22 、系统安全

新的服务器到手,部署服务器初始化。

1、配置ip地址 网关dns解析(static)内网和外网。

2、安装源,外网(在线即可),内网(只能用源码包编译安装)。

3、磁盘分区,lvm raid。

4、系统权限配置和安全加固。

系统安全

1、保护数据安全,客户信息,财务信息。

2、互联网,网络业务服务,必须要通过工信部的资质审核。

3、保护品牌形象。信息安全—绝对红线

应用:

1、不需要或者不想登录的用户设置为nologin。

usermod -s nologin 用户 管理员权限

[root@localhost opt]# usermod -s nologin lm
[root@localhost opt]# cat /etc/passwd
lm:x:1020:1020::/home/lm:nologin

2、锁定用户

usermod -L 用户

[root@localhost opt]# usermod -L lk[root@localhost opt]# passwd -S lk
lk LK 2024-05-30 0 99999 7 -1 (密码已被锁定。)

usermod -U 用户

[root@localhost opt]# usermod -U lk
[root@localhost opt]# passwd -S lk
lk PS 2024-05-30 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)

passwd -l 用户

[root@localhost opt]# passwd -l lk
锁定用户 lk 的密码 。
passwd: 操作成功
[root@localhost opt]# passwd -S lk
lk LK 2024-05-30 0 99999 7 -1 (密码已被锁定。)

passwd -u 用户

[root@localhost opt]# passwd -u lk
解锁用户 lk 的密码。
passwd: 操作成功
[root@localhost opt]# passwd -S lk
lk PS 2024-05-30 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)

3、删除无用账号

userdel -r 用户名(同时删除家目录)

[root@localhost ~]# userdel -r lm

4、锁定重要的文件

passwd shadow fstab ifcfg-ens33

lsattr 文件,查看文件锁定状态

[root@localhost ~]# lsattr /etc/passwd
---------------- /etc/passwd

没有状态 lsattr 查看文件的状态

锁定文件:

chattr +i 文件,锁定文件,管理员只读模式

[root@localhost ~]# lsattr /etc/passwd
----i----------- /etc/passwd

chattr -i 文件,解锁文件

[root@localhost ~]# chattr -i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd
---------------- /etc/passwd

二、密码安全控制

1、新建用户

vim /etc/login.defs

vim /etc/login.defs(已有用户不受影响)

在这里插入图片描述

2、已有用户

chage - M 30 用户名(更改用户有效期)

ly4:$6$0N3SiHo/$GumXFIMx2y7thq0L36kHHJF893dJAE.eEB0.Zu/RMcW10HSERLpmPvRP43c1swmudd7EsFF/efXIJcrW8IQYc.:19873:0:99999:7:::
liy:!!:19873:0:30:7:::          ##更改有效期

如何强制用户在下一次登录时候修改密码

chage -d 0 用户名 (重新进需要普通用户切换,输入两次密码,才能改密码)

[ly1@localhost ~]$ su - liy
密码:
su: 鉴定故障
[ly1@localhost ~]$ su - liy
密码:
您需要立即更改密码(root 强制)
为 liy 更改 STRESS 密码。
(当前)UNIX 密码:
新的 密码:
无效的密码: 这个密码和原来的相同
新的 密码:
无效的密码: 这个密码和原来的相同
新的 密码:
无效的密码: 密码与原来的太相似
su: 已经超出服务重试的最多次数

三、限制

1、修改历史记录

history -c ##临时清除命令,重启之后又有

vim /etc/profile

修改历史记录,修改HISTSIZE=1000

source /etc/profile ##刷新配置文件

2、设置登录的超时时间:

vim /etc/profile

最后一行TMOUT=10,无操作10秒之后退出登录。

工作中TMOUN=600

四、如何对用户切换进行限制:

su 切换用户

su 用户名 不会更改环境变量,用的还是之前用户的shell,不完全切换。

su - 用户名 使用用户自己的环境。

如果在root用户下,su相当于刷新,如果是普通用户就是切换回root。

[root@localhost ~]# hostnamectl set-hostname chenqian  ##更改主机名
[root@localhost ~]# su                                   刷新
[root@chenqian ~]# #

限制用户使用su这个命令?

PAM安全认证:linux系统身份认证的架构,提供了一种标准的身份认证的接口,允许管理员可以自定义认证的方式和方法。

PAM认证是一个可插式的默认。

PAM的认证类型:

认证模块:验证用户的省份,基于密码的认证方式。

授权模块:控制用户对系统资源的访问,文件权限,进程的权限。

账户管理模块:管理用户账户信息,密码过期策略,账户锁定策略。

会话管理模块:管理用户会话,注销用户等。

cd /etc/pam.d/

在这里插入图片描述

passwd dn 三次机会

1、失败 成功

2、失败

3、成功 失败

结束 失败次数过多 结束 结束

required:一票否决,只有成功才能通过认证,认证失败,也不会立刻结束,只有所有的要素验证完整才会最终返回结果。必要条件(个人理解为在规定范围内,允许多次认证,但是必须成功才能通过)

requisite:一票否决,只有成功才能通过,但是一旦失败,其他要素不再验证,立刻结束,必要条件。(个人理解只有一次认证,无论成功还是失败都结束)

sufficient:一票通过,成功之后就是满足条件,但是失败,也可忽略,成功了执行验证成功的结果,失败返回验证失败的结果,最终的结果。充分条件。(个人理解只有一次认证,无论成功还是失败都给结果)

optional,选项,反馈给用户的提示或者结果。

控制位,必须要满足充分和必要条件才能通过。

wheel

wheel组,这个在组文件当中没有,隐藏,特殊组。用来控制管理员的权限的一个过程。

wheel组专门用来为root服务。

具体来说,如果普通用户加入到了wheel组,就可以拥有管理员才能够执行的一些权限。

前面必须要加上sudo sudo之后就可以使用wheel组的特殊权限。

wheel组默认是空的,需要管理员账号手动添加。

配置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能够执行的权限)

wheel的权限很大,配置的时候要以最小权限的原则进行配置。

谁在wheel组,才能进行切换。

vim /etc/pam.d/su
打开auth            required        pam_wheel.so use_uid[ly4@localhost ~]$ su - xy102
密码:
上一次登录:四 5月 30 20:17:53 CST 2024pts/0 上
我爱王心凌![xy102@localhost ~]$ su - ly1
密码:
su: 拒绝权限
[xy102@localhost ~]$ 登出
[ly4@localhost ~]$ su - ly1
密码:
上一次登录:五 5月 31 00:14:28 CST 2024pts/0 上
最后一次失败的登录:五 5月 31 00:16:40 CST 2024pts/0 上
最有一次成功登录后有 3 次失败的登录尝试。
[ly1@localhost ~]$ su - root
密码:
上一次登录:四 5月 30 23:49:12 CST 2024从 192.168.168.1pts/0 上

总结:打开wheel组,ly1,ly4,以及管理员root,可以互相切换;

wheel组用户可以切换到普通用户;

普通用户不能切换到wheel组用户;

#auth           required        pam_wheel.so use_uid    #关闭wheel

关闭wheel组权限用户之间可以相互切换

[root@localhost ~]# su - ly1
上一次登录:五 5月 31 00:27:13 CST 2024pts/0 上
[ly1@localhost ~]$ su - ly
密码:
上一次登录:五 5月 31 00:24:27 CST 2024pts/0 上
最后一次失败的登录:五 5月 31 00:27:49 CST 2024pts/0 上
最有一次成功登录后有 3 次失败的登录尝试。[ly@localhost ~]$ 
[ly@localhost ~]$ su - ly1
密码:
上一次登录:五 5月 31 00:28:08 CST 2024pts/0 上

su

sudo相当于给普通用户赋予管理员的权限(最小权限,管理员可以使用的命令)

vim /etc/sudoers注释107,111行在100行ly1     ALL=(root)      /usr/bin/passwd #用whereis [root@localhost ~]# passwd ly1
更改用户 ly1 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# gpasswd -d ly1 wheel
正在将用户“ly1”从“wheel”组中删除
gpasswd:用户“ly1”不是“wheel”的成员
[root@localhost ~]# su - ly1
上一次登录:五 5月 31 01:51:07 CST 2024pts/0 上
[ly1@localhost ~]$ passwd ly1
passwd:只有根用户才能指定用户名。
[ly1@localhost ~]$ sudo passwd ly1
[sudo] ly1 的密码:
更改用户 ly1 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# gpasswd -a ly4 wheel
正在将用户“ly4”加入到“wheel”组中
[root@localhost ~]# vim /etc/pam.d/su
[root@localhost ~]# su - ly4
上一次登录:五 5月 31 07:02:21 CST 2024pts/1 上
[ly4@localhost ~]$ passwd ly4
passwd:只有根用户才能指定用户名。
[ly4@localhost ~]$ sudo passwd ly4
[sudo] ly4 的密码:
ly4 不在 sudoers 文件中。此事将被报告。  #需要将用户加入sudoers,否则无权限

开关机安全控制

grub2-setpassword

[root@localhost ~]# grub2-setpassword
Enter password:                #设置密码
Confirm password:              #设置密码

简单密码扫描

1、关闭防火墙、安全机制

[root@localhost ~]# systemctl stop firewalld 
[root@localhost ~]# setenforce 0

2、安装包拖入/opt、进行解压

[root@localhost opt]# tar -xf john-1.8.0.tar.gz

3、进入文件夹配置安装过程中需要的编译环境

[root@localhost opt]# cd john-1.8.0[root@localhost john-1.8.0]# yum -y install gcc gcc-c++ make

4、[root@localhost john-1.8.0]# cd src

5、编译使用环境

[root@localhost src]# make clean linux-x86-64

6、把/etc/shadow 复制到/opt/shadow.txt下

[root@localhost src]# cp /etc/shadow /opt/shadow.txt

7、切换到/etc/john-1.8.0/run 打开程序破解简单程序密码,破解的是shadow里面用户比较简单的密码,一般纯数字比较好破解。

[root@localhost run]# ./john /opt/shadow.txt[root@localhost run]# ./john /opt/shadow.txt
Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
123456           (ly)
123              (ly4)
123              (root)
3g 0:00:00:23 100% 2/3 0.1266g/s 371.3p/s 379.4c/s 379.4C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed

8、查看简单密码扫描情况./john --show /opt/shadow.txt

[root@localhost run]# ./john /opt/shadow.txt
Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
123456           (ly)
123              (ly4)
123              (root)
3g 0:00:00:23 100% 2/3 0.1266g/s 371.3p/s 379.4c/s 379.4C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed
[root@localhost run]# ./john -show /opt/shadow.txt
root:123::0:99999:7:::
ly:123456:19864:0:99999:7:::
ly4:123:19864:0:99999:7::19898:3 password hashes cracked, 0 left

最后总结:你会做那些系统加固

1、锁定重要文件。

2、修改history命令的历史记录。

3、禁止普通用户切换用户。

4、设置sudo权限,给普通用户。

5、设置grub菜单加密。

6、把一些默认的端口号,大家都知道的端口号改掉。

7、内核参数修改。

vim /etc/sysctl.conf

内核参数的配置文件。
e
//安装依赖环境
cd /opt/john-1.8.0/src
//工具解压在/opt目录下
make clean linux-x86-64
cp /etc/shadow /opt/shadow.txt
//复制密码文件到/opt下,
cd …/run
./john /opt/shadow.txt
//扫描密码
./john --show /opt/shadow.txt
//查看扫描情况

最后总结:你会做那些系统加固

1、锁定重要文件。

2、修改history命令的历史记录。

3、禁止普通用户切换用户。

4、设置sudo权限,给普通用户。

5、设置grub菜单加密。

6、把一些默认的端口号,大家都知道的端口号改掉。

7、内核参数修改。

vim /etc/sysctl.conf

内核参数的配置文件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/338743.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

k8s 1.28.x 配置nfs

1.安装nfs,在每个节点上安装 yum install -y nfs-utils 2.创建共享目录(主节点上操作) mkdir -p /opt/nfs/k8s 3.编写NFS的共享配置 /opt/nfs/k8s *(rw,no_root_squash) #*代表对所有IP都开放此目录,rw是读写 4.启动nfs systemctl enable nfs-ser…

十_信号11 - 函数sigsetjmp() 和 siglongjmp()

也就是说,正常情况下,当捕捉到一个信号,并调用该信号的信号处理程序时,被捕捉的信号会被加入到当前进程的信号屏蔽字中,以防止在本次信号处理程序还没有完成的时候,再次触发该信号, 发生重入。 …

Py列表(list)

目录 正向索引: 反向索引: 嵌套列表: 修改列表中的值 列表常用的方法 实例 练习: 正向索引: 从0开始,依次递增。第一个元素的索引为0,第二个元素的索引为1,依此类推。 列表的下标…

JS-09-es6常用知识1

目录 1 模板字符串 1.1 模板字符串基本用法 1.2 模板字符串解决了一些痛点 2 解构赋值 2.1 对象的解构赋值 2.2 函数参数的解构赋值 2.3 补写:属性的简写 3 rest参数 3.1 arguments 3.2 rest参数 3.3 补充:判断数据类型 4 箭头函数 4.1 …

传输中的串扰(八)

串扰指的是有害信号从一个线网传递到相邻线网上。通常把噪声源所在的线网称为动态线或攻击线网,而把有噪声形成的线网称为静态线或受害线网。 静态线上的噪声电压的表现与信号电压完全一样。一旦在静态线上产生噪声电压,它们就会传播并在阻抗突变处出现反…

服务器数据恢复—服务器raid常见故障表现原因解决方案

RAID(磁盘阵列)是一种将多块物理硬盘整合成一个虚拟存储的技术,raid模块相当于一个存储管理的中间层,上层接收并执行操作系统及文件系统的数据读写指令,下层管理数据在各个物理硬盘上的存储及读写。相对于单独的物理硬…

外卖点餐系统 springboot+vue+element-ui

免费获取方式↓↓↓ 项目介绍038: http://localhost:8080/ 账号:weiguanke 123 系统登陆后展示 用户可视界面 – 登录页面 – 首页: – 店铺查找页面: 店铺查找 – 店铺页面 店铺管理者可视页面 – 店铺页面 店铺管理员…

Redis之持久化、集群

1. Redis持久化 Redis为什么需要持久化?因为Redis的数据我们都知道是存放在内存中的,那么每次关闭或者机器断电,我们的数据旧丢失了。 因此,Redis如果想要被别人使用,这个问题就需要解决,怎么解决呢?就是说我们的数…

Windows通过cmd运行快速启动应用

Windows如何通过cmd运行快速启动应用? 在Windows操作系统中,可以通过配置环境变量的方式将文件的路径配置到环境变量的path中,配置完成后可以在cmd中输入对应的应用名称即可启动应用,具体操作如下: 1. 添加应用程序路径…

力扣62. 不同路径

一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为 “Start” )。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角(在下图中标记为 “Finish” )。问总共有多少条不同的路径? 示例 1&…

FJSP:蛇鹫优化算法(SBOA)求解柔性作业车间调度问题(FJSP),提供MATLAB代码

详细介绍 FJSP:蛇鹫优化算法(Secretary bird optimization algorithm,SBOA)求解柔性作业车间调度问题(FJSP),提供MATLAB代码-CSDN博客 完整MATLAB代码 FJSP:蛇鹫优化算法&#xff…

spoon工具的常用基础操作

一些常用转换工具 1、emp表输入->excel表输出 emp表输入,可以进行预览查看数据有没有过来excel表输出 成功执行后,可以到保存的excel位置进行查看。 2、excel输入->表输出 运行转换后可以在oracle进行查看是否有成功创建这个表 3、对部门最高…

Java 22的FFM API,比起Java 21的虚拟线程

哪个对Java未来的发展影响更大?两个 Java 版本中的重要特性:Java 21 的虚拟线程和 Java 22 的 FFM API。我这里有一套编程入门教程,不仅包含了详细的视频讲解,项目实战。如果你渴望学习编程,不妨点个关注,给…

原生APP开发和Flutter开发的比较

原生APP开发和Flutter开发各有优缺点,适用于不同的场景和需求。下面是两者的详细比较,从开发语言、性能、开发效率、维护和更新、社区和支持等多个方面进行分析。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。…

【康耐视国产案例】智能AI相机机器视觉精准快速实现包裹标签的智能粘贴

康耐视推出的3D-A1000是专业的、匹配物流行业各类分拣机及包裹检测应用的全功能视觉检测系统,其能够准确检测分拣机上是否有包裹、包裹是否超出边界、空车检测、是否有遗留物品等。由于搭载了专利的三维结构光技术,产品具有更强大的创新性以满足持续更新…

综合交易模型--雪球跟单参数说明支持qmt,同花顺

经过测试,目前完成了这个策略。支持多策略,支持全市场,包括股票,etf,可转债 全部的参数 { "雪球跟单":"跟单原理", "原理":"比重变大默认买入,变小默认卖出,持股…

fintuning chatglm3

chatglm3介绍 ChatGLM3-6B 是 ChatGLM 系列最新一代的开源模型,在保留了前两代模型对话流畅、部署门槛低等众多优秀特性的基础上,ChatGLM3-6B 引入了如下特性: 更强大的基础模型: ChatGLM3-6B 的基础模型 ChatGLM3-6B-Base 采用…

【uni-app】Pinia 持久化

小程序端 Pinia 持久化 说明:Pinia 用法与 Vue3 项目完全一致,uni-app 项目仅需解决持久化插件兼容性问题。 持久化存储插件 安装持久化存储插件: pinia-plugin-persistedstate pnpm i pinia-plugin-persistedstate插件默认使用 localStor…

Anaconda创建python环境默认C盘,如何修改路径

文章目录 前言解决方案1.找到Anaconda的根目录2. 找到根目录文件夹,右键-属性-安全 测试-重新创建新的python环境 前言 使用 Anaconda创建python环境,默认在C盘。 如何修改到别的路径呢? base环境 是安装 Anaconda是安装的默认环境&#x…

西瓜播放器xgplayer设置自动播放踩坑

上图是官网(西瓜视频播放器官方中文文档)的介绍,相信大家都是按照官网配置去做的,但是并没有什么用,插件很好用,但是属性不全,真的很悔恨,找遍 api 都没有找到自动播放的属性&#x…