Linux安全应用1

阻止普通用户关机

控制台助手机制

/usr/bin/consolehelper

配置目录

/etc/security/console.apps/

cd /etc/security/console.apps

mkdir -m 700 locked

mv poweroff locked

清理非登陆账号

/sbin/nologin  禁止登陆Shell

bin daemon shutdown ……

删除冗余账号

news games gopher

使用chage工具

-d 0 , 强制修改密码

-E yyyy-mm-dd , 指定失效日期 （-l 取消）

chage -E 2014-10-31 zengve

chage -l zergye  //查看zerye用户密码的详细信息

chage -d 0 tom  //强制tom用户修改密码

chage -m 0 tom  //随时可以更改密码

chage -m 1 -M 90 -W 5 -E 2014-10-01  -I 14 tom

m 密码最短使用时间

M 密码最长使用时间

-W 警告时间

-E 密码到期时间

-I 不活跃时间

账号的锁定/解锁

使用passwd命令

-l锁定 -u解锁 -S查看状态

使用usermod命令

-L锁定 -U解锁

passwd -l tom  //锁定用户tom的密码

passwd -S tom //查看用户的状态

grep tom /etc/shadow  //查看状态

强制定期修改密码

配置文件/etc/login.defs

- 对新建的用户有效

主要控制属性

- PASS_MAX_DAYS  最大天数

- PASS_MIN_DAYS  最小天数

- PASS_WARN_AGE  警告天数

- PASS_MIN_LEN   最短长度

减小历史命令的条数

环境变量 history

- 默认记录1000条

密码等敏感信息应避免在命令行输入

- 比如 NFS挂载、加域等操作

在用户的家目录 下，历

vim .bash_history //历史记录保存在此文件

vim /etc/profile  //修改历史条数

安全使用程序和服务

禁用非必要的系统服务

- 使用ntsysv、 chkconfig工具

禁止普通用户执行init.d目录下的脚本

- 限制 "other" 的权限

who -r //查看当前运行级别

run-level //查看当前运行级别

init 3 //切换到运行级别3

start x //进入图形界面

ntsysv --level 35 //选中要开机运行的35运行级别

文件系统规划及挂载

合理规划系统分区

- /boot /home /var 等采用独立的卷

mount挂载选项

-o nosuid -o noexec选项

SUID：如果一个可执行文件对其他人具有x权限，同时他也设置SUID，那么，

其他人在执行该文件的时候，文件执行期间就具备属主权限

# ll /bin/ls

# chmod 4755 /bin/ls

# su - tom

$ ls

# exit

# chmod u-s /bin/ls

mount -o noexec /dev/sda1 /boot  //不允许执行该分驱的文件

文件锁定和解锁

EXT3/EXT4的文件属性控制

- chattr lsattr

+ - =控制方式

- 属性i： 不可变（immutable）

- 属性a： 仅可追加（append only）

chmod  a= hosts   //设置权限等于空

chattr +i /etc/passwd  //加了i权限文件不可修改

chattr -i /etc/passwd  //撤消i权限

lsattr /etc/passwd //查看文件权限

tty终端控制

允许启用哪些tty终端

配置文件 /etc/sysconfig/init

- ACTIVE_CONSOLLES=/dev/tty[1-6]

立即禁止普通用户登陆

- /etc/nologin

touch /etc/nologin  //创建nologin文件禁止所有普通用户登陆

只允许root从指定的几个终端登陆

- 配置文件 /etc/securetty

伪装终端登陆提示

配置文件/etc/issue      //本地打开登陆终端出现的标题

配置文件/etc/issue.net  //telnet远程连接打开终端出现的标题，ssh不出现

vim /etc/httpd/conf

vim /etc/httpd/conf/httpd.conf

/ServerSignature On    //查找ServerSignature On

ServerSignature Off   //将on改为off关掉事务签名

:wq

禁止Ctrl+Alt+Del重启

停用Ctrl+Alt+Del执键配置

- /etc/init/control-alt-delete.conf

vim /etc/init/control-alt-delete.conf

#start on control-alt-delete

#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

:wq

6,$s/^/#/ //或这样加#号修改

GRUB引导控制

引导设密的作用

- 限制修改启动参数

- 限制进入系统

密码设置方法

- password --md5  加密的密码串

- 或者 ， password 明文密码串

获得MD5加密的密码串

grub-md5-crypt

vim /etc/grub.conf

default=0

timeout=5

splashimage=(hd0,0)/grub/splash.xpm.gz

hiddenmenu

password --md5 $1$kWaqv1$tJxpfKknIY7is51qrvWFD1

title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)

password abc

root (hd0,0)

kernel /vmlinuz-2.6.32-358.el6.x86_64 ro root=UUID=27e5d4b2-0432-4ce1-831d-10044d691e31 rd_NO_LUKS  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_MD crashkernel=auto LANG=zh_CN.UTF-8 rd_NO_LVM rd_NO_DM rhgb quiet

initrd /initramfs-2.6.32-358.el6.x86_64.img

vim /etc/grub.conf

title windwos 7//添加多一个系统引导

rootnoverify(hd0,0)

makective

chainloader +1    //设置为活动的

boot/grub/splash.xpm.gz  //开机启动图片存放位置

开机按"p"输入第一个密码

回车 再输入密码

用户切换与提权

切换用户身份，When

- SSH远程管理

- 运维测试

提升执行权限，When

- 管理权限细分

su tom //不加减号表示不登陆shell

su - tom //加减号表示登陆shell

提升执行权限（sudo）

用途：超级执行

验证凭据

- 当前用户的口令，需提前配置授权

命令格式

- sudo 特权命令

- sudo [-u 目标用户] 特权命令

# visudo

# visudo -c   #检查语法正不正确

/ALL

Cmnd_Alias USEROP = /usr/bin/passwd, /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod  //把命令加入USEROP组

User_Alias USER_ADMINS = tom, jack   //把tom加,jack加入USER_ADMINS组

tom     ALL=(ALL)       ALL     //加上这一行，可以执行任意管理员命令    sudo su -  #然后输入用户自己的密码，就可以切换成root用户了

USER_ADMINSALL=(ALL)USEROP   //USER_ADMINS组的这些人，可以执行USEROP组的这些命令

:wq

# su - tom

$ sudo -l  // 查看用户tom可以执行的命令

$ sudo useradd jack   //要加sudo可才可执行此命令

vim var/log/secure    //查看安全相关的日志

yum install -y finger

finger tom //查看tom的用户信息

chfn tom   //设置tom的用户信息

name: tommy

office: bejing

office: phone 010-0000

home phpone: 101-11111

验证查看tom的用户信息

grep tom /etc/passwd