Linux系统安全及应用(1)

一.账号安全控制

系统账号清理

二.密码安全控制

密码安全控制

三.命令历史限制

命令历史限制

四.限制su切换用户

1）将信任的用户加入到wheel组中

2）修改su的PAM认证配置文件

编辑五.PAM认证的构成

六.使用sudo机制提升权限

一.账号安全控制

系统账号清理

将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

锁定长期不使用的账号

usermod-L用户名
passwd-S用户名
passwd-用户名

删除无用的账号

userdel [-r]用户名

锁定账号文件passwd、shadow

chattr +i/etc/passwd /etc/shadow
Isattr/etc/passwd /etc/shadow
chattr -i/etc/passwd /etc/shadow

chattr + i [文件名]：锁定指定文件

[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd 
----i----------- /etc/passwd
[root@localhost ~]# ll /etc/passwd
-rw-r--r--. 1 root root 2498 4月  18 17:23 /etc/passwd
[root@localhost ~]# echo 1111 >> /etc/passwd 
-bash: /etc/passwd: 权限不够
[root@localhost ~]# chattr +i /etc/shadow
[root@localhost ~]# useradd lisi
useradd：无法打开 /etc/passwd
[root@localhost ~]# echo 123123 | passwd --stdin lll
更改用户 lll 的密码 。
passwd: 鉴定令牌操作错误
[root@localhost ~]# userdel lll
userdel：无法打开 /etc/passwd

chattr - i [文件名]：解锁指定文件

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 
[root@localhost ~]# lsattr /etc/passwd 
---------------- /etc/passwd

二.密码安全控制

密码安全控制

设置密码有效期
要求用户下次登录时修改密码

chage -M [密码有效期天数] [系统中已存在的用户名]

修改系统中已经存在用户的密码有效期

[root@localhost ~]# chage -M 35 lll
[root@localhost ~]# tail /etc/shadow
sshd:!!:19828::::::
avahi:!!:19828::::::
postfix:!!:19828::::::
tcpdump:!!:19828::::::
mwq:$6$aGtV0krLdkxMKXTH$9A0or5E3UuqGoZr2hPaRmtUuZcd7nvQI3ekvc7.oRkivND0PWTvYqDDIdT20e5yKZ/TTQ33jaz6niJRlIc4wA0::0:99999:7:::
apache:!!:19828::::::
lll:$6$bVkg0T15$1u4lwDuM7EcOuP5AC4lVMyR.NovwEAO8tkXg1uTDzNQkSvYPiBbhnL1J93YizfEcRWXUjy8RcYsfxzPEzfStM.:19831:0:35:7:::
clr:$6$NLTnP.oX$opiHUXZuq.dpqHDy/51AbiUjXgjtIfIlmWfy2RdOJE1aZHD3gOWQjonfQwkImZBEdQAGfBaqeV0BS9OHy11HC1:19831:0:99999:7:::
l:$6$hyydKWkw$DNXko82Ru8yXKNR4.pq6ZPonsgp.w2gvL1IEBTmyQhjvV13RVRre9FE7E5alHiVcFYJqwG8ncU3AQPnqwtPmb.:19831:0:99999:7:::
abc:!!:19831:0:99999:7:::

vim /etc/lpgin.desf→PASS_MAX_DAYS

针对新用户

[root@localhost ~]# useradd lgd
[root@localhost ~]# vim /etc/login.defs

chage -e 0 用户名

强制用户下一次登录修改密码

[root@localhost ~]# useradd lgd2
[root@localhost ~]# echo 123 | passwd --stdin lgd2
更改用户 lgd2 的密码 。
passwd：所有的身份验证令牌已经成功更新。
[root@localhost ~]# chage -d 0 lgd2
[root@localhost ~]# tail /etc/shadow
postfix:!!:19828::::::
tcpdump:!!:19828::::::
mwq:$6$aGtV0krLdkxMKXTH$9A0or5E3UuqGoZr2hPaRmtUuZcd7nvQI3ekvc7.oRkivND0PWTvYqDDIdT20e5yKZ/TTQ33jaz6niJRlIc4wA0::0:99999:7:::
apache:!!:19828::::::
lll:$6$bVkg0T15$1u4lwDuM7EcOuP5AC4lVMyR.NovwEAO8tkXg1uTDzNQkSvYPiBbhnL1J93YizfEcRWXUjy8RcYsfxzPEzfStM.:19831:0:35:7:::
clr:$6$NLTnP.oX$opiHUXZuq.dpqHDy/51AbiUjXgjtIfIlmWfy2RdOJE1aZHD3gOWQjonfQwkImZBEdQAGfBaqeV0BS9OHy11HC1:19831:0:99999:7:::
l:$6$hyydKWkw$DNXko82Ru8yXKNR4.pq6ZPonsgp.w2gvL1IEBTmyQhjvV13RVRre9FE7E5alHiVcFYJqwG8ncU3AQPnqwtPmb.:19831:0:99999:7:::
abc:!!:19831:0:99999:7:::
lgd:!!:19832:0:99999:7:::

三.命令历史限制

命令历史限制

减少记录的命令条数
登陆时自动清空命令历史

history

查看历史命令

[root@localhost ~]# history1  ifconfig2  ifconfig ens333  vi ens334  vi /etc/sysconfig/network-scrip/ifcfg-ens335  ping baidu.com6  ifconfig ens337  help ens338  help ip9  man -k ens3310  vi /etc/sysconfig/network-scripts/ifcfg-ens3311  systemctl restart network12  ping baidu.com13  ipconfig ens3314  ifconfig ens3315  mount /dev/sr0 /mnt16  mount /dev/sr0/ mnt17  df18  cd /boot19  cd grub2/20  ls21  mount/dev/sr0 /mnt22  mount/dev/sr0/ mnt23  mount /dev/sr0/ mnt24  mount /dev/sr0 /mnt25  mount /dev/sr0/ mnt26  df27  mount /dev/sr0/ mnt28  mount/dev/sr0/ mnt29  mount/dev/sr0 /mnt30  mount /dev/sr0 /mnt31  df32  cd /etc/yum.repo.d/33  cd/etc/yum.repo.d/34   cd /etc/yum.repos.d/35  mkdir repo.bak36  mv *.repo repo.bak37  vim local.repo38  yum clean all && yum makecache39  yum install -y httpd40  dd if=/dev/zero of=/dev/sda bs=446 count=141  init 642  fdsik /dev/sdb43  fdisk /dev/sdb44  cd /tmp45  ]# cp /dev/sr0   /tmp & nohup46  ]nohup cp /dev/sr0   /tmp &47  nohup ./catalina.sh run &48  cd /tmp49  df50  mount /dev/sr0 /mnt51  cd /etc/yum.repos.d/52  mkdir repos.bak53  mv *.repo repos.bak54  vim55  vim local.repo56  yum clean all && yum makecache57  cd58  yum install -y httpd59  vim local.repo60  yum clean all && yum makecache61  df62  cp /dev/sr0   /tmp63  cp /dev/sr0   /tmp &64  y65  ll -h66  cd /tmp67  ll -h68  ll -l69  ls70  ll -h71  crontab -l72  systemctl status crond.service73  crontab -e 74  crontab -l75  cd /var/spool/cron 76  cat root77  echo '30 7 * * 6 /usr/bin/systemctl httpd restart' >> /var/spool/cron/root78  crontab -l79  crontab -e #打开crontab80  groupadd -g 666 lll81  groupadd -g 666 llll82  useradd 12383  useradd 78984  useradd abc85  gpasswd -a abc llll86  gpasswd -d abc llll87  groupdel llll88  chattr +i /etc/passwd89  lsattr /etc/passwd 90  ll /etc/passwd91  echo 1111 >> /etc/passwd 92  chattr +i /etc/shadow93  useradd lisi94  echo 123123 | passwd --stdin lll95  userdel lll96  chattr -i /etc/passwd /etc/shadow 97  lsattr /etc/passwd 98  chage -M 30 lll99  vim /etc/shadow100  chage -M 35 lll101  tail /etc/shadow102  useradd lgd103  vim /etc/shadow104  vim /etc/login.defs105  useradd lgd2106  echo 123 | passwd --stdin lgd2107  chage -d 0 lgd2108  tail /etc/shadow109  history

history -c

清空历史记录

vim /etc/profile

export HISISIZE=XX

soure/etc//profile

限制历史命令数量

vim .bash_history

echo ’ ’ > /.bash_history

将空数据内容重定向写入到/.bash_history文件中，实现开机登录，自动清空历史命令

修改/etc/bashrc文件

实现开机登录，自动清空历史命令

vim /etc/bashrc
/.bash_history

四.限制su切换用户

1）将信任的用户加入到wheel组中

gpasswd wheel -a 用户名

[root@localhost ~]# gpasswd wheel -a lll
正在将用户“lll”加入到“wheel”组中

2）修改su的PAM认证配置文件

vim /etc/pam.d/su -> 开启 auth required pam_wheel.so use_uid 的配置

五.PAM认证的构成

六.使用sudo机制提升权限

visudo
或
vi /etc/sudoers（此文件的默认权限为 440，保存退出时必须执行“:wq!”命令来强制操作）

“/var/log/sudo” ：保存日志文件，可以查看到所有用户登录系统的操作

[root@clr ~]# vim /etc/sudoers## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL
zhangsan ALL=(root) /usr/sbin/ifconfig
lisi ALL=!/bin/rm
User_Alias GZY=zhangsan,lisi
Cmnd_Alias ADMIN=/sbin/*,!/usr/sbin/reboot,!/usr/sbin/poweroff,!/usr/sbin/init,!/usr/sbin/shutdown
GZY ALL = NOPASSWD: ADMINDefaults logfile = "/var/log/sudo"  #保存日志文件[root@clr ~]# cd /var/log/
[root@clr /var/log]# vim sudo
Apr 13 00:09:36 : zhangsan : command not allowed ; TTY=pts/0 ; PWD=/root ;USER=root ; COMMAND=/sbin/reboot   #zhangsan用户不被允许的操作
Apr 13 00:09:51 : zhangsan : TTY=pts/0 ; PWD=/root ; USER=root ;COMMAND=/sbin/route add -net 10.0.0.1/24 gw 192.168.80.20 dev ens33  #zhangsan用户添加路由的操作
Apr 13 00:10:12 : lisi : command not allowed ; TTY=pts/0 ; PWD=/home/lisi ;  #用户lisi不被允许的操作USER=root ; COMMAND=/sbin/reboot

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.rhkb.cn/news/316596.html

如若内容造成侵权/违法违规/事实不符，请联系长河编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！