linux安全及应用

密码安全控制

将密码的有效期设为30天:vim/etc/login.defs

将有效期30天应该在lisi用户:chage –M30 lisi

某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码,可以有管理员执行强制策略,以便用户在下次登录时必须更改密码:

Chage–d 0 lisi

命令历史,自动注销。

Shell环境的命令历史机制为用户提供了极大的便利。但服务器的安全壁垒多了一个缺口。Bash终端环境中,历史目录的记录条数有变量HISTSIZE控制。默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户:

还可以修改宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句:

Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,可以有效避免当管理员不在时其他人员对服务器的误操作风险。Vim /etc/profile     exportTMOUT=600

用户切换与提权

su命令主要用来切换用户,而sudo命令用来提升执行权限

su命令:切换为指定的另一个用户,从而具有该用户的所有权限。

选项“-”等同于“--login”或“-l”,表示切换用户后进入目标用户的登录shell环境,若缺少此选项则及切换身份,不切换用户环境。切换root用户,可以省略。

借助于pam_wheel认证模块,只允许各别用户使用su命令切换。实现过程:将授权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证。

sudo命令——提升执行权限

通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码

配置文件/etc/sudoers中添加授权

Sudo机制的配置文件为/etc/sudoers,文件多大默认权限为440,需使用专门的visudo工具进行编辑。

授权的基本配置格式:

userMACHINE=COMMANDS

用户(user):授权的用户名,或采用“%组名”的形式

主机(MACHINE):使用此配置文件的主机名称,方便在多个主机间共用同一份sudoers文件,一般设为localhost文件

命令(COMMANDS):允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号进行分隔

授权用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户,主机,命令部分都可以定义为别名,分别通过关键字user_Alias,Host_Alias,Cmnd_Alias来进行设置。

User_Alias        OPERATORS=jerry,tom,tsengyia

Host_Alias        MAILSVRS=smtp,pop

Cmnd_Alias      PKGTOOLS=/bin/rpm,/usr/bin/yum

OPERATORS     MAILSVRS=RKGTOOLS

Sudo配置记录的命令的部分允许使用通配符“*”,取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令是特别有用。

通过sudo执行特权命令:只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin,/usr/sbin等目录下。普通用户执行是应使用绝对路径。

权限不够

“sudo -l”命令可以看见已授权用户的sudo配置

系统引导和登录控制

           开关机安全控制

                            调整bios引导设置

                                      将第一优化引导设备设为当前系统所在磁盘

                                      禁止从其他设备(光盘,U盘,网络等)引导系统,对应先设为“disabled

                                      bios的安全级别改为“setup”,并设置管理密码,防止未授权修改。

                                     禁止ctrl+alt+del快捷键重启

                                      快捷键的位置更改为/etc/init/control-alt-delete.conf,注释里面的信息即可。

                       限制更改GRUB引导参数。

         MD5算法加密的字符串:“grub-md5-crypt

  引导过程的安全控制,在“/boot/gurb/grub.conf”文件文件可以为GRUB菜单设置一个密码。

重新开机按e进入GRUB菜单,直接按e将无法修改引导参数。需要按p键输入正确的GRUB密码。然后按e 添加1. 回车。按b,进入。输入root passwd

                   终端及登录控制

                                     /etc/init/tty.conf    //控制tty终端的开启

                                /etc/init/start-ttys.conf    //控制tty终端的开启数量,设备文件

                                /etc/sysconfig/init          //控制tty终端的开启数量,终端颜色

                   禁止root用户登录

                            Linux系统中,login程序会读取/etc/securetty文件,以决定允许root用户从哪些终端登录系统。

                   禁止普通用户登录

                            login程序会检查/etc/nologin文件是否存在,如果存在则拒绝普通用户登录系统。

时间: 2024-11-07 13:54:17

linux安全及应用的相关文章

排查Linux机器是否已经被入侵

随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [[email protected] ~]# ll -h /var/log/* -rw-------. 1 root root 2.6K Jul 7 18

linux下Nginx配置文件(nginx.conf)配置设置详解(windows用phpstudy集成)

linux备份nginx.conf文件举例: cp /usr/local/nginx/nginx.conf /usr/local/nginx/nginx.conf-20171111(日期) 在进程列表里 面找master进程,它的编号就是主进程号. ps -ef | grep nginx 查看进程 cat /usr/local/nginx/nginx.pid 每次修改完nginx文件都要重新加载配置文件linux命令: /usr/local/nginx -t //验证配置文件是否合法 若ngin

Linux下WebSphereV8.5.5.0 安装详细过程

Linux下WebSphereV8.5.5.0 安装详细过程 自WAS8以后安装包不再区别OS,一份介质可以安装到多个平台.只针对Installation Manager 进行了操作系统的区分 ,Websphere产品介质必须通过专门的工具Install Managere安装.进入IBM的官网http://www.ibm.com/us/en/进行下载.在云盘http://yun.baidu.com/share/linkshareid=2515770728&uk=4252782771 中是Linu

Linux centos下让alias自定义永久生效(+常用的别名)

alias可以简化一些复杂的命令串,使一个单词或简化后的命令即可实现复杂(通常是带很多参数的长串)命令. 基本用法: alias 简化命令='实际的长串命令'    //实际长串命令通常为'原命令 -/选项参数' eg. alias ll='ls -a' 获取别名: alias        //即可查看当前设定的所有alias别名 取消别名: unalias 简化命令 eg. unalias ll            //取消ll的别名 永久生效: 直接使用alias命令定义的别名,重启后就

Linux下修改环境变量PATH

1.什么是环境变量(PATH) 在Linux中,在执行命令时,系统会按照PATH的设置,去每个PATH定义的路径下搜索执行文件,先搜索到的文件先执行. 我们知道查阅文件属性的指令ls 完整文件名为:/bin/ls(这是绝对路径), 那你会不会觉得很奇怪:"为什么我可以在任何地方执行/bin/ls这个指令呢? " 为什么我在任何目录下输入 ls 就一定可以显示出一些讯息而不会说找不到该 /bin/ls 指令呢? 这是因为环境变量 PATH 的帮助所致呀! 当我们在执行一个指令癿时候,举例

老男孩Linux运维第41期20170917开班第四周学习重点课堂记录

第1章 必知必会文件 配置文件位置 该文件作用 /etc/sysconfig/network-scripts/ifcfg-eth0 第一块网卡的配置文件 同setup中的network /etc/resolv.conf 客户端DNS配置文件,优先级低于网卡配置文件 /etc/hosts 主要作用是定义IP地址和主机名的映射关系(域名解析),是一个映射IP地址和主机名的规定 /etc/sysconfig/network 用于配置hostname和networking /etc/fstab 开机自动

Linux基础命令小结

注意:Linux严格区分大小写 老男孩方法论经验之谈: 有一种方法叫做没方法 有两种方法,左右为难 有三种方法才叫有方法 停止一个命令:CTR + C 1.创建目录 英文:make directorys 命令:mkdir 实例:三种方式 mkdir /data cd / mkdir data cd /;mkdir data mkdir x y z    表示同时创建多个目录 mkdir -p /data/x/y   表示同时创建多级目录(递归创建),切记不可用mkdir /data/x/y 2.

Linux red hat 安装ansible

今日对Linux 系统是Red Hat Enterprise Linux Server release 6.5 (Santiago)对ansible进行安装. 由于系统的源为yum源,所以使用yum install ansible 进行安装,但是报错.如图.(这个错误是yum源没有注册到red hat 系统). yum源不能安装,所以换了一个思路.使用pip安装.pip是依赖python安装的. 1.检查Python版本 Python -v 检查出来为Python 2.6.6 2.检查pip 版

初识运维3--在虚拟机中安装Linux发行版系统(CentOS)的方法

在讲Linux系统发行版本的安装过程之前,先大略说明一下虚拟化. 虚拟化:将底层硬件资源抽象为用户更容易读懂和使用的逻辑抽象层的技术. 最早由IBM提出,现使用率较高的虚拟化软件平台有三类:VMware workstation.VirtualBOX.HyperV.在这里使用VMware workstation作为例子讲解说明安装过程. 虚拟化网络: 桥接模式:让物理机和虚拟机利用物理网络接口完成通信.虚拟机可以访问互联网. 仅主机模式:让虚拟机和物理机利用被虚拟出来的VMnet1网络接口完成通信

查看Linux系统版本信息

一.查看Linux内核版本命令(两种方法): 1.cat /proc/version [[email protected]CentOS home]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013 2.uname -a [