Linux防护与群集 第一章

1、系统账号清理

在Linux系统中．除了用户手动创建的各种账号之外，还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户rool之外.其他大量账号只是用来维护系统运作．启动或保持服务进程.一般是不允许登录的．因此也称为非登录用户账号.

常见的非登录用户账号包括bin、daemon、adm、lp、mail等。为了确保系统安全，这些用户账号的登录Shell通常是/sbin/nologin，表示禁止终端登录，应确保不被人为改动，如下所示，

[root@Linux01 ~]# grep "/sbin/nologin$" /etc/passwd

————————————————————————————————————————?

对于Linux 服务器中长期不用的用户账号.若无法确定是否应该删除.可以暂时将其锁定。例如.若要锁定．解锁名为zhangsan的用户账号，可以执行以下操作(passwd,usermod 命令都可用来锁定.解锁账号).

[root@Linux01 ~]# usermod -L bdqn    //锁定账号

[root@Linux01 ~]# passwd -S bdqn     //查看账号的状态

[root@Linux01 ~]# usermod -U bdqn     //解锁账号

?

———————————————————————————————————————————

如果服务器中的用户账号已经固定.不再进行更改，还可以采取锁定账号配置文件的方法.使用chattr命令，分别结合“+i”“-i”选项来锁定．解锁文件．使用lsattr 命令可以查看文件锁定情况。

[root@Linux01 ~]# chattr +i /etc/passwd /etc/shadow   //锁定文件
[root@Linux01 ~]# lsattr /etc/passwd /etc/shadow     //查看文件状态

[root@Linux01 ~]# chattr -i /etc/passwd /etc/shadow    //解锁文件
[root@Linux01 ~]# lsattr /etc/passwd /etc/shadow     //查看文件的状态

?

———————————————————————————————————————————

在账号文件被锁定的情况下，其内容将不允许变更．因此无法添加．删除账号，也不能更改用户的密码、登录Shell、宿主目录等属性信息.

[root@Linux01 ~]# chattr +i /etc/passwd /etc/shadow     //锁定文件
[root@Linux01 ~]# useradd lishi  //添加新的账号

?

——————————————————————————————————————

2．密码安全控制

? ? ? ?在不安全的网络环境中．为了降低密码被猜出或被暴力破解的风险，用户应养成定期更改密码的习惯．避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置密码，否则将拒绝登录。

执行以下操作可将密码的有效期设为30天(chage命令用于设置密码时限)。

[root@Linux01 ~]# vim /etc/login.defs     //用于新建的账号

[root@Linux01 ~]# chage -M 3000 bdqn     //用于已经有的账户

————————————————————————————————————————

在某些特殊情况下．如要求批量创建的用户初次登录时必须自设密码，根据安全规划统一要求所有用户更新密码等，可以由管理员执行强制策略．以便用户在下次登录时必须更改密码。例如.执行以下操作可强制要求用户zhangsan下次登录时重设密码.

[root@Linux01 ~]# chage -d 0 lisi

——————————————————————————————————————————

history      //查询使用过的命令

[root@Linux01 ~]# vim /etc/profile    //用于新账号登录


[root@Linux01 ~]# export HISTSIZE=10000     //用于当前账号

————————————————————————————————————————

Bash 终端环境中，还可以设置-一个闲置超时时间，当超过指定的时间没有任何输入时即自动注销终端.这样可以有效避免当管理员不在时其他人员对服务器的误操作风险,闲置超时由变量 TMOUT来控制,默认单位为秒(s).

[root@Linux01 ~]# vim /etc/profile      //用于新用户

[root@Linux01 ~]# export TMOUT=6000    用于当前用户 立即生效

?新增加下面这一项

——————————————————————————————————————————

用户切换与提权

? ? ? 使用su命令，可以切换为指定的另一个用户．从而具有该用户的所有权限。当然，切换时需要对目标用户的密码进行验证（从root 用户切换为其他用户时除外)。例如，当前登录的用户为jerry,若要切换为root 用户．可以执行以下操作。

[bdqn@Linux01 ~]$ su - root

——————————————————————————————————

? ? ? 默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户〈如root〉的登录密码，这样带来了安全风险。为了加强su命令的使用控制．可以借助于pamn_wheel认证模块．只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel 组，修改/etc/parn.d/ su认证配置以启用pam_wheel认证。

[root@Linux01 ~]# gpasswd -a bdqn wheel     //添加授权用户 bdqn

[root@Linux01 ~]# grep wheel /etc/group     //确认 wheel 组成员

——————————————————————————————————————————

? ? ? 默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户〈如root)的登录密码，这样带来了安全风险，为了加强su命令的使用控制,可以借助于parm_wheel认证模块．只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel组，修改/ etc/parn.d/su认证配置以启用pam_wheel认证。

[root@Linux01 ~]# vim /etc/pam.d/su

?去掉这行开头的 # 号 就可以了

启用pamn_wheel认证以后，未加入到wheel组内的其他用户将无法使用su命令，尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。

?

——————————————————————————————————————————

系统引导和登录控制

禁止Ctrl + Alt + Del 快捷键重启

快捷键重启功能为服务器的本地维护提供了方便.但对于多终端登录的Linux服务器，禁用此功能是比较安全的选择。在CentOS 7中，执行cat /etc/ inittb命令可以得知Ctrl+Alt+Del 快捷键功能由/usr /lib/systemd/system/ctrl-alt-del , target 文件进行设置，查看/usr/ lib/systernd/system/ctrl-alt-del , target文件发现，ctrl--alt-del , target是reboot , target文件的软链接文件。

在不影响reboot , target文件的前提下执行以下命令即可禁用Ctrl+Alt+Del快捷键功能。

[root@Linux01 ~]# systemctl  mask ctrl-alt-del.target    //注销  ctrl-alt-del.target  服务

[root@Linux01 ~]# systemctl daemon-reload    //从新加载配置systemd

_______________________________________________________________________

终端及登录控制

1．禁止 root 用户登录

在Linx系统中，login程序会读取/etc/securetty文件．以决定允许root用户从哪些终端〈安全终端）登录系统。若要禁止root用户从指定的终端登录．只需从该文件中删除或者注释掉对应的行即可。例如．若要禁止 roat 用户从tty5、tty6登录．可以修改/etc/securetty文件，将tty5，tty6行注释掉。

[root@Linux01 ~]# vim /etc/securetty 

————————————————————————————————————————

2．禁止普通用户登录

当服务器正在进行备份或调试等维护工作时．可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin文件即可。login程序会检查/etc/nologin文件是否存在．如果存在，则拒绝普通用户登录系统（root 用户不受限制)。

[root@Linux01 ~]# touch /etc/nologin    //禁止普通用户登录


[root@Linux01 ~]# rm -rf touch /etc/nologin  //如果想解除禁止就直接删除命令

——————————————————————————————————————————