一、新的服务器到手该如何部署:1.配置IP地址,网关,dns解析,内外网。2.安装源:外网(在线即可);内网(只能用源码包编译安装)。3.磁盘分区:lvm及raid。4.系统权限配置和安全加固。
二、系统安全:1.保护数据安全:客户信息及财务信息。
2.互联网、网络业务服务,必须要通过工信部的资质审核。
3.保护品牌形象:信息安全是红线。
二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户
2.锁定用户:2.1.usermod -L 2.2.passwd -l
解锁用户:2.1 usermod -U 2.2.passwd -u
3.删除无用账号:userdel -r +用户名
4.锁定重要用户:passwd shadow fstab ifcfg-ens33
5.查看文件状态:lsattr /etc/passwd
6.锁定文件:chattr +i /etc/passwd
解锁文件:chattr -i /etc/passwd
三、1.密码的安全控制 :
从密码的有效期来进行控制
2.新建用户的密码有效期:
25gg,改成30,密码有效期30,改完之后只对新建用户生效
PASS_MAX_DAYS 数字 把数字改成30,这种方式只对新建用户有用
3.对已有用户的密码有效期进行修改 :
chage -M 30 koeda:对已有用户的密码有效期进行修改
cat /etc.shadow
4.历史命令进行限制:
history:记录历史命令
临时清空历史记录:history -c
永久清空历史记录:vim /etc/profile
/HISTSIZE:查找到 记录多少条命令 改成80条
改完之后 source /etc/profile 刷新一下
5、设置登录超时时间:
进入 vim /etc/profile
添加内容,一律尾行添加
添加:TMOUT=30 30秒不操作自动断开连接
之后source /etc/profile 生效
一般来说TMOUT=600/120
6、限制用户不能够随意切换用户:
禁止用户使用su 命令
PAM认证:su切换命令靠的就是PAM认证
wheel组:作用就是控制系统管理员的访问权限
一旦加入wheel组,可以被授权使用一些系统管理员才能够使用的访问命令和文件。
sudo授权方式,这个必须要进入wheel组和其他配置
wheel默认为空,需要管理员手动添加用户。还要配置相应的sudo 访问规则
(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)
进入vim /etc/pam.d/su
改第六行 删除#,取消注释
取消注释后,所有的用户都不能切换用户
7、想要指定用户可以切换:
gpasswd -a dn wheel
将dn加入到wheel组,能够切换用户
步骤:先进入 vim /etc/pam.d/su
第六行取消注释 #
将放开su权限的用户添加到wheel组中
gpasswd -a dn wheel 放开权限的用户
8、PAM安全认证:
提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。
可插拔式的认证模块:可以注释和取消注释
PAM的认证模块:有四个不同的类型
认证模块:用于验证用户的身份。基于密码对用户进行身份认证
授权模块:控制用户对于系统资源的访问权限、文件权限、进程权限
账户管理模块:管理用户的账户信息,包括,密码策略、账户锁定策略
会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接
9.sudo相当于给普通用户赋予管理员的权限(最小权限,管理员可以使用的命令)。
