系统安全及应用

本文详细介绍了Linux系统中的安全控制措施,包括账号安全控制、密码管理、命令历史限制、终端自动注销、su命令使用与PAM安全认证。此外,还讲解了使用sudo提升权限的优缺点和配置,以及如何通过开关机安全控制、终端登录限制和系统弱口令检测来增强系统安全性。同时,文章探讨了网络端口扫描工具NMAP的使用,以确保网络端口安全。

目录

账号安全控制

系统账号清理

示例

密码安全控制

设置密码有效期

要求用户下次登录时修改密码

命令历史限制

终端自动注销

减少命令条数的示例

清除用户历史命令记录示例

永久删除历史命令的方法

 启动顺序:

终端自动注销实例

使用su命令切换用户

用途及用法

密码验证

切换用户示例

限制使用su命令的用户

 查看su操作记录

Linux中的PAM安全认证

su命令的安全隐患

PAM(Pluggable Authentication Modules)可插拔式认证模块

PAM认证的构成

查看某个程序是否支持PAM认证,可以用ls命令

查看su的PAM配置文件:cat letc/pam.d/su

控制标记的补充说明

PAM安全认证流程

控制类型也称做Control Flags,用于PAM验证类型的返回结果。

 使用sudo机制提升权限

su命令的缺点

sudo命令的用途及用法

配置sudo授权

使用sudo机制提升小结

对用户进行操作示例

 对组进行操作示例

案例

用户别名案例

案例一用户别名

 实例

 第二个例子二用户别名

 如何查看日志

开关机安全控制

调整BIOS引导设置

GRUB限制

备份配置文件

配置设置用户和密码文件

终端登录安全控制

限制root只在安全终端登录

安全终端配置:/etc/securetty

禁止普通用户登录

建立/etc/nologin文件

删除nologin文件或重启后即恢复正常

系统弱口令检测

John the Ripper,简称为JR

安装JR工具

检测弱口令账号

密码文件的暴力破解

网络端口扫描

NMAP的扫描

常用的扫描类型

详解

示例

 查IP

 也可以查网段​

 查端口

 查看是否能ping通此网段

本章总结

账号基本安全措施

用户切换与提权

开关机安全控制

终端控制

John the Ripper

工具namp命令


账号安全控制

系统账号清理

将非登入用户的Shell设为/sbin/nologin (程序账号)

锁定长期不使用的账号

删除无用的账号

锁定文件账号passwd、shadow

[root@localhost~]# chattr +i /etc/passwd /etc/shadow

[root@localhost~]# lsattr /etc/passwd /etc/shadow

----i---------- /etc/passwd

----i---------- /etc/shadow

示例

先创建一个用户并更改密码

 查看状态

 锁定文件并查看状态

 此时我们是无法使用useradd命令的

 然后我们解锁,再试试创建用户。此时应该是能行的

 然后我们删掉一些用户锁住另一个再试一次

 此时也是无法使用useradd的

 

 我们解锁/etc/shadow

 

 此时是可以创建的

 

 此时我们可以发现无论是锁住/etc/passwd或者/etc/shadow他都使用不了useradd命令。

密码安全控制

设置密码有效期

要求用户下次登录时修改密码

[root@localhost ~]# vim /etc/login.defs           适用于新建用户

……

PASS_MAX_DAYS       30

[root@localhost ~]# chage -M 30 lisi           适用于已有用户

[root@localhost ~]# chage -d 0 zhangsan             强制在下次登入时更改密码

/etc/login.defs (适用于新建的用户才生效)

 

PASS_MAX_DAYS:设置密码有效期

PASS_MIN_DAYS:表示自上次修改密码以来最少间隔多少天,用户才能再次修改密码

PASS_MIN_LEN:密码最小长度  (生产环境中最小为18位)

PASS_WARN_AGE:密码还有七天到期(提前七天进行提醒)

 修改密码有效期

 

 

 记住一定要先设置在创建用户然后更改密码

 还有另一种方式设置密码有效期:

先创建一个新的用户并更改密码

命令历史限制

减少记录的命令条数

注销时自动清空命令历史

终端自动注销

闲置600秒后自动注销

[root@localhost ~]#f vi letc/profile

HISTSIZE=200

[root@localhost ~]# vi ~l.bash_logout

history -c 

clear

减少命令条数的示例

查看历史命令条数

 

 超过两百条的历史命令会自动覆盖

设置步骤

 进入编辑页面

 找到HISTSIZE

 

 更改数据

 

 保存、退出、查看

 

[root@localhost ~]# vi ~l.bash_logout          (登出系统的配置文件)

history -c

clear

清除用户历史命令记录示例

进入一个用户

 查看历史命令

 

 进入编辑页面

 

 编辑命令,保存并退出

 

 登出用户

 

永久删除历史命令的方法

进入用户

 删除上一个方法的命令然后登出,然后再次登入

 进入编辑页面

 

 编辑命令

 

 在另一个窗口中打开,并输入history查看

 

 启动顺序:

用户登录-》加载~/.bash_profile --》bash_profile中的配置首先是使 ~/.bashrc生效

用户登出--》.bash_logout 运行logout配置文件

终端自动注销实例

 保存并退出

  刷新一下才会生效

使用su命令切换用户

用途及用法

用途:Substitute User,切换用户

格式:su - 目标用户

注:切换到任何目录都需要密码

密码验证

oroot→任意用户,不验证密码

普通用户→其他用户,验证目标用户的密码

[ljerry@localhost ~]$ su - root_         (带-选项表示将使用目标用户的登录Shell环境)

口令:

[root@localhost ~]# whoami

root

su - :切换到宿主目录

su  :切换到当前目录

切换用户示例

限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块

[root@localhost ~]# gpasswd -a tsengyia wheel

tsengyia

正在将用户“tsengyia"加入到“wheel"组中

[root@localhost ~]# viletc/pam.d/su

#%PAM-1.0

auth      sufficient     pam_rootok.so

auth      required      pam_wheel.so   use_uid

创建用户并设置密码,打开编辑页面

 开启PAM认证(删除#开启)

 

 

( 启用required pam认证,未加入到wheel组的无法使用use命令)

然后保存并退出

 查看组信息

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值