从0开始的云计算：系统安全

系统安全：

保护数据安全：组织和个人进入互联网行业的必须要有的基础设施之一

客户数据，财务信息，知识产权

法律要求组织和个人必须具备保护网络安全和信息安全，系统安全的资质

保护平台形象，数据泄露，安全漏洞。

linux的账号安全防护：

账户层面的安全控制：

锁定长期不使用的账号

passwd -l 用户名

passwd -u 用户名

usemod -L 用户名

usemod -U 用户名

把账号设置为非登录用户：

usermod -s nologin 用户名

删除无用账户：

userdel -r 用户名

密码的安全控制：

从密码的有效期来进行控制

新建用户的密码有效期：

vim /etc/login.defs

25行 PASS_MAX_DAYS 30 改掉后面的天数

仅限制新建用户

对已有用户的密码有效期进行修改：

chage -M 天数 用户名

对文件的操作：

锁定重要文件：passwd shadow fastab

查看文件的锁定状态：lsattr /etc/passwd

锁定文件：chattr +i 文件名（绝对路径）    不能对文件内容进行任何操作

解锁文件：chattr -i 文件名（绝对路径）

对历史命令进行限制：

history -c 临时清空历史记录（重启还在）

vim /etc/profile

找查HISTIZE

设置HISTIZE设置到60-100条  然后source /etc/profile

设置登录超时时间：

vim /etc/profile

末尾添加 TMOUT=时间

wq！

source /etc/profile

对用户进行限制

禁止用户进行账号切换：

PAM认证：su命令切换就是靠PAM认证

wheel组：和group组一个概念，用于控制系统管理员的权限访问。

一旦加入wheel组，可以被授权使用一些系统管理员才能使用的访问命令和权限

sodu授权：必须要加入wheel组，还需要其他的配置。

wheel组默认为空，需要管理员手动添加用户。还需要配置响应的sudo访问规则

vim /etc/pam.d/su

第六行的#删去：取消注释

gpasswd -a dn wheel    放开权限的用户

PAM安全认证：

提供了一种标准的身份认证接口，允许管理员可以定制化配置各种认证方式和方法。

可插拔的认证模块

有四大认证模块：

认证模块：用于验证用户的身份，基于密码来对使用户身份进行验证

授权模块：控制用户对系统资源的访问权限

账户管理模块：管理用户的账户信息。

会话管理模块：管理用户的会话

service (服务)--PAM (配置文件) --pam *.so

su 这个程序----匹配pam.d目录下的配置文件------su

su ---- pam.d 找配置文件----lib64/security----调用认证模块

ls jetc/pam.d/ 配置文件

Is /ib64/security 认证模块的位置

system-auth 系统的认证配置文件 管理用户登录 密码验证

第一列：type类型

第二列：控制位

第三位：PAM模块

type类型：

auth：用户身份认证  基于密码

account：账户有效性 限制或者允许用户访问某个服务，限制用户的登陆位置

root只能从控制台登录

passwd：用于用户修改密码时对密码的机制进行校验

session：会话控制，最多能打开的文件数，最多能打开的进程数

控制位：

required：一票否决 模块必须返回成功才能通过认证，但是如果返回失败，失败结果不会通知用户，所有type中的模块全部认证完毕才能把结果反馈给用户

requsite：一票否决 模块必须返回成功才能通过认证，如果返回失败，不会再向下执行，而是直接结束。

sufficient：一票通过 如果返回成功，表示通过了身份认证的要求，不会再执行同一类型的相同模块，如果返回失败会忽略，继续执行同一类型中的其他模块。

equried欸嘿requisteoptional：可选模块，失败忽略

incloud：可选项，调用其他配置文件中自定义的配置

optional：可选项

sodu机制：

sodu就是授权普通用户可以使用管理员的命令和文件。

要把107行注释掉

ifconfig ens33：0 20.0.0.30/24 添加虚拟网卡   要和网卡在同一网段

dn ALL=（root） /sbin/ifconfig

dn这个普通用户可以和root一样拥有管理员权限，仅限ifconfig

限制一些命令，即使用户在wheel组也不可以sodu进行操作。

vim /etc/sudoers

Host_Alias MYHOSTS = 用户名

指定主机名

User_Alias MYUSERS = 主机名

设置限制的用户名

Cmnd_Alias MYCMNDS = /sbin*, !/sbin/root, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm

这个用户可以使用除了下面四个的所有命令

MYUSER MYHOSTS=MYCMNDS

授权生效上面的命令配置         

开关机的安全控制：

grub菜单加密：

grub2-setpassword

弱口令检测工具

john-1.8.0.tar.gz

网络扫描工具：NMAP

可以进行网络扫面，安全检测

-p：扫描端口

-sT：扫面tcp连接

-n:禁用反向dns解析

正向解析：域名解析到ip地址

反向解析：把IP地址解析成域名

-sP:ICMP扫描，和ping一样，快速判断主机是否存活

-sU：扫描udp连接

nmap -p 80 192.168.233.0/24

那台主机可以执行80服务

http：超文本传输协议1.1版本

打开网页都靠http协议和https（加密）