Linux系统安全及应用

发布时间:2024年01月07日

一、账号安全基本措施

1、系统账号清理

  • 将非登录用户的Shell设为/sbin/nologin
  • 锁定长期不使用的账号
  • 删除无用的账号
  • 锁定账号文件passwd、shadow
chattr +i /etc/passwd   ###锁定文件

lsattr /etc/passwd       ###查看状态

chattr -i /etc/passwd   ###解锁文件

1.锁定文件查看

2.锁定/etc/passwd、还能修改密码因为密码有/etc/shadow管理

3.将/etc/shadow上锁后就不能修改密码了

2、密码安全控制

  • 设置密码有效期
  • 要求用户下次登录时修改密码
chage:密码失效是通过此命令来管理的。
 
  参数意思:
  -m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
  -M 密码保持有效的最大天数。
  -W 用户密码到期前,提前收到警告信息的天数。
  -E 帐号到期的日期。过了这天,此帐号将不可用。
  -d 上一次更改的日期
  -I 停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
  -l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期

3、命令的历史限制

source /etc/profile   ###刷新

 ./etc/profile   ###另一种刷新方式

vim ~/.bash_history  ###历史命令记录存储在.bash_history里

echo " " > .bash_history   ###清空历史命令记录 .bash_history

history -c   ###临时删除

限制命令长度
在vim /etc/profile空白处添加
export  HISTSIZE=100 就可以限制只显示100行
保存退出,再用source 刷新一下就OK
要想永久删除历史记录就在文件配置里面写一行代码

在.bashrc配置文件里面加入一行代码
echo " ">~/.bash_history
保存退出,重启就可

二、使用su命令切换用户

1、用途

  • 用途:Substitute User,切换用户
  • 格式:su - 目标用户

2、PAM安全验证

?控制类型也称做Control Flags,用于PAM验证类型的返回结果

  • required验证失败时仍然继续,但返回Fail。
  • requisite验证失败则立即结束整个验证过程,返回Fail。
  • suffcient验证成功则立即返回,不再继续,否则忽略结果并继续。
  • optional不用于验证,只显示信息(通常用于session)。

三、使用sudo机制提升权限

1、sudo命令用途

  • 用途:以其他用户身份如root执行授权的命令
  • 用法:sudo授权命令

2、sudo命令参数

sudo  [选项]  命令

-l:列出用户在主机上可用的和被禁止的命令,一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;

-v:验证用户的时间戳,如果用户运行sudo后,输入用户的密码后,在短时间内可以不用输入口令来直接进行sudo操作

-v:可以跟踪最新的时间戳

-u:指定以以某个用户执行特定操作

-k删除时间戳,下一个sudo命令要求用求提供密码

(1)在lisi用户下挂载时,没有权限

(2)在visudo里面给lisi用户提权限,找到root字符所在的行插入如下图

(3)解挂载也是一样的在这个配置文件

3、用户别名

用户别名的语法格式:

1、User_Alias

用户别名:包含用户、用户组(%组名(使用%引导))、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom, lisi。

2、Host_Alias

主机别名:主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp, pop。

3、Cmnd_Alias

命令路劲、目录(此目录内的所有命令)、其他事先定义过的命令别名cmnd_Alias PKGTOOLS=/ bin/ rpm,/ usr/bin/yum。
文章来源:https://blog.csdn.net/AH99999/article/details/135426609
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。