目录
一、系统的优化
1.关闭不必要的开机自启动程序
2.禁止使用超级管理员
3.使用目录的yum源
4.内核调优:1.开启路由转发功能 2.TCP链接数 1024
5.关闭核心防护 selinux
注意:系统调优和软件调优一起
二、系统安全的加固
中病毒该这么处理?
cpu
内存
1.账户管理
账户锁定:passwd -l 或usermod -L
账户解锁:passwd -u 或usermod -U
账户删除:userdel -r(并删除家目录)
设置账户无法登录:创建(useradd)或修改(usermod)账户时加 -s /sbin/nologin
2.锁定配置文件
某些特定文件比较重要防止误删除添加锁定文件
命令:chattr +i 文件名 锁定文件任何用户不能删除
chattr -i 文件名 解锁文件有权限用户可以删除
lsattr 文件名 查看文件是否有特殊权限
3.清除历史记录
查看历史输入命令:history
history记录存放文件:~/.bash_history
临时清空:history -c
永久清空:echo " ">~/.bash_history,然后history -c清空缓存的记录
三、sudo
1.sudo概念及优点
概念:sudo即superuser do可翻译为以超级管理员身份做,是可以让普通用户在不知道root密码的情况下执行一些或全部的root命令工具。
优点:不需要指定超级管理员密码、可以指定那些组或那些账户可以执行那些特定的命令、提供了丰富的日志,详细记录了每个用户干了什么
2.使用sudo
配置sudo文件:/etc/sudoers直接编辑sudo文件更改完成后必须visudo -c检查语法
官方推荐配置sudo:visudo 等价于修改sudo的配置文件,但是此命令会自动检查语法是否正确
配置语法介绍(可使用通配符):
root ALL=(ALL) ALL
用户或组(组前需加%) 登入主机(可写网段)=以什么身份执行(可不写) 运行那些命令(命令的绝对路径)
3.sudo实操演示
1.visudo命令进入后找到root样式行,在下方按格式填写一个允许lisi用户使用cat命令查看/etc/shadow文件
2.切换lisi用户尝试查看/etc/shadow文件,提示权限不足。
3.使用sudo 命令查看/etc/shadow文件,可以正常查看。
4.设置sudo别名
设置sudo别名可以实现同时设置多个用户或多个组、多个主机、多个命令之间用逗号隔开,便于管理员管理sudo。
别名类型:User_Alias(用户)、Runas_Alias(代表用户、Host_Alias(登录主机)、Cmnd_Alias(命令)
别名格式:设置的别名必须是大写字母和数字组成且数字不能在开头
5.sudo特别注意
使用sudo在配置时可以使用通配符,但是需要注意一个小bug,例如允许lisi使用cat命令查看/var/log/目录下以m开头的文件,此时若在后面直接加上一些其他文件没有权限的文件则也可以同时打开。
visudo和/etc/sudoers文件中都有一条默认的允许root用户使用所有命令的规则,但是linux 系统中root用户不一定是超级管理员,若uid等于0的账户是lisi而有一个名为root的普通用户,那么此用户也拥有超级管理员的所有命令执行权限。