYCMNDS
结果
无法增删