系统安全:
保护数据安全:组织和个人进入互联网行业的必须要有的基础设施之一
客户数据,财务信息,知识产权
法律要求组织和个人必须具备保护网络安全和信息安全,系统安全的资质
保护平台形象,数据泄露,安全漏洞。
linux的账号安全防护:
账户层面的安全控制:
锁定长期不使用的账号
passwd -l 用户名
passwd -u 用户名
usemod -L 用户名
usemod -U 用户名
把账号设置为非登录用户:
usermod -s nologin 用户名
删除无用账户:
userdel -r 用户名
密码的安全控制:
从密码的有效期来进行控制
新建用户的密码有效期:
vim /etc/login.defs
25行 PASS_MAX_DAYS 30 改掉后面的天数
仅限制新建用户
对已有用户的密码有效期进行修改:
chage -M 天数 用户名
对文件的操作:
锁定重要文件:passwd shadow fastab
查看文件的锁定状态:lsattr /etc/passwd
锁定文件:chattr +i 文件名(绝对路径) 不能对文件内容进行任何操作
解锁文件:chattr -i 文件名(绝对路径)
对历史命令进行限制:
history -c 临时清空历史记录(重启还在)
vim /etc/profile
找查HISTIZE
设置HISTIZE设置到60-100条 然后source /etc/profile
设置登录超时时间:
vim /etc/profile
末尾添加 TMOUT=时间
wq!
source /etc/profile
对用户进行限制
禁止用户进行账号切换:
PAM认证:su命令切换就是靠PAM认证
wheel组:和group组一个概念,用于控制系统管理员的权限访问。
一旦加入wheel组,可以被授权使用一些系统管理员才能使用的访问命令和权限
sodu授权:必须要加入wheel组,还需要其他的配置。
wheel组默认为空,需要管理员手动添加用户。还需要配置响应的sudo访问规则
vim /etc/pam.d/su
第六行的#删去:取消注释
gpasswd -a dn wheel 放开权限的用户
PAM安全认证:
提供了一种标准的身份认证接口,允许管理员可以定制化配置各种认证方式和方法。
可插拔的认证模块
有四大认证模块:
认证模块:用于验证用户的身份,基于密码来对使用户身份进行验证
授权模块:控制用户对系统资源的访问权限
账户管理模块:管理用户的账户信息。
会话管理模块:管理用户的会话
service (服务)--PAM (配置文件) --pam *.so
su 这个程序----匹配pam.d目录下的配置文件------su
su ---- pam.d 找配置文件----lib64/security----调用认证模块
ls jetc/pam.d/ 配置文件
Is /ib64/security 认证模块的位置
system-auth 系统的认证配置文件 管理用户登录 密码验证
第一列:type类型
第二列:控制位
第三位:PAM模块
type类型:
auth:用户身份认证 基于密码
account:账户有效性 限制或者允许用户访问某个服务,限制用户的登陆位置
root只能从控制台登录
passwd:用于用户修改密码时对密码的机制进行校验
session:会话控制,最多能打开的文件数,最多能打开的进程数
控制位:
required:一票否决 模块必须返回成功才能通过认证,但是如果返回失败,失败结果不会通知用户,所有type中的模块全部认证完毕才能把结果反馈给用户
requsite:一票否决 模块必须返回成功才能通过认证,如果返回失败,不会再向下执行,而是直接结束。
sufficient:一票通过 如果返回成功,表示通过了身份认证的要求,不会再执行同一类型的相同模块,如果返回失败会忽略,继续执行同一类型中的其他模块。
equried欸嘿requisteoptional:可选模块,失败忽略
incloud:可选项,调用其他配置文件中自定义的配置
optional:可选项
sodu机制:
sodu就是授权普通用户可以使用管理员的命令和文件。
要把107行注释掉
ifconfig ens33:0 20.0.0.30/24 添加虚拟网卡 要和网卡在同一网段
dn ALL=(root) /sbin/ifconfig
dn这个普通用户可以和root一样拥有管理员权限,仅限ifconfig
限制一些命令,即使用户在wheel组也不可以sodu进行操作。
vim /etc/sudoers
Host_Alias MYHOSTS = 用户名
指定主机名
User_Alias MYUSERS = 主机名
设置限制的用户名
Cmnd_Alias MYCMNDS = /sbin*, !/sbin/root, !/sbin/poweroff, !/sbin/init, !/usr/bin/rm
这个用户可以使用除了下面四个的所有命令
MYUSER MYHOSTS=MYCMNDS
授权生效上面的命令配置
开关机的安全控制:
grub菜单加密:
grub2-setpassword
弱口令检测工具
john-1.8.0.tar.gz
网络扫描工具:NMAP
可以进行网络扫面,安全检测
-p:扫描端口
-sT:扫面tcp连接
-n:禁用反向dns解析
正向解析:域名解析到ip地址
反向解析:把IP地址解析成域名
-sP:ICMP扫描,和ping一样,快速判断主机是否存活
-sU:扫描udp连接
nmap -p 80 192.168.233.0/24
那台主机可以执行80服务
http:超文本传输协议1.1版本
打开网页都靠http协议和https(加密)