系统安全及应用
1、系统安全1.1新服务器,部署服务器初始化
(1)设置ip地址、网关、DNS解析(static),内网外网的设置
(2)安装源,外网(在线即可),内网(没有光盘镜像只能用源码包编译安装)
(3)磁盘分区,lvm raid
(4)系统权限设置和基础的安全加固
1.2系统安全焦点
1、保护数据安全,客户信息,财务信息
2、从事互联网、网络业务服务,必须要通过工信部的资质审核。
3、保护品牌形象,信息安全是红线
2、应用
2.1对文件用户的操纵
2.1.1不必要大概不想登录的用户设置为nologin
命令:usermod -s nologin 用户名 (必要管理员权限)
2.1.2锁定用户
usermod -L 用户名 锁定
usermod -U 用户名 解锁
passwd -l 锁定
passwd -u 解锁
2.1.3删除无用账号
userdel -r 用户名
2.1.4锁定重要文件
如:passwd shadow fstab ifcfg-ens33
查看文件状态:lsattr
https://img-blog.csdnimg.cn/direct/f84c32e377504e41a68dc76c1e4dbbc4.png
锁定文件:chattr +i /etc/passwd /etc/shadow
解锁文件:chattr -i /etc/passwd /etc/shadow
2.2密码安全控制:修改有效期
新建用户:vim /etc/login.defs (已有效户不受影响)
https://img-blog.csdnimg.cn/direct/7fa5bb0706124ac7a7787b123b71741e.png
https://img-blog.csdnimg.cn/direct/642c95d7b35540fcbc18e1e1d9578080.png
cat /etc/passwd查看修改成功
https://img-blog.csdnimg.cn/direct/2b7383efce1948b9a178341643f9234a.png
已有效户:chage -M 有效天数 用户名
强制用户在下一次登录的时候修改密码:chage -d 0 用户名
2.3限制命令的历史记录
history查看历史记录
history -c 临时清空,重启之后历史记录会再次表现
修改历史记录,改全局设置文件 vim /etc/profile,历史记录改为60-100条,保存退出之后source立即生效
https://img-blog.csdnimg.cn/direct/e556441a1b5748569386d01dc4d3d7d5.png
https://img-blog.csdnimg.cn/direct/48948de4202d482b972e7fc7e2a2f75d.png
设置登录的超时时间:
vim /etc/profile 手动加入 TMOUT=10,10秒没有操纵自动退出
https://img-blog.csdnimg.cn/direct/301f8db2e48e4eb19ee8e30603cdb639.png
工作中设置为600秒,TMOUT=600
2.4怎样对用户切换进行限制
2.4.1su命令
su 切换用户
su+用户名 :不会更改情况变量,用的照旧之前用户的shell
su - 用户名:使用用户自己的情况
如果在root用户下,su相当于刷新
https://img-blog.csdnimg.cn/direct/6557e353c01d41549df5982c51f09815.png
如果是普通用户就是切换回root
https://img-blog.csdnimg.cn/direct/028e5c5683484900b2de3fa09587df77.png
限制用户使用su命令
2.4.2PAM安全认证
PAM安全认证:Linux系统身份认证的架构,提供了一种标准的身份认证的接口,答应管理员可以自定义认证的方式和方法。
PAM认证是一个可插拔式的模式
PAM的认证类型:
认证模块:验证用户的身份,基于密码的认证方式
授权模块:控制用户对系统资源的访问,文件权限,历程的权限
账户管理模块:管理用户账户信息,密码逾期策略,账户锁定策略
会话管理模块:管理用户会话,注销用户等
PAM安全认证流程
https://img-blog.csdnimg.cn/direct/7ce7457fbc414befb4fb6fe2338a133d.png
required:一票否决,只有成功才能通过认证,认证失败,也不会立即竣事,只有所有的要素认证完整才会终极返回竣事, 。必要条件
requisite:一票否决,只有成功才能通过,但是一旦失败,其他要素不再认证,立即竣事。必要条件
sufficient:一票通过,成功了之后就是满意条件,但是失败了也可忽略,成功了实验验证成功的结果,失败返回验证失败的结果,终极的结果。充分条件
optional:选项,反馈给用户的提示大概结果
认证方式的控制位:必须要满意充分和必要条件才能通过
vim /etc/pam.d/su 进入设置文件,将auth前面的#号删掉,取消注释,可以被实验
https://img-blog.csdnimg.cn/direct/8b1b9dcb08dd42d1b76b1c490466d76c.png
2.4.3wheel(wheel组)
在组文件中没有,是隐藏的,特别组,用来控制系统管理员的权限的一个特别组
wheel组专门用来为root服务
具体来说,如果普通用户加入到了wheel组就可以拥有管理员才能实验的一些权限
前面必须要加上sudo,sudo之后就可以使用wheel组的特别权限
wheel组默认是空的,没有任何成员,必要管理员账号手动添加
设置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能实验的权限)
wheel组的权限很大,设置的时候要以最小权限的原则进行设置
加入wheel组命令:gpasswd -a 用户名 wheel
谁在这个组就可以切换
https://img-blog.csdnimg.cn/direct/56ebd4a75a1b4d4ea89e46e80ffeccf0.png
test2没有加入wheel组,无权限访问
https://img-blog.csdnimg.cn/direct/41e8b90a6ac24f53b915cf2989d033b7.png
2.4.4sudo
sudo相当于给普通用户赋予管理员的权限(最小权限,管理员可以使用的命令)
vim /etc/sudoers 进入设置文件,只能wq!强制保存退出
加#号注释
https://img-blog.csdnimg.cn/direct/1468af4003c2426cb4c9cfeaff314991.png
从101行开始插入,用户名dn,声明可用权限为添加密码(可添加多个权限,用,号隔开)
https://img-blog.csdnimg.cn/direct/7f06c607a2d84d9b8a715e49ae6f6cd9.png
将dn加入到wheel中,可以直接添加密码
https://img-blog.csdnimg.cn/direct/8bf20d9de98c4887b813969046493b61.png
不加sudo权限不够,无法操纵
https://img-blog.csdnimg.cn/direct/26f833709cc04c90ace51d4dfdab17b9.png
2.4.5开关机安全控制
grub菜单加密
此界面按e进入grub菜单
https://img-blog.csdnimg.cn/direct/315c17ef133c4f79b10f355c2b6ad04f.png命令:grub2-setpasswd 设置密码,重启进入假造机,必要输入密码才可进入grub菜单
https://img-blog.csdnimg.cn/direct/14e8397bc8ec4a16a10a6021319d6dd0.png
2.4.5弱口令检测扫描工具
密码设置太简单会被提示修改
安装john解包,并安装依赖情况
https://img-blog.csdnimg.cn/direct/56ac66e1523045b4864ba02022f42190.png
https://img-blog.csdnimg.cn/direct/ffebf524760f4e2ea1b3c4fb9f293aca.png
进入src这个目录,编译情况
https://img-blog.csdnimg.cn/direct/662d56ec6fa74ccebe17a864aa3dfc0e.png
密码破解
https://img-blog.csdnimg.cn/direct/fb19c964e8ef4d1089d486c436ebdd23.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]