系统安全及应用

一、账号安全基本措施

1.系统账号清理

1.将用户设置为无法登录 /sbin/nologin

shell——/sbin/nologin却比较特殊，所谓“无法登陆”指的仅是这个用户无法使用bash或其他shell来登陆系统而已，并不是说这个账号就无法使用系统资源。举例来说，各个系统账号中，打印作业有lp这个账号管理，www服务器有apache这个账号管理，他们都可以进行系统程序的工作，但就是无法登陆主机而已。

2.锁定长期不使用的账号

账户锁定：passwd? ?-l? ?用户名? 或? ?usermod??-L? 用户名

账户解锁：passwd? -u? ?用户名 ?或? ?usermod? -U? 用户名

3.删除无用的账户

账户删除：userdel? -r? (并删除家目录)

4.锁定配置文件? ? chattr

某些特定文件比较重要防止误删除添加锁定文件? ?

锁定配置文件即锁定配置文件passwd与shadow??

-i     不得任意更动文件或目录
-a     让文件或目录仅供附加用途。只能追加

chattr +i /etc/passwd /etc/shadow           锁定配置文件
chattr -i /etc/passwd /etc/shadow           解锁配置文件
chattr +a /etc/passwd /etc/shadow           让文件或目录仅供附加用途,只能追加
lsattr /etc/passwd /etc/shadow              查看文件状态属性

5.清除历史记录

查看历史输入命令：history?

history记录存放文件：~/.bash_history

临时清空：history? ?-c

永久清空：echo " ">~/.bash_history，然后history? -c清空缓存的记录

Shell 环境的命令历史机制为用户提供了极大的便利，但另一方面也给用户带来了潜在 的风险。只要获得用户的命令历史文件，该用户的命令操作过程将会一览无余，如果曾经在 命令行输入明文的密码，则无意之中服务器的安全壁垒又多了一个缺口。 Bash 终端环境中，历史命令的记录条数由变量 HISTSIZE 控制，默认为 1000 条。通 过修改/etc/profile 文件中的 HISTSIZE 变量值，可以影响系统中的所有用户。例如，可以设 置最多只记录 200 条历史命令。?减少历史命令条数。

2.密码安全控制

1.设置密码规则

对于新建用户,可以修改 /etc/login.defs 文件里的内容来设置密码规则

面试：设置随机密码，每7天改一次，对密码复杂性有要求，区分大小写

你做过哪些系统安装加固？