Linux进阶——系统安全,重要文件,加固系统的相关配置

在这里插入图片描述

目录

  • 引出
  • Linux系统安全
    • 一、重要文件
    • 二、帐户口令
    • 三、权限管理
    • 四、日志配置
    • 五、服务安全
    • 六、其他配置
  • 缓存三兄弟:缓存击穿、穿透、雪崩
    • 缓存击穿
    • 缓存穿透
    • 缓存雪崩
  • 总结

引出

Linux进阶——系统安全,重要文件,加固系统的相关配置


Linux系统安全

一、重要文件

/etc/passwd                #记录本地用户的属性信息,如UIDGID
/etc/shadow                #存放用户的口令信息 只有系统管理员能查看
/etc/pam.d/system-auth     #账户安全配置文件
/etc/login.defs            #修改登录的配置文件
/etc/profile            #Linux全局变量信息
/etc/ssh/sshd_config    #ssh服务配置文件
/etc/hosts.allow 与 /etc/hosts.deny        #控制外部主机对本机服务的访问

二、帐户口令

  1. 删除不需要的用户与组,锁定暂时不需要的用户。

     userdel 用户         #删除用户 groupdel 用户组    #删除用户组 passwd -l 用户名    #锁定不必要的用户 passwd -u 用户名    #解锁需要恢复的用户
    
  2. 检查非root账号uid是否为0。

     awk -F: '($3 == 0) { print $1 }' /etc/passwd
    
  3. 检查是否有空口令账号。

     awk -F: '($2 == "") { print $1 }' /etc/shadow
    
  4. 设置口令策略。

     1.修改 /etc/login.defs PASS_MIN_LEN 12         #最小密码长度设置为12PASS_MAX_DAYS 90        #设置用户的密码最长使用天数 2.修改 /etc/pam.d/system-auth passwd requisite pam_cracklib.so retry=5 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 上述命令意义: retry=5         #尝试次数:5 difok=3           #最少不同字符:3     ucredit=-1        #最少大写字母:1 lcredit=-1        #最少小写字母:1 dcredit=-1        #最少数字:1
    
  5. 配置帐户认证失败锁定。

    #修改 /etc/pam.d/system-auth                                                 
    auth required pam.tally.so  onerr=fail deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 onerr=fail deny=5        #登录连续 5 次失败 
    unlock_time=1800        #普通用户锁定时间1800秒 
    even_deny_root          #root用户也进行认证锁定 
    root_unlock_time=1800    #root用户锁定时间1800
  6. 终端超时配置

     echo "export TMOUT=600">>/etc/profile  #超时时间为十分钟
    

三、权限管理

  1. 初始化文件权限

     #修改 /etc/profile umask=027     #设置其他用户无改文件的任何权限 #文件夹默认权限777,文件默认666,减去umask值
    
  2. 限制能够 su 为 root 的用户

     #修改/etc/pam.d/su auth required /lib/security/pam_wheel.so group=wheel #只允许wheel组的用户su到root
    
  3. 控制sudo权限,确保只有root用户拥有所有权限

     #打开/ect/sudoers 文件 root ALL=(ALL:ALL) ALL
    

四、日志配置

  1. 日志文件:

    • /var/log/lastlog 最后一次用户成功登陆的信息,时间、登陆IP等。
    • /var/log/messages 常见的系统和服务错误信息。
    • /var/log/secure Linux系统安全日志,记录用户和工作组变换情况,用户登陆认证情况。
    • /var/log/syslog 只记录警告信息,lastlog查看。
    • /var/log/cron 记录定时任务的信息。
    • /var/log/btmp 记录Linux登陆失败的信息,lastb查看。
    • /var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,last查看。
  2. syslog服务是否启用,并查看相关配置

     ps –aef | grep syslog       #确认syslog是否启用 cat /etc/syslog.conf        #查看日志相关配置,各日志文件存放位置
    

五、服务安全

  1. SSH服务

    • 使用非常规的SSH端口

        #修改配置文件/etc/ssh/sshd_config  Port 223
      
    • 限制能够SSH登录的用户,禁止root账户远程登录。

        #修改配置文件/etc/ssh/sshd_config  PermitRootLogin no            #禁止root账户远程登录  Allowusers  test             #允许test用户可以远程登录
      
    • 屏蔽登录banner信息。

        #修改配置文件/etc/ssh/sshd_config  banner NONE  #也可修改 /etc/motd 文件内容,其内容将作为banner信息显示给登录用户
      
    • 允许指定IP进行ssh。

        #修改/etc/hosts.allow文件  sshd:192.168.1.120:allow    #允许192.168.1.120使用ssh连接
      
    • 禁止所有IP使用ssh连接

        #修改/etc/hosts.deny  sshd:ALL
      
    • 使用秘钥进行 ssh 登录

        # 1.修改要远程的主机的 /etc/ssh/sshd_config 开启rsa与公钥认证,并指定认证秘钥存放位置  RSAAuthentication         yes  PubkeyAuthentication     yes  AuthorizedKeysFile       .ssh/authorized_keys  # 2.本地主机生成密钥,会生成 id_rsa 与 id_rsa.pub  ssh-keygen -t rsa  # 3.在远程主机上指定用户的家目录下创建.ssh/目录  cd ~  mkdir .ssh  # 4.将 id_rsa.pub 放于远程主机下的.ssh/目录目录下,并更改文件名  mv id_rsa.pub authorized_keys
      
    • 升级SSH版本
      yum update openssh -y

  2. 停用或禁用不必要的服务

    查看所有服务的自启情况:

     # centos7 查看所有服务自启情况 systemctl list-unit-files # centos6 查看所有服务自启情况 chkconfig  --list
    

六、其他配置

  1. 防火墙配置

    • 查看防火墙是否开启。

        #查看iptables是否开启  service iptables status  #查看firewalld是否开启  systemctl status firewalld
      
    • 根据需要开放端口,不需要的端口不开放。

        #使用iptables将tcp 80端口开放  iptables -I INPUT -p tcp --dport 80 -j ACCEPT  #注:iptables需要保证在规则表的最后添加有拒绝所有连接的规则  iptables -A INPUT -j DROP  #使用firewalld将tcp 80端口开放  firewall-cmd --add-port=80/tcp
      
  2. history 配置

    • 默认情况下,系统可以保存1000条的历史命令,根据需求增加条数。

        #保存1万条命令  sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
      
    • 为历史的命令增加登录的 IP 地址、执行命令时间等信息。

        # 在/etc/profile的文件尾部添加如下行数配置信息:  USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`  if [ "$USER_IP" = "" ]  then  USER_IP=`hostname`  fi  export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "  shopt -s histappend  export PROMPT_COMMAND="history -a"  #执行命令,让配置生效  source /etc/profile
      
  3. 查看内核版本,在不影响业务的情况下,升级为新的内核版本。

     uname -a  #查看系统内核版本信息
    
  4. Linux下的自启动项

    /etc/rc.d/rc.local:系统在启动时进行加载执行,/etc/rc.local是本文件的软链接文件。
    /etc/profile: 此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行。
    /etc/bashrc:  为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取。
    ~/.bash_profile: 每个用户都可使用该文件输入专用于自己使用的shell信息,当用户登录时,该文件仅仅执行一次。
    ~/.bashrc: 该文件包含专用于你用户的bash shell的bash信息,当登录时以及每次打开新的shell时,该该文件被读取。~/.bash_logout: 当每次退出系统(退出bash shell),执行该文件.
    

缓存三兄弟:缓存击穿、穿透、雪崩

缓存击穿

缓存击穿:redis中没有,但是数据库有

顺序:先查缓存,判断缓存是否存在;如果缓存存在,直接返回数据;如果缓存不存在,則查询数据库,将数据库的数据存入到缓存

在这里插入图片描述

解决方案:将热点数据设置过期时间长一点;针对数据库的热点访问方法上分布式锁;

缓存穿透

缓存穿透:redis中没有,数据库也没有

在这里插入图片描述

解决方案:

(1)将不存在的key,在redis设置值为null;

(2)使用布隆过滤器;

原理:https://zhuanlan.zhihu.com/p/616911933

在这里插入图片描述

布隆过滤器:

如果确认key不存在于redis中,那么就一定不存在;

它说key存在,就有可能存在,也可能不存在! (误差)

在这里插入图片描述

布隆过滤器

1、根据配置类中的 key的数量 ,误差率,计算位图数组【二维数组】

2、通过布隆过滤器存放key的时候,会计算出需要多少个hash函数,由hash函数算出多少个位图位置需要设定为1

3、查询时,根据对应的hash函数,判断对应的位置值是否都为1;如果有位置为0,则表示key一定不存在于该redis服务器中;如果全部位置都为1,则表示key可能存在于redis服务器中;

缓存雪崩

缓存雪崩:

Redis的缓存雪崩是指当Redis中大量缓存数据同时失效或者被清空时,大量的请求会直接打到数据库上,导致数据库瞬时压力过大,甚至宕机的情况。

造成缓存雪崩的原因主要有两个:

1.相同的过期时间:当Redis中大量的缓存数据设置相同的过期时间时,这些数据很可能会在同一时间点同时失效,导致大量请求直接打到数据库上。

2.缓存集中失效:当服务器重启、网络故障等因素导致Redis服务不可用,且缓存数据没有自动进行容错处理,当服务恢复时大量的数据同时被重新加载到缓存中,也会导致大量请求直接打到数据库上。

预防缓存雪崩的方法主要有以下几种:

1.设置不同的过期时间:可以将缓存数据的过期时间分散开,避免大量缓存数据在同一时间点失效。

2.使用加锁:可以将所有请求都先进行加锁操作,当某个请求去查询数据库时,如果还没有加载到缓存中,则只让单个线程去执行加载操作,其他线程等待该线程完成后再次进行判断,避免瞬间都去访问数据库从而引起雪崩。

3.提前加载预热:在系统低峰期,可以提前将部分热点数据加载到缓存中,这样可以避免在高峰期缓存数据失效时全部打到数据库上。

4.使用多级缓存:可以在Redis缓存之上再使用一层缓存,例如本地缓存等,当Redis缓存失效时,还能够从本地缓存中获取数据,避免直接打到数据库上。

在这里插入图片描述

本地缓存:ehcache oscache spring自带缓存 持久层框架的缓存


总结

Linux进阶——系统安全,重要文件,加固系统的相关配置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/266552.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C习题002:澡堂洗澡【仅供参考】

问题 输入样例 在这里给出一组输入。例如&#xff1a; 2 5 1 3 3 2 3 3 输出样例 在这里给出相应的输出。例如&#xff1a; No代码长度限制 16 KB 时间限制 400 ms 内存限制 64 MB 栈限制 8192 KB 代码 #include<stdio.h> int main() {int N,W,s,t,p;int arr_s[…

Spring 学习记录

Spring 学习记录 1. Spring和SpringFrameWork1.1 广义的Spring2.1 狭义的Spring2.3 SpringFrameWork / Spring框架图 2. Spring IOC容器(即上图中的Core Container)2.1 相关概念 (IOC DI 容器 组件)2.2 Spring IOC容器的作用2.3 Spring IOC容器接口和具体实现类 3. Spring IOC …

TDengine 研发分享:利用 Windbg 解决内存泄漏问题的实践和经验

内存泄漏是一种常见的问题&#xff0c;它会导致程序的内存占用逐渐增加&#xff0c;最终导致系统资源耗尽或程序崩溃。AddressSanitizer (ASan) 和 Valgrind 是很好的内存检测工具&#xff0c;TDengine 的 CI 过程就使用了 ASan 。不过这次内存泄漏问题发生在 Windows 下&#…

新品齐发!小牛电动打造全场景高端化产品阵列!

2 月 29 日&#xff0c;全球智能城市出行品牌小牛电动发布“新世代性能旗舰”电摩NX、电自NXT&#xff0c;以及“全场景智驾越野电摩”X3三款新品。同时&#xff0c;与知名体育电竞俱乐部——JDG京东电子竞技俱乐部携手&#xff0c;打造“英雄的联盟”超级形象&#xff0c;引领…

学习大语言模型(LLM),从这里开始

在见识了ChatGPT的各种强大能力后&#xff0c;不少 NLP一线从业人员很自然地想到&#xff0c;以后开发者只要借助 ChatGPT&#xff0c;就可以做到现在大部分NLP工程师在做的事&#xff0c;比如文本分类、实体抽取、文本推理等。甚至随着大语言模型&#xff08;largelanguagemod…

【JVM篇】什么是运行时数据区

文章目录 &#x1f354;什么是运行时数据区⭐程序计数器⭐栈&#x1f50e;Java虚拟机栈&#x1f388;栈帧的内容 &#x1f50e;本地方法栈 ⭐堆⭐方法区 &#x1f354;什么是运行时数据区 运行时数据区指的是jvm所管理的内存区域&#xff0c;其中分为两大类 线程共享&#xf…

2024亚马逊全球开店注册前需要准备什么?

在2023年出海四小龙SHEIN、Temu、速卖通AliExpress、TikTok Shop快速增长扩张&#xff0c;成为了中国跨境卖家“逃离亚马逊”的新选择。但是&#xff0c;跨境电商看亚马逊。当前&#xff0c;亚马逊仍然是跨境电商行业的绝对老大&#xff0c;占有将近70%成以上的业务份额。 作为…

【电商干货】5分钟了解电商数据API测试完整流程,建议收藏!可获取免费测试key!

电商API是什么&#xff1f; API是application programming interface&#xff08;应用程序接口&#xff09;的简称&#xff0c;是一些预先定义的函数。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力&#xff0c;而又无需访问源码&#xff0c;或理解内部…

快速下载Huggingface的大语言模型

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、Huggingface是什么&#xff1f;二、基于官方huggingface-cli下载&#xff08;基础&#xff0c;断线风险&#xff09;1.安装hf下载环境2.配置环境变量3.注册…

WPF 【十月的寒流】学习笔记(2):MVVM中是怎么实现通知的

文章目录 前言相关链接代码仓库项目配置代码初始代码ViewPersonViewModel 尝试老办法通知解决方案ObservableCollectionBindingListICollectionView 总结 前言 我们这次详细了解一下列表通知的底层是怎么实现的 相关链接 十月的寒流 MVVM实战技巧之&#xff1a;可被观测的集合…

Appium + mitmProxy 实现APP接口稳定性测试

随着 App 用户量的不断增长&#xff0c;任何小的问题都可能放大成严重的线上事故&#xff0c;为了避免对App造成损害的任何可能性&#xff0c;我们必须从各个方面去思考 App 的稳定性建设&#xff0c;尽可能减少任何潜在的威胁。 1.背景介绍 为了保障 App 的稳定性&#xff0…

仿牛客网项目---社区首页的开发实现

从今天开始我们来写一个新项目&#xff0c;这个项目是一个完整的校园论坛的项目。主要功能模块&#xff1a;用户登录注册&#xff0c;帖子发布和热帖排行&#xff0c;点赞关注&#xff0c;发送私信&#xff0c;消息通知&#xff0c;社区搜索等。这篇文章我们先试着写一下用户的…

ELK 简介安装

1、概念介绍 日志介绍 日志就是程序产生的&#xff0c;遵循一定格式&#xff08;通常包含时间戳&#xff09;的文本数据。 通常日志由服务器生成&#xff0c;输出到不同的文件中&#xff0c;一般会有系统日志、 应用日志、安全日志。这些日志分散地存储在不同的机器上。 日志…

【Leetcode每日一刷】动态规划算法: 62. 不同路径、63. 不同路径 II

博主简介&#xff1a;努力学习和进步中的的22级计科生博主主页&#xff1a; Yaoyao2024每日一句: “ 路虽远&#xff0c;行则将至。事虽难&#xff0c;做则可成。” 前言 前言&#xff1a;动规五部曲 以下是《代码随想录》作者总结的动规五部曲 确定dp数组&#xff08;dp tab…

Flink——芒果TV的实时数仓建设实践

目录 一、芒果TV实时数仓建设历程 1.1 阶段一&#xff1a;Storm/Flink JavaSpark SQL 1.2 阶段二&#xff1a;Flink SQLSpark SQL 1.3 阶段三&#xff1a;Flink SQLStarRocks 二、自研Flink实时计算调度平台介绍 2.1 现有痛点 2.2 平台架构设计 三、Flink SQL实时数仓分…

AI智能分析网关V4:抽烟/打电话/玩手机行为AI算法及场景应用

抽烟、打电话、玩手机是人们在日常生活中常见的行为&#xff0c;但这些行为在某些场合下可能会带来安全风险。因此&#xff0c;对于这些行为的检测技术及应用就变得尤为重要。今天来给大家介绍一下TSINGSEE青犀AI智能分析网关V4抽烟/打电话/玩手机检测算法及其应用场景。 将监控…

输入一个字符串,将其中的数字字符移动到非数字字符之后

输入一个字符串&#xff0c;将其中的数字字符移动到非数字字符之后&#xff0c;并保持数字字符贺非数字字符输入时的顺序。 代码&#xff1a; #include <cstdio> #include <queue> using namespace std; int main() {char str[200];fgets(str, 200, stdin);//读入…

每周一算法:双端队列广搜

题目链接 电路维修 题目描述 达达是来自异世界的魔女&#xff0c;她在漫无目的地四处漂流的时候&#xff0c;遇到了善良的少女翰翰&#xff0c;从而被收留在地球上。翰翰的家里有一辆飞行车。有一天飞行车的电路板突然出现了故障&#xff0c;导致无法启动。 电路板的整体结…

【学习心得】Python调用JS的三种常用方法

在做JS逆向的时候&#xff0c;一种情况是直接用Python代码复现JS代码的功能&#xff0c;达成目的。但很多时候这种方法有明显的缺点&#xff0c;那就是一旦JS代码逻辑发生了更改&#xff0c;你就得重写Python的代码逻辑非常不便。于是第二种情况就出现了&#xff0c;我直接得到…

vue项目从后端下载文件显示进度条或者loading

//API接口 export const exportDownload (params?: Object, peCallback?: Function) > {return new Promise((resolve, reject) > {axios({method: get,url: ,headers: {access_token: ${getToken()},},responseType: blob,params,onDownloadProgress: (pe) > {peC…