linux中的系统安全

一.账号安全

将非登录用户的shell设为/sbin/nologin

系统中用户有三种：超级管理员 普通用户 程序用户

前两种用户可以登录系统，程序用户不给登录 所以称为非登录用户

命令格式： usermod -s /sbin/nologin（改已有用户）
锁定长期不使用的账号

passwd -l 用户 或者 usrmod -L 用户

解锁：passwd -u 用户 或者usrmod -U 用户
删除无用的账号

userdel 用户

锁定账号文件 passwd shadow

passwd 存账户信息 shadow存账户密码

锁定这两个文件安全

命令格式：chattr +i 文件

lsattr 查看特殊权限

操作如下

没设置chattr之前，vim a 文件时是可以进去编辑的

当编辑a文件时 wq要保存时，显示保存不了

然后再进入vim a 文件中 文件内容不变

解锁文件 ：chattr - i

操作如下：

解锁完可以编辑文件内容

密码安全控制

设置密码规则、修改密码配置文件

对新建用户密码规则：

对于已有用户修改密码规则

命令：chage 参数 用户名

修改密码的有效期 chage - M 数字 用户

如果不知道参数 可以chage 用户名 直接回车 会自动回显

chage - d 0 用户名 用户在下次登录时必须修改密码

命令历史的限制

默认的历史命令为1000条

如果要临时删除时 命令格式：history -c 之前的命令就看不见了

永久清除历史命令

历史命令都存储在bash.history中 如果要清除 就要把里面的命令清空

有三种方式

1.退出后清除 ~/.bash_logout

2.开机后清除 ~/.bashrc （对自己有效、对当前用户生效）

3.对所有用户有效，不仅仅是root下的用户 /etc/profile

操作如下：

表明将history都写成空格

终端自助注销 设置闲置多少秒之后 会登出系统

设置所有用户闲置10秒自动退出 进入/etc/profile中

使用su命令切换用户

su 不加--- 代表不完整的切换 意思就是下一个用户会继承上一用户的所有东西 什么都没变

su 加--- 代表完整切换 意思就是说下一个用户不会继承上一用户的东西，两者不一样

两者变量一模一样

当 su - 时

root与张三的变量改变

密码验证

root 切换到普通用户不需要验证密码

普通用户互相切换 验证需要密码

linux中的PAM认证

pam模块类似于一个插件，别人吧功能写好，放这。如果需要用 则把模块调过来即可。

查看pam 详细信息

查看pam的目录

点so结尾 代表功能模块

当用户来访问某一程序，如果这一程序启用了pam模块，它会先去读取配置文件，然后按照配置文件调用模块进行操作 ！！！

进入到配置文件中：

tcp中 auth：账号的认证与授权 看此账号是否存在

accout ：看此账号的有效性（限制或允许用户对某个服务的访问时间 在什么时间段可以访问或拒绝访问）

passwd ：看密码对不对跟复杂性

session：用户会话期间的控制，可在以使用多少资源

control中

shell模块

进入到shell的组 把/bin/sch删除

当/bin/sch被删除时，就不在shell列表里，就不能通过

总结：当设置shell模块（pam_shells.so）时，只有shell类型里面的内容才可以通过，不在shell类型（/etc/shell）里面的 通过不了

pam_nologin.so模块 如果要维护的情况下可以使用这一模块

在etc下面建立一个nologin的文档

不影响su功能

但是登录不了系统

所以如果有/etc/nologin的文件存在 普通用户是登录不了系统的

补充tips ：

此时此刻boot用户还是可以切换普通用户的

当把wheel的#（代表注释）去掉之后，意味着只能是wheel组里面的用户才可以使用

此时再看一下 root 切换普通用户的状态 是不给登录的

如果要改变 就把root加入到wheel组中 又可以切换了

总结：

limit模块 控制进程占用资源

ulimit - a 可以查看limit里面的所有选项

limits 在/etc/security文件夹中

pgrep - l - u liwu (仅查看liwu的进程并且进程的名字）

当一开始只有一个进程的时候 输入四个进程 超过五个显示没有子进程

参数详细解答

例如 nofile 设置打开的文件数目

因为之前nofile设置的是1024 当用1025测试时，可以超过了

此时再压力测试 就没有问题了

注释： ab 是压力测试 测试一个终端在同一时间能干几件事情 如上图 同一时间接收1025个文件 总共接收5000个文件

压力测试 来源于httpd-tools 包

sudo

sudo命令的缺点：如果不去设置 任何人都能切换到root上

sudo 提权操作

sudo相当于一个程序，写一条命令 可以su让用户（用户一开始没有使用这个命令的权利）去使用

sudo的配置文件在 visudo中

举例操作：

此时liwu还没有挂载的权限

如果想要liwu拥有挂载的权限 就要修改visudo

命令要写绝对路径 用which mount查

此刻再验证一下liwu的mount权限 此时挂载成功

！ 取反的意思 liwu无法挂载

nopasswd 无需输入密码 限时五分钟 在这五分钟之内不需要输入密码

子目录

主配置文件放置一些重要文件 子配置文件放置用户的个性化配置 当一次性有20个配置文件，为了方便管理 设置子配置文件，为了方便管理.如果不设置的情况下 改主配置文件，里面的二十个用户都会被改变

当设置完自配置文件之后，先执行子配置文件，再执行主配置文件的命令

别名

nmap (网络扫描工具)