系统安全及应用

系统安全及应用

新的服务器到手，部署流程

1、配置ip地址、网关、dns解析（static）内网和外网

2、安装源，外网（在线即可），内网（只能用源码包编译安装）

3、磁盘分区，lvm raid

4、系统权限配置和基础安全架构

系统安全:

1、保护数据安全，尤其是客户信息，财务信息

2、互联网，网络业务服务，必须要通过工信部的资质审核

3、保护品牌形象。信息安全是红线。

应用：

1、不需要或者不想登录的用户设置为nologin usermod -s nologin 用户 需要管理员权限

2、锁定用户：usermod -L 用户 passwd -l 用户

3、删除无用账号：userdel -r 用户

4、锁定重要的文件：passwd shadow fstab ifcfg-ens33

lsattr /etc/passwd --------/etc/passwd 表示文件没有状态 lsattr 查看文件常态

chattr +i /etc/passwd /etc/shadow 锁定文件，wq！强制保存也无法修改

chattr -i /etc/passwd /etc/shadow 解除锁定

密码安全控制

新建用户

/etc/login.defs 已有用户不受影响

已有用户

chage -M 30 用户名 指定可登录用户密码有效期

如何强制用户在下一次登录的时候修改密码

chage -d 0 用户名

查看历史命令

history

history -c 临时清空历史命令

vim /etc/profile 全局配置文件

histsize=80 修改默认保存命令

设置登录的超时时间

vim /etc/profile

TMOUT=600 以秒为单位

用户切换进行限制

su 切换用户

su 用户名，不会更改环境变量，用的还是之前用户的shell，不完全切换

su - 用户名 使用用户自己的环境

如果在root用户下，su相当于刷新。如果是普通用户就是切换回root

限制用户使用su命令

PAM安全认证：linux系统身份认证的架构，提供了一种标准的身份认证的接口，允许管理员可以自定义认证的方式和方法

PAM认证是一个可插拔式的默认

PAM的认证类型

1、认证模块：验证用户的身份，基于密码的认证方式

2、授权模块：控制用户对系统资源的访问，文件权限，进程的权限

3、账户管理模块，管理用户账户信息，密码过期策略，账户锁定策略

4、会话管理模块，管理用户会话，注销用户等

PAM认证原理

PAM认证流程

passwd 用户 三次机会

1、失败 成功

2、失败

3、成功 失败

结束 失败次数过多 结束

required：一票否决，只有成功才能通过认证，认证失败，也不会立刻结束，只有所有的要素验证我安正才会最终返回结果。必要条件。

requisite：一票否决，只有成功才能通过，但是一旦失败，其他要素不再验证，立刻结束，必要条件

suffiofient：一票通过，成功了之后就是满足条件，但是失败了，也可忽略，成功了执行验证成功的结果，失败返回验证失败的结果，最终的结果。充分条件

optional：选项 反馈给用户的提示或者结果

控制位：必须要满足充分和必要条件才能通过

wheel 又叫wheel组，这个在组文件当中没有，隐藏，特殊组。用来控制系统管理员的权限的一个特殊组

wheel组专门用来为root服务。

具体来说，如果普通 用户加入到了wheel组，就可以拥有管理员才能够执行的一些权限

前面必须要要加上sudo sudo之后可以使用wheel组的特殊权限

wheel组默认是空的，没有任何成员，需要管理员账号手动添加

配置sudo的规则，然后以sudo的方式，才能够运行特定的指令（管理员才能执行的权限）

wheel组的权限很大，配置的时候要以最小权限的原则来进行配置

su

sudo 相当于给普通用户赋予管理员的权限（最小权限，管理员可以使用的命令）

开关机安全机制

grub菜单加密

grub2-setpasswd