系统安全的加固

系统账号清理

将用户设置为无法登录

chsh -s /sbin/nologin 用户名

锁定账户

passwd -l 用户名 锁定用户密码

passwd -u 用户名 解锁用户密码

删除账户

userdel -r 用户名

锁定配置文件

chattr

-a 只能追加

-i 不能更动文件或目录

密码安全控制

新建用户

修改/etc/login.defs文件内容

已有用户 chage

chage 用户名

要求用户下次登录时修改密码 chage -d 0 用户名

命令历史

history -c 临时清除历史命令

vim.bash_logout

退出后清除

~/.bash_logout

echo " " >~/.bash_history

开机后清除

vim.bashrc

echo " " >/.bahs_history

切换用户

su 不加- 不完全的切换

su 加- 完全的切换

root su到其他用户无需密码,非root用户切换需要密码

注意:su切换新用户后,使用exit退回旧用户

限制使用su命令的用户

vim /etc/pam.d/su

auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use_ _uid

以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的;

两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码;

如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令

如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令

pam安全认证

pam专用配置文件/etc/pam.d/格式

type control module-path arguments

模块类型 控制位 程序文件路径名 参数

control(控制位)

required 一票否决 如果失败,最后一定失败,但是会继续进行验证

requisite 一票否决 如果失败,会立即结束验证,反馈失败

sufficient 验证成功立即返回,不再继续,否则忽略结果并继续

shell模块

检查有效shell

pam_shell.so只允许规定的shell类型通过,是在/etc/shells文件中存在的类型通过

securetty模块

只允许root用户在/etc/securetty列出的安全终端上登录

pam_nologin.so模块

如果/etc/nologin文件粗在,非root用户不能登录。但不影响su登录

limit

控制用户可使用的资源限制

sudo 提权操作

root ALL=(ALL) ALL

root 哪个用户要使用命令

ALL 哪台主机

(ALL) 以谁的身份运行

ALL 哪个命令

grub加密

grun2-setpassword

相关推荐
MartinYeung57 小时前
[论文学习]SecureGate:通过令牌级门控学习何时安全地揭示PII-深度解析
学习·安全
广州市顺风搬家服务有限公司8 小时前
实验室搬迁科普专业流程防护标准与合规核心要点
网络·其他·安全
Xi-Xu9 小时前
什么时候需要 Multi-agent:不是分工,而是运行边界
人工智能·经验分享·安全
2501_9437823512 小时前
【共创季稿事节】密码生成器:如何构建一个安全的随机密码生成工具
android·数据库·安全·鸿蒙·鸿蒙系统
轩渃12 小时前
Claude Fable5回归即翻车:跑分暴跌、安全拦截、账单猫腻,AI模型的信任危机
人工智能·安全·回归
Chockmans12 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
风控PM说15 小时前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
独守一片天1 天前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos
想你依然心痛1 天前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Elastic 中国社区官方博客1 天前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索