• linux 系统管理11 ——系统安全及应用


    一、基本安全措施

    1、系统账号清理

    (1)、将非登陆用户的shell设为/sbin/nologin

    方法一、usermod -s

    方法二、chsh命令,交互式修改

    方法三、chsh -s

    usermod(修改用户) userdel(删除用户) useradd(创建用户)

    可用命令 tail -10 /etc/passwd

    2、锁定长期不使用的账号

    方法一;passwd -l (将在密文前增加2个“!”) 解锁 passwd -u 查看passwd -s

    方法二、usermod -L{将在密文前增加一个“!")解锁usermod -U

    若用passwd -l +用户 锁定用usermod -u  解锁必须输入2次命令usermod -U

    3、删除无用的账号  userdel{r}

    4、锁定账号文件

    /etc/passwd     /etc/shadow

    1>锁定;chattr +/etc/passwd  +/etc/shadow

    2>解锁;chattr -i /etc/passwd -i /etc/shadow

    3>查看;lsattr /etc/passwd   /etc/shadow

    例;

     2、密码安全控制

    (1)设置密码有效期

    1>修改某个已存在用户的密码有效期

    chage -M 天数 用户名

    passwd -x 天数 用户名

    2>设置今后添加用户时的默认密码有效期

    方法一;VI编辑/etc/login.defs文件,修改“pass_MAX_DAN"后面的数值

    咧;

    vi /etc/login.defs

    将99999天改为60天 然后用 useradd wang(创建一个用户) grep wang /etc/shadow (过滤查看)

    (2)要求用户下次登陆时修改密码

    1>方法:chage -d o 用户名

    3、命令历史限制

    (1)减少历史的命令条数

    1>方法一;vi编辑/ect/profile文件,修改”HISTSIZE="后面的数值

    2>方法二;export HISTSIZE=数值

    如;方法一;vi 编辑/etc/profile文件,修改“HISTSIZE=100"

    把1000改为100

    source /etc/profile  使/etc/profile配置文件生效,此时全局生效

    方法二;export HISTSIZE=100 仅当前用户环境生效

    export 全局生效 /etc/profile 全局变量

    export HISTSIZE=100

    (2)注销时自动清空历史命令

    1>方法;vi编辑宿主目录下的”.bash_logout"文件,添加“history-c"

    2>示例;设置amber用户注销时自动清空历史命令

    vi ~amber/.bash_logout

    4、终端自动注销

    (1)方法一;VI编辑/etc/profile 文件,添加”TMOUT=数值“

    (2)方法二;export TMOUT=数值

    (3)示列;闲置600秒后自动注销

    方法一;VI编辑/etc/profile文件,添加”TMOUT=600"

    vi /etc/profile

     方法二;export TMOUT=600

    export TMOUT=600 仅当前用户环境生效

    二、切换用户

    1、作用;切换用户(Substitute User)

    2、su[-]目标用户 (有“-”初始化环境变量,无“-”环境变量不改变)

    3、查看SU操作记录

    安全日志文件;/var/log/secure

    tac /var/log/secure|less

    三、提升权限 Sudo 命令

    1、SU命令的缺点;

    在使用SU命令时,不指定用户名以默认切换至root用户,需要输入root密码,但实际生产中root密码是不可以被广泛告知的。如果需要执行root用户才有权限的命令,需要通过sudo命令或wheel组的设置来实现。

    2、sudo命令

    (1)作用;以其他用户身份(默认root身份)执行授权的命令

    (2)用法;

    sudo授权命令

    默认设置为首次执行时,需输入当前用户的登陆密码,5分钟内再次执行sudo命令时则无需再次输入密码

    (3)配置sudo授权

    1>方法一;添加单个用户的sudo授权

    visudo或者vi /etc/sudoers(效果相同),添加配置内容

    格式;用户     主机名列表=命令出现列表,命令前加“!”表示“除了”此命令

    2>方法二;批量授权   wheel组

    HOST Aliase主机名(下图)

    User Aliases用户名

    Command Aliases命令别名

     

    根据示列以及实际需求,设置别名。(建议先复制,再粘贴修改)

    设置别名后,添加格式;

    用户别名    主机别名=命令别名(所有别名均大写)

    (4)查看sudo操作记录

    第一步;visudo或者vi /etc/sudoers添加“Defaults logfile=/var/log/sudo"

    第二步;cat/var/log/sudo

    示列;启用Defaults logfile 配置,给xiao用户所有/sbin/以及/usr/sbin/下的命令执行权限,除了关机以及重启。

    visudo

     sudo userdel -r xiao5        grep xiao5 /etc/passwd              sudo init 0

    对不起,用户 xiao 无权以 root的身份在www.xiao.com上执行/sbin/init 0.

    tac /var/log/sudo

    5、查询授权操作 sudo -l   用户xiao  可以在该主机上运行以下命令

    (root)/sbin/*,(root)     /usr/sbin/*,(root)  ! /sbin/reboot,  (root)   !/sbin/init,(root),  (root) !/sbin/poweroff,   (root) !/sbin/shutdown

     

  • 相关阅读:
    图灵科普系列丛书封面有奖征集(贴图送书)
    图灵2010.03书讯
    博客园图灵杯第4届博问大赛(2.27~3.27)
    asp.net运行原理
    IIS与NET桥梁
    offsetParent解释
    XML 操作类库(开源项目)
    W3C不兼容问题(最根本的原因,及解决方案)
    深入理解JavaScript系列
    HttpApplication对象创建的细节
  • 原文地址:https://www.cnblogs.com/jijiguowang/p/9850333.html
Copyright © 2020-2023  润新知