系统安全及应用

whtqwq

已于 2023-06-27 08:20:17 修改

阅读量112

点赞数 1

分类专栏： linux基础命令文章标签：系统安全安全

于 2023-06-24 15:18:22 首次发布

本文链接：https://blog.csdn.net/whtqwq/article/details/131361864

版权

linux基础命令专栏收录该内容

24 篇文章 0 订阅

订阅专栏

文章详细介绍了如何维护Linux系统的安全性，包括账户安全控制（如锁定和删除用户）、文件安全控制（使用chattr锁定文件）、密码的安全控制（设置密码有效期）、历史命令限制、设置登录超时时间、限制用户使用su命令以及通过PAM认证模块增强系统权限管理。此外，还提到了如何通过sudoers文件定制用户权限。

摘要由CSDN通过智能技术生成

系统安全

系统安全对于个人及企业都是非常重要的。

维护系统安全的目的

1.数据安全，主要防止个人的敏感信息被窃取、盗用、破坏

2.企业法律法规要求

3.企业形象

维护系统安全的方法

账户安全控制

锁定不需要的账户
passwd -l 用户名 passwd -u 解锁
usermod -L 用户名 usermod -U 解锁

删除不需要的用户
userdel -r 用户名连家目录一并删除

文件安全控制

锁定文件
在工作当中，重要的应用程序，在非发版期，都是锁定的
chattr +i 要锁定的文件

查看文件状态
lsattr

解锁文件
chattr -i 要解锁的文件

密码的安全控制

密码的有效期：到了一定的时间点，强制用户修改密码
密码控制：文本格式密码

vim /etc/login.defs

修改配置文件，改变账号创建时的密码最大有效期，只能针对新建用户，已有用户不在此范围内

针对已有用户进行修改：

vim 直接修改，不推荐
chage -M 最大有效期天数用户名

强制用户下次登陆时修改密码
chage -d 0 用户名

历史命令限制

对历史命令限制，限制历史命令的数量，清空历史命令

history -c 临时清除，重启后还会存在
vim /etc/profile 永久修改历史记录
HISTSIZE=30 保留的历史命令数通常设置在30到50左右

设置登录的超时时间

主要针对远程连接工具，释放资源，防止阻塞
vim /etc/profile
在底行：
TMOUT=时间

限制用户使用su命令切换

为了方便，会给—些普通用户类似管理员的权限,这些用户不能随便切换到其他用户
将允许使用命令的用户添加到wheel组中
启用pam_wheel 认证模块

vim /etc/pam.d/su
auth required pam_wheel.so use_uid 删除前面的#
代码含义就是普通用户之间切换SU，将会收到限制，除非加入wheel组，否则，将不能进行用户切换

wheel组是—个特殊的组，用于控制用户的访问权限，加入wheel组后，可以和root管理员一样使用一些敏感命令。要使用sudo命令才能输入敏感命令。

wheel组默认为空，需要手动添加，且会被限制只能只用特定的一些命令

开关机安全控制

grub，添加密码，禁止修改
grub2-setpassword

PAM认证模块

PAM 身份认证的框架，提供一种标准的身份认证接口，管理员可以定制化配置各种认证方式，是可插拔式的，即配即用，即删即失效

当打开认证时，对su这个命令进行验证和限制，用户切换账产户时，除非加入wheel,否则不能进行账户切换

PAM认证模块构成

pam:认证模块授权模块模块的参数和配置项
认证模块
auth 用户身份认证
account 账户的有效性
password 用户修改密码时的机制校验
session 会话控制，控制最大打开文件数，

授权模块
required 一票否决，表示只有认证成功才能进行下一步，但是如果认证失败，结果也不会立即通知用户，而是等到所有的认证步骤全部走完，才会给用户回馈。
requisite 一票否决，只要返回失败，立刻终止，并反馈给用户
sufficient 一票通过，返回成功后，就不会再执行相同模块内的认证，其他的模块返回失败也可以忽略
optional 可选项

提升sudo命令的做一个限制，只能使用特定的一些命令，或者禁止使用一些命令
sudoers:必须强制保存退出，或者强制退出
sudo:普通用户可以使用管理员才能够使用的命令
但是这个权限一定要进行控制，不能全部放开，否则风险极大。

实验

提升权限

gpasswd -a test1 wheel 将用户添加入wheel组
vim /etc/pam.d/su  
auth  required    pam_wheel.so use_uid   删除前面的#号限制普通用户切换账户

 vim /etc/sudoers
之后到第99行
 #%wheel ALL=(ALL)       ALL 前面加上#号
在底行
test1 ALL=(root) ALL

切换到test1测试

能够在/opt/中增删文件

限制权限

 vim /etc/sudoers
底行输入
Host_Alias MYHOSTS=localhost
User_Alias MYUSERS=test1
Cmnd_Alias MYCMNDS=/sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init/,!/bin/rm,!/bin    /df,!/bin/ln
MYUSERS MYHOSTS=MYCMNDS

结果

无法增删

whtqwq

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
系统安全及应用

wheel组是—个特殊的组，用于控制用户的访问权限，加入wheel组后，可以和root管理员一样使用一些敏感命令。required 一票否决，表示只有认证成功才能进行下一步，但是如果认证失败，结果也不会立即通知用户，而是等到所有的认证步骤全部走完，才会给用户回馈。PAM 身份认证的框架，提供一种标准的身份认证接口，管理员可以定制化配置各种认证方式，是可插拔式的，即配即用，即删即失效。代码含义就是普通用户之间切换SU，将会收到限制，除非加入wheel组，否则，将不能进行用户切换。
复制链接

扫一扫