超详细教学 Linux系统安全及应用

最新推荐文章于 2023-08-17 10:29:12 发布
最新推荐文章于 2023-08-17 10:29:12 发布
阅读量107 收藏
点赞数
文章标签: linux 系统安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlc1213812138/article/details/130767750
版权

账号安全控制

1.锁定账户文件

//锁定账户文件
[root@localhost ~]#chattr +i /etc/passwd /etc/shadow
 
//查看文件锁定情况(有i代表已被锁定)
[root@localhost ~]#lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd
----i----------- /etc/shadow
 
//锁定后无法对账户进行操作
[root@localhost ~]#userdel hx
userdel:无法打开 /etc/passwd
[root@localhost ~]#passwd
更改用户 root 的密码 。
新的 密码:
重新输入新的 密码:
passwd: 鉴定令牌操作错误
 
//解锁账户文件
[root@localhost ~]#chattr -i /etc/passwd /etc/shadow
[root@localhost ~]#lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow

校验文件是否被改动

[root@localhost ~]#md5sum 文件名 //会使用md5算法为文件生成一个序列号

//用md5算法为shadow文件生成序列号
[root@localhost1 ~]#md5sum /etc/shadow
7d7e45d6ec658911d65911b6e4036144  /etc/shadow
 
//修改某个用户的密码
[root@localhost1 ~]#passwd zhangsan
更改用户 zhangsan 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
 
//文件序列号发生改变,说明已被修改过
[root@localhost1 ~]#md5sum /etc/shadow
374b88c4efcdc89e3611c979ba86638c  /etc/shadow

密码安全控制

对于新创建用户

//更改账户登录配置
[root@localhost ~]#vim /etc/login.defs
 
# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999      --这里是密码有效期(99999代表永久 可以自行更改天数)
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

对于已有用户

[root@localhost ~]# chage -M 天数 用户名 //将已有用户的密码有效期改为指定天数

[root@localhost ~]#chage -M 30 zhangsan
[root@localhost ~]#cat /etc/shadow |grep zhangsan
zhangsan:!!:19213:0:30:7:::

强制用户下次登录需要修改密码

[root@localhost ~]# chage -d 0 用户名

[root@localhost ~]#chage -d 0 zhangsan
[root@localhost ~]#cat /etc/shadow |grep zhangsan
zhangsan:!!:0:0:30:7:::
            ^
这个字段代表最后一次更改密码的时间(从1970年1月1日开始到现在的天数)
改为0可以实现每次登录需要修改密码

历史命令设置

//可以查看到历史命令
[root@localhost ~]#history
 
//修改配置文件
[root@localhost ~]#vim /etc/profile
 
# Path manipulation
if [ "$EUID" = "0" ]; then
    pathmunge /usr/sbin
    pathmunge /usr/local/sbin
else
    pathmunge /usr/local/sbin after
    pathmunge /usr/sbin after
fi
 
HOSTNAME=`/usr/bin/hostname 2>/dev/null`
HISTSIZE=100     --这里限制最大历史记录密命令条目(默认为1000)
 
//刷新文件
[root@localhost ~]#source /etc/profile

终端定时注销

//指定闲置600秒后自动注销
[root@localhost ~]#vim /etc/profile
在下方写入:
export TMOUT=600
 
//刷新文件
[root@localhost ~]#source /etc/profile
 
//查看自动注销时间
[root@localhost ~]echo $TMOUT
600

限制用户切换用户

PAM认证模块
是一种高效且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式。

认证原理
一般遵循的顺序 .Service(服务)→PAM(配置文件)→pam_*.so
首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于letc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块是不同的

修改配置文件

//修改su的PAM配置文件
[root@localhost ~]#vim /etc/pam.d/su
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid    
 
--取消上面这行注释的配置,使wheel组以外的用户不能使用su命令
 
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
 
//将允许使用的用户加入到wheel组当中
[root@localhost ~]#usermod -G wheel zhangsan
[root@localhost ~]#id zhangsan
uid=1002(zhangsan) gid=1002(zhangsan)=1002(zhangsan),10(wheel)

使用sudo机制提升权限

sudo命令,默认使用户以root身份执行被授权的命令。

更改sudo配置文件
visudo

vim /etc/sudoers(此文件的默认权限为440,保存退出时必须执行":wq!"命令来强制操作)

语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表

在这里插入图片描述

设置别名
使用关键字 User_Alias 、Host_Alias、Cmnd_Alias 来设置别名(别名必须为大写)
User_Alias 别名 = User1,User2 …
Host_Alias 别名 = Host1,Host2 …
Cmnd_Alias 别名 = Cmnd1(绝对路径),Cmnd2 …
“,”用于分割,可以使用通配符“ * ”代表任意值和“ !”号进行取反操作

启用sudo操作日志
visudo 或 vim /etc/sudoers
添加字段:Defaults logfile = “/var/log/sudo”

sudo -l //普通用户可以查看自己可以用sudo执行那些命令

//修改sudo配置文件里
[root@localhost ~]# vim /etc/sudoers
ZHANGSAN ALL=/bin/*,!/bin/rm,!/sbin/reboot --为zhangsan用户设置sudo可用命令
 
//zhangsan用户查看自己sudo可用命令
[zhangsan@localhost root]$ sudo -l
匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR
    USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
 
用户 zhangsan 可以在 localhost 上运行以下命令:
    (ALL) ALL
    (root) /bin/*, !/bin/rm, !/sbin/reboot

系统引导和登录控制

1.GRUB菜单限制

[root@localhost ~]# grub2-setpasswd

此界面按e进入GRUB菜单
在这里插入图片描述

设置密码后需要输入密码登入
在这里插入图片描述

2.限制用户在安全终端登录

//更改终端配置文件
[root@localhost ~]#vim /etc/securetty
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
#tty4     --把需要禁止登录的终端注释或删除
#tty5
tty6
tty7
tty8
tty9
tty10
tty11

测试发现tty4无法登录

在这里插入图片描述

不懂就问QAQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 405
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
linux安全管理教程,Linux基础教程学习笔记22——管理SELinux安全
weixin_42300329的博客
05-11 165
Linux基础教程学习笔记22——管理SELinux安全一、ugo模式主动访问控制DAC文件的权限控制ugo rwx二、selinux强制访问控制MAC每个文件资源都有一个标记,特定标记的进程,只能访问特定标记的资源,无法访问其他资源,即使资源的权限设置为777(rwx)三、查看和设置文件和进程的安全标记使用-Z的选项可以查看文件和进程的标记,以httpd服务为例子:[root@linuxidc...
转载和积累系列 - Linux服务器安全教程
自娱自乐的代码人
10-14 854
一、系统安全记录文件   操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。   二、启动和登录安全性   1.BIOS安
Linux安全渗透教程——大学霸内部资料
04-23 103
Linux安全渗透 视频介绍地址:http://v.youku.com/v_show/id_XNzAxODQ2OTYw.html 渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网...
linux安全视频教程,【Linux安全教程】打造Linux安全工程师系列视频教程
weixin_39731456的博客
05-04 79
资料名称:打造Linux安全工程师系列视频教程-JuHeVip.Cn包含linux发展前景、目录结构学习等资料内容:├─1.第一课 Linux发展前景及认证简介│ linux第一课.ppt│ 录像.exe│├─10.Linux用户和用户组管理(上)–打造Linux安全工程师第十课│ 录像.exe│├─11.Linux用户和用户组管理(二)–打造Linux安全工程师第十...
Linux操作系统原理实验教学平台的设计与应用.pdf
09-06
Linux操作系统原理实验教学平台的设计与应用.pdf 本文主要介绍了 Linux 操作系统原理实验教学平台的设计与应用,旨在解决 Linux 实验教学中存在的问题。该平台的设计基于 Linux 操作系统,通过 SSH 多用户方式连接 ...
《Oracle数据库系统及应用教学大纲.docx
12-14
Oracle数据库系统及应用课程是针对计算机科学与技术专业的一门专业方向课程,旨在让学生深入了解Oracle数据库的体系结构、基本操作和管理。课程内容包括Oracle数据库的概述、体系结构、常用工具、表空间和数据文件...
基于Linux操作系统教学设计的应用分析.pdf
09-06
例如,可以引导学生进行嵌入式Linux系统在ARM平台上的开发,这有助于他们理解操作系统在实际产品中的应用。 3. 引入开源文化:鼓励学生参与开源项目,通过阅读源代码、提交bug报告或贡献代码,提高其对Linux系统...
《Oracle数据库系统及应用》课程教学大纲.docx
12-14
《Oracle数据库系统及应用》是一门专为计算机科学与技术专业的学生设计的选修课程,旨在让学生掌握大型数据库的基本原理和Oracle数据库的管理方法。课程共计32学时,包括16学时的理论讲解和16学时的实验与上机实践。...
Linux教学及考试系统的设计与实现.pdf
09-06
通过虚拟机软件,如VMware或VirtualBox,每个学生可以在自己的Windows电脑上运行Linux系统,实现Linux教学、实验和在线考试。 虚拟机技术允许在Windows上无缝运行Linux,同时保持对Windows系统的访问,解决了...
Linux线上安全操作手册
weixin_33788244的博客
03-25 130
背景为了保证生产环境的持续、稳定、高效地运转,并且使新同学更快的掌握线上操作的基本方法,本文从禁忌,强制点出发,整理出”操作手册”,并加入一些平时遇到的问题,总结成操作条款。如有违反,请自行认领各类惩罚吧。 线上变更操作条款01:禁止流量高峰进行影响cache的升级 内容:对影响cache的升级操作禁止在流量高峰进行. 正确:应该在服务流量低峰期进行上线或操作. 说明:减少上线或操作对用户的影...
Linux基础——系统安全应用
cxin1225的博客
04-14 142
定义:sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,减少了root用户的登录 和管理时间,同样也提高了安全性。授权 zhangsan 用户能够执行 ifconfig 命令来修改 ip 地址,而 wheel 组的用户不需要验证密码就可以执行任何命令。chattr +i /etc/passwd /etc/shadow ## 锁定文件并查看状态。chattr -i /etc/passwd /etc/shadow ## 解锁文件。
加强你的Linux服务器安全性的7个步骤,可以防止至少90%的攻击
最新发布
CHQIUU的专栏
08-17 1万+
这并不是一个全面的安全指南。它可以帮助你防止近90%的流行后端攻击,例如尝试登录和。最好是你可以在一两个小时内实现它们。
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 1765
Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
linux多用户限制,linux限制用户登陆
weixin_31310913的博客
04-28 2329
一、限制终端登陆/etc/securetty文件限制“root”用户可以从那个TTY设备登录。登录程序(通常是“/bin/login”)需要读取“/etc/securetty”文件。它的格式是:列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录,这个只针对root用户。[root@localhost~]#vi/etc/securettyconsolevc/1...
_一文搞懂PAM对linux访问控制原理
weixin_39606177的博客
10-21 683
pam是如何做linux的访问控制?您知道吗。1.虚拟终端我们知道linux是一个多用户多任务类型的操作系统。在linux中的登录终端通常是虚拟终端,除了虚拟终端之外,还有伪终端,串联终端以及设备终端等等,终端清单在/etc/securetty中呈现。在此文件中不难发现linux系统为我们提供的12种虚拟终端,但是我们默认能访问的只有6个终端?这是因为虚拟终端的开放是受/etc/systemd/l...
Linux安全基线加固之资源控制
super_m@n的博客
04-19 396
1.登陆时 vim /etc/profile 修改配置文件,添加TMOUT=180即时时间为3分钟 2.root远程登陆 vim /etc/ssh/sshd_config 检查PermitRootLogin的值是否为no 则不允许 检查SSH使用的协议版本Protocol的值为2 建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01 3.远程连接的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值