程序笔记
发布时间:2022-07-19 发布网站:大佬教程 code.js-code.com
大佬教程收集整理的这篇文章主要介绍了Linux系统安全及应用,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
账号安全控制
账号安全基本措施
系统账号清理
@H_772_7@将非登录用户的SHell设为/sbin/nologinusermod -s /sbin/nologin 用户名
@H_772_7@锁定长期不使用的账号usermod -L 用户名 #锁定passwd -l 用户名 #锁定passwd -S 用户名 #查看
@H_772_7@删除无用的账号userdel [-r] 用户名
@H_772_7@锁定账号文件passwd、shadowchatter +i /etc/passwd /etc/shadow #锁定文件
(设置了`i'属性的文件不能进行修改:你既不能删除它, 也不能给它重新命名,你不能对该文件创建链接, 而且也不能对该文件写入任何数据. 只有超级用户可以设置或清除该属性.)
lsattr /etc/passwd /etc/shadow #查看状态chatter -i /etc/passwd /etc/shadow #解锁文件
密码安全控制
@H_772_7@设置密码有效期 vi /etc/login.defs #修改密码配置文件,适用于创建新用户
@H_772_7@ 设置用户下次登入时修改密码chage -M 时间 用户
chage命令用于密码实效管理,该是用来修改帐号和密码的有效期限。它可以修改账号和密码的有效期
常用参数
@H_772_7@-d 指定密码最后修改日期
@H_772_7@-E 密码到期的日期,过了这天,此账号将不可用。0表示马.上过期,-1表示永不过期。
@H_772_7@-h 显示帮助信息并退出
@H_772_7@-i 密码过期后,锁定账号的天数
@H_772_7@-l 列出用户以及密码的有效期
@H_772_7@-m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。
@H_772_7@-M 密码保持有效的最大天数。
@H_772_7@-W 密码过期前,提前收到警告信息的天数。
命令历史记录限制
@H_772_7@减少记录的命令条数;
@H_772_7@登录时自动清空命令历史 ;
@H_772_7@系统默认保存1000条历史命令记录;
@H_772_7@history -c 命令只可以临时清除记录(其实所有的文件都还保存在.bash_history ),重启后记录还在。
对历史命令的数量进行限制
vim /etc/profile #修改配置文件
export HISTSIZE=200 #修改命令历史记录最大为200 (全局)
source /etc/profile #刷新配置文件,立即生效
设置登录时自动清空命令历史
vim.bashrc #修改.bashrc配置文件(每次切换bash都执行)
或
vim /etc/profile #修改配置文件 (执行下次)
echo “” > ~/.bash_history
设置终端自动注销
vim /etc/profile #编辑文件
添加 export TMOUT=100 #时间单位为秒
source /etc/profile #刷新全局此文件
使用su命令切换用户
用途和格式
@H_772_7@用途:Substitute User,切换用户
@H_772_7@格式:su - 目标用户
(横杠“ - ”代表切换到目标用户的家目录)
密码验证
@H_772_7@root - - - >任意用户,不验证密码
@H_772_7@普通用户- - - >其他用户,验证目标用户的密码
@H_772_7@带 “ - ” 表示将使用目标用户的登录SHell
pwd 和 whoami 都可以查看 当前用户
限制使用su命令的用户
@H_772_7@将允许使用su命令的用户加入wheel组中;
@H_772_7@启用pam_wheel 认证模块
gpasswd -a zhangsan wheel # 添加成员到组
vim /etc/pam.d/su #编辑
auth required pam_wHell.so use_uid # 注销此行
Linux中的PAM安全认证
su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
PAM(Pluggable Authentication Modules)可插拔式认证模块
@H_772_7@是一种高效而且灵活便利的用户级别的认证方式;
@H_772_7@也是当前Linux服务器普遍使用的认证方式。
PAM认证原理:
@H_772_7@PAM认证一般遵循的顺序: service (服务) --> PAM (配置文件) --> pam_*.so;,
@H_772_7@PAM认证首先要确定哪一项应用服务,然后加载@R_772_11258@PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib64/security/下)进行安全认证。
@H_772_7@用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
@H_772_7@如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
@H_772_7@PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用.
|
|
用户1 |
用户2 |
用户3 |
用户4 |
@H_597_262@
required |
模块1 |
pass |
fail |
pass |
pass |
@H_597_262@
sufficient |
模块2 |
pass |
pass |
fail |
pass |
@H_597_262@
required |
模块3 |
pass |
pass |
pass |
fail |
@H_597_262@
|
结果 |
pass |
fail |
pass |
pass |
@H_597_262@
使用sudo机制提升权限
sudo命令的用途及用法
@H_772_7@用途 :以其他用户身份(如root执行授权的命令)
@H_772_7@用法:sudo 权限命令
配置sudo授权
@H_772_7@visudo或者vi /etc/sudoers(此文件没有写的权限,保存时必须 wq!强制执行操作)
@H_772_7@ 记录格式:用户 主机名=命令程序列表
@H_772_7@可以使用通配符“ * ”表示任意值和“ !”表示进行取反操作。
@H_772_7@ 权限生效后,有5分钟的闲置时间,超过5分钟没有操作则需要再输入密码。
语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
@H_772_7@用户: 直接授权指定的用户名,或采用“&组名"的形式(授权一个组的所有用户)。
@H_772_7@主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机。
@H_772_7@(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令。
@H_772_7@命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
@H_772_7@执行调用格式为(用户名 网络中的主机=(执行命令的目标用户) 执行的命令范围)
启用sudo操作日志
@H_772_7@需启用Defaults logfile配置
@H_772_7@默认日志文件:/var/log/sudo
@H_772_7@操作:在/etc/sudoers
末尾添加Defaults logfile="/var/log/sudo"
大佬总结
以上是大佬教程为你收集整理的Linux系统安全及应用全部内容,希望文章能够帮你解决Linux系统安全及应用所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。