Linux系统安全（用户、暗码、grub引导暗码、增加终端） ...

目次
系统安全
用户安全
暗码安全
PAM认证
下令的汗青
用户切换
下令的实行权限
grub引导暗码
增加终端

---

系统安全

用户安全

下令	说明
chattr +i /etc/passwd	chattr：为文件添加特殊权限 +i：指定文件设为不可修改，只有root用户能为文件添加该权限 a：只能追加该文件 c：文件将被自动压缩以节省磁盘空间 d：该文件或目次不会被dump下令备份 s：当文件或目次被删除时，数据内容在磁盘上不会立刻被扫除，而是标记为删除 u：当文件或目次设置了u属性后，即使root用户也不能直接删除它，而是需要先移除这个属性
chattr -i /etc/passwd	将该文件减去不可修改的权限
chattr +a 文件	+a：append only，系统只答应在这个文件追加数据，而不答应修改、覆盖、删除这个文件。 比如利用 echo "aaa">>test.txt 下令来追加字符串
lsattr [文件]	查看指定文件的特殊权限

暗码安全

路径	说明
/etc/login.defs	在该文件内修改之后创建用户时的默认参数，修改后不会影响原有的用户账号 暗码计谋对管理员无效 PASS_MAX_DAYS 99999 暗码的最大有用天数。超过这个天数后，用户需要更改暗码。 PASS_MIN_DAYS 0 暗码更改后，必须等候的最小天数才能再次更改暗码。 PASS_MIN_LEN 5 最小暗码长度，这一页项在这个文件内是无效的 PASS_WARN_AGE 7 暗码到期前的告诫天数

PAM认证

Pluggable authentication module - 可插拔认证模块

路径	说明
/etc/pam.d	该目次存放的都是pam认证文件 文件的作用是用户在利用下令的时候是否有权限利用该指令

下令的汗青

下令	说明
history	列出系统利用过的下令
history -c	扫除汗青下令
clear	清屏
export TMOUT=5	当系统超过5秒不实行下令时，退出终端，单位为秒
路径	说明
/etc/profile	profile：全局环境变量文件，用户登录时会被加载 在该文件可以或许修改history下令可以或许表现行数 在第46行HISTSIZE=修改的行数 修改后已经登录的用户不会收到影响，修改后登录的用户会被影响
.bash_logout	该文件用于存储 用户退出时所实行的下令

用户切换

下令	说明
su - 用户名	不接纳当前用户环境信息，利用目标用户的环境信息切换用户 在root用户登录终端下可以利用su - 用户名 下令来切换用户，假如是平凡用户切换到root登录则需要暗码
exit	退出登录

下令的实行权限

文件和下令	说明
/etc/sudoers	该文件为只读，为用户指定权限的文件，可以或许让用户实行哪些下令都是由该文件决定的
visudo	打开/etc/sudoers文件
Defaults logfire="/var/log/sudo"	用visudo下令在sudoers文件添加左侧下令，表示启用提权日志

grub引导暗码

• 密文
  
  
  
  • 对字符进行加密处理
    
  
  
• 明文
  
  
  
  • 不加密
    
  
  

下令和路径	说明
grub2-mkpasswd-pbkdf2	天生一个暗码的密文 会根据你输入的口令根据算法酿成密文
/etc/grub.d/	该路径下存储的文件是系统在启动时依次要读取的
01_users	该文件用于配置用户自界说在选中相应内核时按下e键后
grub2-mkconfig -o /boot/grub2/grub.cfg	天生GRUB引导加载器配置文件 修改完01_users文件后，需要重新天生grub配置文件

1. #!/bin/sh -e
2. cat << EOF
3.     set superusers="root" # 设置用户，哪个用户能够进入到grub的设置
4.     export superusers # 为超级用户设置参数
5.     password_pbkdf2 root grub.pbkdf2.sha512.10000.39CDB34D784C4B846111317645175228B9BBCBADC536D16CD52E6AF088056E04482C9D77320A00AFE0457A0B5B2ECFA56F94260ED1AC8939267B7B2E85388BC6.1D92BACD35D4DEB2C87D7BB1867A23B1A081C86742B9A3CF2E7B3B8053BB1B5F01CF3794433C2265FDFA2250EDF6414BA52E8D2F57FC8338878EB28B3240B462   # 给root设置加密以后的密码，示例为密文，明文则是加密前的密码
6. EOF

复制代码

• 先通过 grub2-mkpasswd-pbkdf2 下令天生一个密文
  
• 在 /etc/grub.d/ 目次下修改 01_users 文件为上方示例
  
• 利用 grub2-mkconfig -o /boot/grub2/grub.cfg 重新天生grub配置文件
  
• 再重启系统来到grub引导界面
  

• 按下e键，就会提示输入登录的用户名和暗码
  
• 登录成功后就进入内核的配置页面
  

增加终端

• tty终端默认为6个，Linux桌面版的桌面默认安装在tty1上，而进入系统默认选择tty1的终端，以是桌面版的linux一进系统就是桌面
  

下令和文件	说明
/etc/securetty	用于控制哪些终端答应用户登录 假如不想让用户在某一个终端登录，就把终端名注释掉
/etc/systemd/login.conf	该文件 [Login] [Login] #NAutoVTs=6 改为 NAutoVTs=12 表示虚拟终端分配的数量改为12，默认为6
systemctl restart systemd-logind	重启用户登录会话相关服务 当你修改了比如终端数量的配置，需要重启该服务才会同步你修改的配置
/etc/nologin	在/etc目次下创建名为nologin的空文件，可以阻止平凡用户登录终端

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。