Linux系统安全

         作为一种开放源代码的操作系统,linux服务器以其安全、高效和稳定的显著优势而得以广泛应用。

账号安全控制

        用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号 才能进入计算机.在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。

1.系统账号清理

        在Linux系统中.除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其 他大量账号.除了超级用户root之外,其他大量账号只是用来维护系统运作,启动或保持服务进程. 一般是不允许登录的.因此也称为非登录用户账号。

        常见的非登录用户账号包括bin、daemon、adm、p、mail等。为了确保系统安全,这些用户账 号的登录Shell通常是/sbin/nologin.表示禁止终端登录,应确保不被人为改动。

        各种非登录用户账号中,还有相当一部分是很少用到的,如games.这些用户账号可以视为冗 余账号,直接删除即可.除此之外,还有一些随应用程序安装的用户账号,若卸载程序以后未能自 动删除,则需要管理员手动进行清理。

        对于Linux服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定.例如. 若要锁定,解锁名为zhangsan的用户账号,可以执行以下操作(passwd、usermod命令都可用来锁定. 解锁账号)。

[root@llcgc ~]# usermod -L llc            //锁定账号
[root@llcgc ~]# passwd -S llc             //查看账号状态
llc LK 1969-12-31 0 99999 7 -1 (密码已被锁定。)
[root@llcgc ~]# usermod -U llc            //解锁账号
[root@llcgc ~]# passwd -S llc
llc PS 1969-12-31 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)

        如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法.使用 chatr 命令,分别结合“+i”“-i”选项来锁定、解锁文件,使用lsattr 命令可以查看文件锁定情况。

[root@llcgc ~]# chattr +i /etc/passwd /etc/shadow            //锁定文件
[root@llcgc ~]# lsattr /etc/passwd /etc/shadow               //查看为锁定的状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@llcgc ~]# chattr -i /etc/passwd /etc/shadow            //解锁文件
[root@llcgc ~]# lsattr /etc/passwd /etc/shadow               //查看为解锁的状态
---------------- /etc/passwd
---------------- /etc/shadow

        在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更改用 户的密码、登录Shell、宿主目录等属性信息。

[root@llcgc ~]# chattr +i /etc/passwd /etc/shadow
[root@llcgc ~]# useradd bill           //添加用户账号bill
useradd:无法打开 /etc/passwd

2.密码安全控制

        在不安全的网络环境中,为了降低密码被猜出或被暴力破解的风险,用户应养成定期更改密码 的习惯,避免长期使用同一个密码.管理员可以在服务器端限制用户密码的最大有效天数,对于密 码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。

执行以下操作可将密码的有效期设为30天(chege 命令用于设置密码时限).

[root@llcgc ~]# vim /etc/login.defs   //适用于新建的用户   
。。。。。。。
PASS_MAX_DAYS 30                      //编辑添加此条命令[root@llcgc ~]# chage -M 30 llc       //适用于已有的llc用户

        在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求 所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码,例如,

执行以下操作可强制要求用户llc下次登录时重设密码。

[root@llcgc ~]# chage -d 0 llc

3.命令历史、自动注销        

        Shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险。 只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文 的密码,则无意之中服务器的安全壁垒又多了一个缺口。

        Bash终端环境中,历史命令的记录条数由变量HISTSIZE 控制,默认为1000条,通过修改 /etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户.例如,可以设置最多只记录200 条历史命令。

[root@llcgc ~]# vim /etc/profile    //适用于新登录用户
。。。。。。
HISTSIZE=200                        //编辑添加此条命令[root@llcgc ~]# export HISTSIZE=200 //适用于当前用户

        除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。 样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。

[root@llcgc ~]# vim ~/.bash_logout
histort -c
clear

        

        Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注 终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险.闲置超时由变量TMOUT 控制,默认单位为秒(s)。

[root@llcgc ~]# vim /etc/profile        //适用于新登录用户
。。。。。。
export TMOUT=600[root@llcgc ~]# export TMOUT=600        //适用于当前用户

        需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置 TMOUT变量,必要时可以执行“unset TMOUT“命令取消TMOUT变量设置。

用户切换与提权

1.su命令——切换用户

        使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限,当然,切换时需要 对目标用户的密码进行验证(从root用户切换为其他用户时除外)。

例如,当前登录的用户为llc。 若要切换为root用户,可以执行以下操作。

[llc@llcgc ~]$ su - root
密码:                //输入root密码
[root@llcgc ~]#      //验证成功后获得root权限

        

        上述命令操作中,选项“-等同于“--login”或“-I”.表示切换用户后进入目标用户的登录 Shell环境,若缺少此选项则仅切换身份,不切换用户环境。对于切换为root 用户的情况,root”可省略。

        默认情况下.任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密 码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许 极个别用户使用su命令进行切换。

        实现过程如下:将授权使用su命令的用户添加到wheel组,修改 /etc/pam.d/su认证配置以启用pam_wheel 认证.

[root@llcgc ~]# gpasswd -a llc wheel                   //添加授权用户llc
正在将用户“llc”加入到“wheel”组中
[root@llcgc ~]# grep wheel /etc/group                  //确认wheel组成员
wheel:x:10:llc
[root@llcgc ~]# vim /etc/pam.d/su
。。。。。。
auth            required        pam_wheel.so use_uid   //去掉此行开头#号

        启用 pam_wheel 认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。

[lgc@llcgc ~]$ su - root    //用账号lgc测试使用su命令切换root用户
密码:
su: 拒绝权限
[lgc@llcgc ~]$              //切换失败,仍为lgc用户

        使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。

2.sudo命令——提升执行权限

        通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码. 例如,若要从jerry用户切换为root 用户,必须知道root 用户的密码,对于生产环境中的Linux服务 器.每多一个人知道特权密码,其安全风险也就增加一分。

        那么,有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户 的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限,不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。

(1)在配置文件/etc/sudoers中添加授权

        sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,需使用专门的visudo工具进行编 辑。虽然也可以用vi进行编辑,但保存时必须执行”:w!”命令来强制操作,否则系统将提示为只 读文件而拒绝保存。

        配置文件/etc/sudoers 中,授权记录的基本配置格式如下所示。

        授权配置主要包括用户,主机、命令三个部分,即授权哪些人在哪些主机上执行哪些命令.各 部分的具体含义如下。

         典型的sudo配置记录中,每行对应一个用户或组的sudo授权配置。

例如,若要授权用户llc能够执行ifconfig命令来修改IP地址,而wheel组的用户无需验证密码即可执行任何命令,可以执行 以下操作。

[root@llcgc ~]# visudo
。。。。。。
llc      localhost=/sbin/ifconfig     //添加编辑命令
%wheel   ALL=NOPASSWD: ALL

        当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名,用户、主机、 命令部分都可以定义为别名(必须为大写).分别通过关键字User_Alias,Host_Alias,Cmnd_Alias来 进行设置,

例如,以下操作通过别名方式来添加授权记录,允许用户llc、lgc在主机llcgc中执行rpm.yum命令。

[root@llcgc ~]# visudo
。。。。。。
User_Alias  OPERATORS=llc,lgc                //添加编辑命令
Host_Alias  MAILSVRS=llcgc
Cmnd_Alias  PKGTOOLS=/bin/rpm,/usr/bin/yum
OPERATORS   MATLSVRS=PKGTOOLS

        sudo配置记录的命令部分允许使用通配符"*"、取反符号"!"。当需要授权某个目录下的所有命令或取消其中个别命令时特别有用。

例如,若要授权用户 llc 可以执行/sbin/目录下除ifconfig. route 以外的其他所有命令程序.可以执行以下操作。

[root@llcgc ~]# visudo
。。。。。。
llc     localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route    //添加编辑命令

        默认情况下,通过sudo方式执行的操作并不记录,若要启用sudo日志记录以备管理员查看,应在/etc/sudoers文件中增加“Defaults logfile”设置。

[root@llcgc ~]# visudo                //查找Defaults,在前面添加一行内容
。。。。。。
Defaults logfile = "/var/log/sudo"

(2)通过sudo执行特权命令

        对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令 的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下,普通用户执行时应使用绝对路 径,以下操作验证了使用sudo方式执行命令的过程。

[llc@llcgc ~]$ /sbin/ifconfig ens33:0 192.168.55.110/24   //未使用sudo的情况
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
SIOCSIFNETMASK: 不允许的操作
[llc@llcgc ~]$ sudo /sbin/ifconfig ens33:0 192.168.55.110/24

        在当前会话过程中,第一次通过sudo执行命令时,必须以用户自己的密码(不是root用户或其 他用户的密码)进行验证.此后再次通过sudo执行命令时,只要与前一次sudo操作的间隔时间不超 过5min(分),则不再重复验证.

        若要查看用户自己获得哪些sudo授权,可以执行‘sudo-l”命令.未授权的用户将会得到‘may not run sudo”的提示,已授权的用户则可以看到自己的sudo配置。

[llc@llcgc ~]$ sudo -l

       

如果已经启用sudo日志,则可以从/var/log/sudo文件中看到用户的sudo操作记录。

[root@llcgc ~]# tail /var/log/sudo

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/231242.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

继电器光耦在微控制器中的应用

继电器是电子系统中的重要组件,用作使用低功率信号控制高功率电路的开关。继电器与微控制器的集成在各种应用中变得越来越普遍。该领域的一个重大进步是继电器光耦合器的使用,这是一种增强基于微控制器的系统的性能和可靠性的关键技术。 继电器光耦概述…

web3d-three.js场景设计器-TransformControls模型控制器

场景设计器-TransformControls 控制器 该控制器可以指定模型进入可控制模式-如图有三种控制方式 translate --移动模式 rotate -- 旋转模式 scale -- 缩放模式 方便布局过程中快捷对模型进行摆放操作。 引入方式 import { TransformControls } from three/examples/jsm/…

2024程序员应对挑战新方式竟然是……

2024年即将来临,无论2023是顺心还是不如意,一切都已经成为了过去式。无论在过去我们是陷入了一时的困窘,还是沉浸在繁花似锦的喜悦,我们都要保持头脑冷静,不被眼前迷障所困;我们任然要勇往直前,…

如何在Linux上部署1Panel面板并远程访问内网Web端管理界面

文章目录 前言1. Linux 安装1Panel2. 安装cpolar内网穿透3. 配置1Panel公网访问地址4. 公网远程访问1Panel管理界面5. 固定1Panel公网地址 前言 1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。高效管理,通过 Web 端轻松管理 Linux 服务器,包括主机监控、…

看CHAT如何判断php Imagick writeImages写入gif已经完毕

CHAT回复:Imagick::writeImages() 是同步执行的,也就是说这个函数会阻塞直到 GIF 文件被完全写出。所以如果这个函数没有报错并成功返回,那么你可以认为 GIF 文件已经被完全写出了。 如果你想要在写出 GIF 文件后立即做一些操作(例…

使用Gitea搭建自己的git远程仓库

Gitea 为什么需要自建仓库 原因只有一个:折腾。其实国内的码云加上github已经足够用了。 官方原话 Gitea 的首要目标是创建一个极易安装,运行非常快速,安装和使用体验良好的自建 Git 服务。我们采用 Go 作为后端语言,这使我们…

跟着cherno手搓游戏引擎【3】事件系统和预编译头文件

不多说了直接上代码,课程中的架构讲的比较宽泛,而且有些方法写完之后并未测试。所以先把代码写完。理解其原理,未来使用时候会再此完善此博客。 文件架构: Event.h:核心基类 #pragma once #include"../Core.h" #inclu…

大创项目推荐 深度学习卷积神经网络的花卉识别

文章目录 0 前言1 项目背景2 花卉识别的基本原理3 算法实现3.1 预处理3.2 特征提取和选择3.3 分类器设计和决策3.4 卷积神经网络基本原理 4 算法实现4.1 花卉图像数据4.2 模块组成 5 项目执行结果6 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 基…

肠道炎症与年龄和阿尔茨海默病病理学相关:一项人类队列研究

谷禾健康 ​阿尔茨海默 研究表明,慢性低水平的炎症(“炎症衰老”)可能是年龄相关疾病的一个介导因素,而肠道微生物通过破坏肠道屏障可能会促进炎症。 虽然老化和阿尔茨海默病(AD)与肠道微生物群组成的改变有…

服务网格 Service Mesh

什么是服务网格? 服务网格是一个软件层,用于处理应用程序中服务之间的所有通信。该层由容器化微服务组成。随着应用程序的扩展和微服务数量的增加,监控服务的性能变得越来越困难。为了管理服务之间的连接,服务网格提供了监控、记…

python练习3【题解///考点列出///错题改正】

一、单选题 1.【单选题】 ——可迭代对象 下列哪个选项是可迭代对象( D)? A.(1,2,3,4,5) B.[2,3,4,5,6] C.{a:3,b:5} D.以上全部 知识点补充——【可迭代对象】 可迭代对象(iterable)是指可以通过迭代&#xff…

数字逻辑电路入门:从晶体管到逻辑门

数字逻辑电路入门:从晶体管到逻辑门 这是数字逻辑电路中最基础的部分。但是并非那么容易理解。 1、晶体管 mosfet:场效应晶体管,是电压控制元件。cmos:是指由mos管构成的门级电路通常是互补的。BJT:一种三极管&…

dll文件是什么,如何解决dll文件丢失

在使用电脑时是否遇到过关于dll文件丢失的问题,遇到这样的问题你是否会不知所措,其实dll文件丢失的解决伴有很多,今天这篇文章就将和大家聊聊dll文件是什么,以及如何解决dll文件丢失的问题。 一.Dll文件的作用 代码重用和模块化…

wait 和 notify 这个为什么要在synchronized 代码块中?

一个工作七年的小伙伴,竟然不知道” wait”和“notify”为什么要在 Synchronized 代码块中 。 好吧,如果屏幕前的你也不知道,请在公屏上刷”不知道“。 对于这个问题,我们来看看普通人和高手的回答。 一、问题解析 1. wait 和 n…

ReactNative 常见问题及处理办法(加固混淆)

目录 文章目录 摘要 引言 正文 ScrollView内无法滑动 RN热更新中的文件引用问题 RN中获取高度的技巧 RN强制横屏UI适配问题 低版本RN(0.63以下)适配iOS14图片无法显示问题 RN清理缓存 RN navigation参数取值 pod install 或者npm install 44…

iview 选择框远程搜索 指定筛选的参数

问题:开启了filterable之后,选择框是允许键盘输入的,但是会对选择列表进行过滤,如果不想使用再次过滤,可以试下下面这个方法。 场景:输入加密前的关键字筛选,选择框显示加密后的数据 说明一&a…

救命,现在当行政真的可以不用太老实

行政的姐妹在哪里啊?这个打工工具真的要知道哦! 信我,真的好用啊!终于不用自己写总结写材料的啊! 这东西写啥都可以,只要输入需求马上就写好了啊,什么工作总结,活动策划方案&#…

MySQL基础笔记(4)DQL数据查询语句

DQL用于查找数据库中存放的记录~ 目录 一.语法 二.基础查询 1.查询多个字段 2.设置别名 3.去除重复记录 三.条件查询 1.基础语法 2.常见条件 四.分组查询 1.聚合函数 2.语法 五.排序查询 六.分页查询 附注:DQL执行顺序 1.编写顺序 2.执行顺序 ​​​…

open3d连线可视化

目录 写在前面准备代码运行结果参考完 写在前面 1、本文内容 open3d 2、平台/环境 windows10, visual studio 2019 通过cmake构建项目,跨平台通用;open3d 3、转载请注明出处: https://blog.csdn.net/qq_41102371/article/details/135407857…

系列十、Spring Cloud Gateway

一、Spring Cloud Gateway 1.1、概述 Spring Cloud全家桶中有个很重要的组件就是网关,在1.x版本中采用的是Zuul网关,但是在2.x版本中,由于Zuul的升级一直跳票,Spring Cloud最后自己研发了一个网关替代Zuul,即&#xf…