Linux:系统安全及应用

2401_837849272024-06-07 21:49

一、账号安全控制

1、账号安全基本措施

(1)系统账号清理

a、将非登录用户的Shall设为/sbin/nologin

usermod -s/sbin/nologin 用户名

b、锁定长期不使用的账号

usermod -L 用户名 passwd -l 用户名

passwd -S 用户名

c、删除无用的账号

userdel[-r]用户名

d、锁定账号文件passwd、shadow

chattr +i/etc/passwd/etc/shadow(锁定文件并查看状态)

isattr /etc/passwd/etc/shadow

chattr -i/etc/passwd/etc/shadow(解锁文件)

账号安全管理

禁止程序用户登录 usermod -s /sbin/nologin 用户名

锁定禁用长期不使用的用户 passwd -l 用户名 usermod -L 用户名 #查看锁定账号状态 passwd -S 用户名

删除无效用户 userdel -r 用户名

禁止账号和密码的修改 chattr +i /etc/passwd /etc/shadow #查看锁定文件状态 lsattr 文件名

(2)密码安全控住

a、设置密码有效期

b、要求用户下次登录时修改密码

root@localhost\~\]# vi/etc/login.defs(修改密码配置文件适用于新建用户) PASS_MAX_DAYS 30 \[root@localhost\~\]# chage-M 30 lisi(适用于已有用户) \[root@localhost\~\]# cat/etc/shadow \| grep lisi \[root@localhost\~\]# chage -d 0 zhangsan(强制在下次登录时更改密码) \[root@localhost\~\]# cat /etc/shadow \| grep zhangsan(shadow文件中的第三个字段被修改为0) 密码安全管理 设置密码有效期 chage -M 天数 用户名 #针对已存在的用户,天数为 99999 表示为永不过期 vim /etc/login.defs --\> PASS_MAX_DAYS 天数 #针对新建的用户 强制用户下一次登录修改密码 chage -d 0 用户名 (3)命令历史限制 a、减少记录的命令条数 b、登录时自动清空命令历史 (4)终端自动注销 a、闲置600秒后自动注销 历史命令安全管理 查看历史命令 history 限制历史命令数量 vim /etc/profile --\> export HISTSIZE=XX --\> source /etc/profile 清空历史命令 history -c #临时清空 vim /etc/profile --\> \> \~/.bash_history 2、使用su命令切换用户 (1)限制使用su命令的用户 a、将允许使用su命令的用户加入wheel组 b、启用pam_wheel认证模块 限制su切换用户 1)将信任的用户加入到wheel组中 gpasswd wheel -a 用户名 2)修改su的PAM认证配置文件 vim /etc/pam.d/su -\> 开启 auth required pam_wheel.so use_uid 的配置 ssh远程登录输入三次密码错误则锁定用户 vim /etc/pam.d/sshd auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600 sudo提权 visudo vim /etc/sudoers (要用 wq! 强制保存) #用户/组授权 用户名 主机名=程序列表 #命令要用绝对路径表示,支持使用通配符 \* 表示所有, ! 表示取反 %组名 主机名=程序列表 用户名 主机名=NOPASSWD: 程序列表 #NOPASSWD: 表示sudo不用密码验证 #别名设置 User_Alias 大写别名=用户1, 用户2, ... Host_Alias 大写别名=主机名1, 主机名2, ... Cmnd_Alias 大写别名=命令路径1, 命令路径2, ... 用户别名 主机别名=命令别名 #设置sudo日志路径 Defaults logfile = "/var/log/sudo.log" sudo -l #普通用户查看有哪些sudo权限 如何查看进程是否已经开启? systemctl status 进程名 ps aux/-elf \| grep 进程名 netstat/ss -lntup \| grep 进程名/:端口 lsof -i :端口 如何通过端口查看进程号? netstat -lntup \| grep :端口 ss -lntup \| grep :端口 lsof -i :端口

相关推荐
纯粹的热爱几秒前
Windows 10/11解决“无法访问共享文件夹—组织安全策略阻止未经身份验证的来宾访问”
运维
乾元10 分钟前
AI + Jinja2/Ansible:从自然语义到可执行 Playbook 的完整流水线(工程级深度)
运维·网络·人工智能·网络协议·华为·自动化·ansible
我在人间贩卖青春15 分钟前
查看文件相关命令
linux·查看文件
番茄你个西红423 分钟前
安装KingbaseES时服务器swap的设置
linux·数据库
python百炼成钢1 小时前
50.linux_USB驱动
linux·运维·服务器·驱动开发
jay1 小时前
ens2f0 IP 远程连线,balance-alb 模式配置双网卡(ens2f0 + ens6f0)Bond,避免断网
linux·运维·服务器·网络·tcp/ip
Evan芙2 小时前
用Shell脚本破解经典鸡兔同笼问题
linux·运维·网络
悟能不能悟2 小时前
登录jenkins默认用户密码
运维·jenkins
大大大水蜜桃2 小时前
Nginx HTTPS服务搭建实验
运维·nginx·https
BugShare2 小时前
粗心大意必酿大祸,记录nginx配置文件的一次闹剧
运维·nginx
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03UV安装并设置国内源04BongoCat - 跨平台键盘猫动画工具05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06本地部署阿里最新开源的Z-Image07Linux下V2Ray安装配置指南08React CVE-2025-55182漏洞排查与修复指南09Labelme从安装到标注:零基础完整指南10Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽