新的服务器到手 部署服务器得初始化
1 配置ip地址 网关 dns解析 (static)内网和外网
2 安装源 外网下载阿里云得仓库文件(在线即可)内网(有光盘镜像用本地yum源只能用源码包编译安装)
3 磁盘分区 lvm(逻辑卷) raid(磁盘阵列)按照需求
4 系统权限配置和安全加固
系统安全:
1 保护数据安全 客户信息 财务信息
2 互联网 网络业务服务 必须要通过工信部得资质审核
3 保护品牌形象 信息安全是红线 工资
应用
系统的用户信息都保存在 /etc/passwd
1 不需要或者不想登录的用户设置成nologin
usermod -s nologin 用户名 管理员权限
2 锁定用户
usermod -L 用户 锁定
usermod -U 用户 解锁
passwd -l 用户 锁定
passwd -u 用户 解锁
3 删除无用账号
userdel -r 用户名
4 锁定重要的文件
passwd shadow fstab ifcfg-ens33
lsattr /etc/passwd 查看文件状态
---------------- /etc/passwd 表示没有状态
锁定文件:
chattr +i /etc/passwd 锁定
chattr -i /etc/passwd 解锁
二 密码安全控制
新建用户 修改密码有效
vim /etc/login.defs 已有用户不受影响
set nu 行号
25行 默认99999
已有用户
chage -M 30 用户名
如何强制用户在下一次登录的时候修改密码
chage -d 0 用户名
强制修改密码
三 限制命令的历史记录
history 查看
history -c 临时重启会恢复
修改历史记录条数
/etc/profile
source /eetc/profile 生效
设置登录的超时时间
vi /etc/profile
尾行 TMOUT= 600
如何对用户切换进行限制
su 切换用户
su 用户名 不会更改环境变量 用的还是之前用户的shell 不完全切换
[dn@localhost root]$
su - 用户名 使用用户自己的环境
[dn@localhost ~]$
如果在root 用户下 su相当于刷新 如果是普通用户就是切换回root
hostnamectl set-hostname 666改用户名
限制用户使用 su命令
PAM安全认证 : linux系统身份认证的架构 提供了一种标准的身份认证接口 允许管理员可以自定义认证的方式和方法 PAM是一个可插拔式的默认
PAM的认证类型
认证模块 验证用户的身份 基于密码的认证方式
授权模块 控制用户对系统资源的访问 文件权限 进程权限
账户管理模块 管理用户账户信息 密码过期策略 账户锁定策略
会话管理模块 管理用户会话 注销用户等
passwd dn 三次机会
1 失败 成功
2 失败
3 成功 失败
结束 失败次数过多 结束 结束
required 一票否决 只有成功才能通过认证 认证失败 也不会立刻结束 只有所有的要素验证完整才会最终返回结果 必要条件
requisite 一票否决 只有成功才能通过 但是一旦失败 其他要素不再验证 立刻结束 必要条件
sufficient 一票通过 成功了之后就是满足条件 但是失败了 也可忽略 成功了执行验证成功的结果 失败返回验证失败的结果 最终的结果 充分条件
optional 选项 反馈给用户的提示或者结果
控制位 必须需要满足充分和必要条件才能通过
wheel
wheel组 这个再组文件当中没有 隐藏 特殊组 用来控制系统管理员的权限的一个特殊组
wheel组专门用来为root服务
具体来说 如果普通用户加入到了wheel组就可以拥有管理员才能够执行的一些权限
前面必须要加上sudo sudo之后可以使用wheel组的特殊权限
wheel组默认是空的 没有任何成员 需要管理员手动添加
配置sudo的规则 然后以sudo的方式 才能够运行特定的指令 (管理员才能够执行的权限)
wheel组的权限很大 配置的时候以最小权限的原则来进行配置
gpasswd -a dn wheel 加入wheel 命令
su
sudo 相当于给普通用户赋予管理员的权限(最小权限 管理员可以使用的命令)
开关安全机制
gurb 菜单
系统安全的加固措施
grub2 -setpassword加密
锁定重要文件 修改history命令的历史记录
禁止普通用户切换用户
设置sudo权限 给普通用户
设备grup 菜单加密
把一些默认的端口号 大家都知道的端口号改掉
内核参数