Linux基本防护 用户切换与提权 SSH访问控制 SElinux安全

一  用户帐号安全

 1--设置帐号有效期

        chage    -l      lisi            //查看lisi用户的有效信息

        chage  -d  0  lisi             //下次登陆必须更改密码

        chage -E  2020-5-14 lisi        //设置密码有效期

        chage  -E -1  lisi             //  -1 取消密码有效期

2--伪装登陆提示

        vim  /etc/issue               //修改里面的内容,改为什么，界面则显示什么

3--锁定文件

1. # chattr +i 文件名                    //锁定文件（无法修改、删除等）
2. # chattr -i 文件名                    //解锁文件
3. # chattr +a 文件名                    //锁定后文件仅可追加  不可以删除  只能使用 >> 重定向  不能使用vim进行追加
   
4. # chattr -a 文件名                    //解锁文件
5. # lsattr 文件名                        //查看文件特殊属性

4--帐号的锁定

                01.    passwd  -l  lisi                  //锁定帐号

                02.    passwd -S  lisi                  //查看状态status

                03.    passwd -u  lisi                  //解锁帐号

二  用户切换与提权

1--使用su命令切换用户       

1. # su – [账户名称]
2. # su - [账户名称] -c '命令'
   
3. su - zhangsan -c 'mkdir /home/zhangsan/tmp'
4. ls -ld /home/zhangsan/tmp/
5. drwxrwxr-x. 2 zhangsan zhangsan 6 5月  15 02:39 /home/zhangsan/tmp/
   

1--sudo提升执行权限

1. sudo   -l                                                     //查看自己的sudo授权
   
2. [root@svr5 ~]# vim /etc/sudoers            //修改文件后，需要使用wq强制保存  root用户身份修改
3. root    ALL=(ALL)       ALL                            //93行为lisi添加创建用户以及改密码权限
   lisi    ALL=(root)      /usr/sbin/useradd,/usr/bin/passwd,!/usr/bin/passwd  root,/usr/sbin/user*
4. [lisi@proxy ~]$ sudo  /usr/sbin/useradd  dc            //lisi用户创建用户dc
5. [lisi@proxy ~]$  echo 123456 |sudo /usr/bin/passwd --stdin dc                //lisi用户为dc改密码
6. [lisi@proxy ~]$ sudo passwd  dc
   
7. [lisi@proxy ~]$ sudo  passwd root
   对不起，用户 lisi 无权以 root 的身份在 proxy 上执行 /bin/passwd root。    //设置 !/usr/bin/passwd  root 不允许更改root密码
8. [root@proxy ~]# vim  /etc/sudoers
   
9. %wheel  ALL=(ALL)       /bin/*                   //wheel组下的用户可以执行/bin/下的操作
10. [root@proxy ~]# usermod  -G wheel zhangsan        //把zhangsan用户添加到wheel组
11. [root@proxy ~]# grep wheel  /etc/group
    wheel:x:10:zhangsan                                              //wheel组下有zhangsan这个用户
    
12. [zhangsan@proxy ~]$ sudo  passwd lisi                //用zhangsan用户更改lisi用户的密码
    
    

    三  SSH访问控制

              1--  配置文件      /etc/ssh/sshd_config

1. [root@proxy ~]# vim /etc/ssh/sshd_config                 //在服务器主机proxy ip 192.168.4.5更改配置文件

2. Port 12200                                                                  //端口默认为22改为12200
   protocol 2                                                                    //去掉SSH协议v1
   #AddressFamily any
   

   ListenAddress 192.168.4.5                                         //客户机只能ssh远程到本机192.168.4.5的

   LoginGraceTime 2m                                                   //登陆时间最长期限  如果2分钟未输入密码则跳出
   

   PermitRootLogin no                                                   //禁止root用户登陆

   MaxAuthTries 3                                                           //最大失败次数为3

   #PermitEmptyPasswords no                                       //禁止空密码登陆
   PasswordAuthentication yes                                       //接收密钥登陆
   
3. [root@client ~]# ssh 192.168.4.5                                //client主机ip为192.168.4.100
   ssh: connect to host 192.168.4.5 port 22: Connection refused                //ssh远程无法连接到192.168.4.5
4. [root@client ~]# ssh 192.168.4.5 -p 12200                                              //指定使用12200ssh远程192.168.4.5

           2-- 实现密钥免密码登陆  

1. [root@client ~]# ssh-keygen                                             //生成密钥
2. [root@client ~]# ssh-copy-id 192.168.4.5                        //把公钥传给192.168.4.5后可以实现登陆免密钥

           3--sshd白名单配置               

1. [root@proxy~]# vim /etc/ssh/sshd_config                      //在服务端proxy192.168.4.5主机上
2. AllowUsers lisi [email protected]                       //允许lisi 在任何客户端登陆，zhangsan只能在192.168.4.100登陆