用户管理
1、用户管理配置文件
用户数据文件:/etc/passwd
[root@CentOS-Test software]# grep test /etc/passwd
test:x:500:500:test:/home/test:/bin/bash
用户账号包含的信息:
test:用户名,用户登录时使用的 用户名 x:密码位 500:UID, 用户标识号 500:缺省组标识号
test:注释性描述,例如存放用户全名等信息
/home/test:用户的宿主目录
/bin/bash:用户使用的shell,默认为bash
-----------------------------------------------------------------------------------------------
linux用户账号的分类:
分为三种:超级用户(root,UID=0) 具有一切操作权限
普通用户(UID500-65536) 操作权限受到限制
伪用户(缺省用户):(UID 1-499)假用户或虚拟用户
注意:用户的UID的取值,除0外,其它值不允许用户取相同的值,伪用户与系统和程序服务相关:bin、daemon、shutdown、halt等,任何Linux系统默认都有这些伪用户,伪用户没有登录密码和宿主目录
每个用户都至少属于一个用户组,每个用户组可以包括多个用户,同一用户组的用户享有该组共有的权限
-----------------------------------------------------------------------------------------------
用户口令文件:/etc/shadow 保存了用户口令等重要信息,该文件只有root用户可以读写
用户组文件:/etc/group
用户组密码文件:/etc/gshadow
用户配置文件:/etc/login.defs /etc/default/useradd
新用户信息文件:/etc/skel
登录信息:/etc/motd
-----------------------------------------------------------------------------------------------
如何阅读Apache访问日志:
这只是一系列日志条目,每行记录一个条目。每个条目的每条信息由一个空格分隔。特别是在所谓的“组合”格式,这意味着它包含以下信息,按顺序:
远程主机(客户端IP地址)
用户身份,或短划线,如果没有(经常不使用)
用户名,通过HTTP认证,或破折号如果不使用
Apache收到HTTP请求的时间戳
来自客户端的实际请求本身
Apache响应请求返回状态码
引荐者标题或短划线(如果不使用)(换句话说,他们是否点击另一个网站上的URL来访问您的网站)
用户代理(包含关于请求者的浏览器/ OS /等的信息)
所以,如果你要解析访问日志,你首先将它标记为一行,然后用空格标记为一系列条目。或者,换一种方式来考虑一下,将Apache访问日志导入到Excel并在那里查看将会非常简单。
-----------------------------------------------------------------------------------------------
后门chrootkit安装检查:
[opop@opop2 chkrootkit-0.52]# mkdir chrootkit
[opop@opop2 chkrootkit-0.52]# cd chrootkit/
[opop@opop2 chkrootkit-0.52]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
[opop@opop2 chkrootkit-0.52]# tar zxvf chkrootkit.tar.gz
[opop@opop2 chkrootkit-0.52]# cd chkrootkit-0.50/
[opop@opop2 chkrootkit-0.52]# yum install -y glibc-static
[opop@opop2 chkrootkit-0.52]# make
[opop@opop2 chkrootkit-0.52]# ./chkrootkit
[opop@opop2 chkrootkit-0.52]# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
//注:后面是not infected则表明没有后门
-----------------------------------------------------------------------------------------------
修复升级命令:
yum -y install yum-downloadonly
yum -y install bash-4.1.2-33.el6_7.1.x86_64.rpm
完成后做了如下措施:
1.修改了系统账号密码。
2.修改了sshd端口为2220
3.修改nginx用户nologin。
-----------------------------------------------------------------------------------------------
字符界面到图形化需安装的东西:
yum groupinstall "X Windows System" "Desktop"
yum groupinstall "Chinese Support"
-----------------------------------------------------------------------------------------------
/var/log/messages中的信息:
Mar 17 12:38:53 localhost kernel: __ratelimit: 1 callbacks suppressed
Mar 17 12:39:33 localhost kernel: __ratelimit: 1 callbacks suppressed
Mar 17 12:40:39 localhost kernel: __ratelimit: 2 callbacks suppressed
Mar 17 12:40:58 localhost kernel: __ratelimit: 6 callbacks suppressed
解析:Linux有一种避免DoS攻击的机制- 关于日志 - 称为速率限制。每个由内核(包括它的模块)记录的消息,包括printk(),都会被检查是否允许通过这种机制实际打印。
可以通过调整文件/ proc / sys / kernel / printk_ratelimit和/ proc/sys/kernel/printk_ratelimit_burst来配置限制。
这些文件的值默认是5和10,这意味着:每5秒允许10条消息。超出此范围会使内核丢弃该消息并打印出“ratelimit N:callbacks suppress”之类的内容
要禁用此机制并允许记录每条消息,只需将间隔设置为0即可:
vim /etc/sysctl.conf
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1
# net.core.message_cost = 0 # 关闭此机制并允许记录每条消息,但是一旦关闭ratelimit,系统就可能存在被日志攻击的风险。
kernel.printk_ratelimit = 25 # 调大一点
kernel.printk_ratelimit_burst = 150 # 调大一点
释上两句:
// [root@gateway ~]# cat /proc/sys/kernel/printk_ratelimit
// 5
// [root@gateway ~]# cat /proc/sys/kernel/printk_ratelimit_burst
// 10
-----------------------------------------------------------------------------------------------
定时任务:
service crond start //启动服务
service crond stop //关闭服务
service crond restart //重启服务
service crond reload //重新载入配置
service crond status //查看服务状态
/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名,
比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。一般一个用户最多只有一个crontab文件。
/etc/crontab 这个文件负责安排由系统管理员制定的维护系统以及其他任务的crontab
/etc/crontab 中的 MAILTO=root是说,当 /etc/crontab 这个档案中的例行性命令发生错误时,会将错误讯息或者是屏幕显示的讯息传给谁?由于 root 并无法再用户端收信,
因此,默认是root,当然也可以设置成其他的用户(不建议设置成其他用户)
/etc/crontab 中有示例(在最下面一行),分别代表:
原: * * * * * user-name command to be executed
代表:分 时 日 月 周 用户名 被执行的命令
分的取值范围:0-59
时的取值范围:0-23
日的取值范围:1-31
月的取值范围:1-12
周的取值范围:0-6(周日可以用0或7来表示)
用户名:可以指定以哪个用户的名义来执行"后面"的命令
被执行的命令:计划任务中要执行的命令
除了数字还有几个个特殊的符号就是: " , / - "
, (逗号)代表所有的取值范围内的数字," , "分开几个离散的数字。
/ (根号)代表每的意思, /5表示每5个单位,
- 代表从某个数字到某个数字
----------------------------------
crontab -l 在标准输出上显示当前的crontab
crontab -r 删除当前的crontab文件。
crontab -e 使用VISUAL或者EDITOR环境变量所指的编辑器编辑当前的crontab文件。当结束编辑离开时,编辑后的文件将自动安装。
----------------------------------
典型:
* 1 * * * root run-parts /kkkk/opop/
释:run-parts代表后面接的/kkkk/opop是一个目录(目录内有可执行文件),
也就是说每个小时系统会以root身份去/kkkk/opop/这个目录下执行所有可执行的文件
----------------------------------
权限:
crontab权限问题到/etc下一看,文件cron.allow和cron.deny是否存在
用法:
1、如果两个文件都不存在,则只有root用户才能使用crontab命令。
2、如果cron.allow存在但cron.deny不存在,则只有列在cron.allow文件里的用户才能使用crontab命令,如果root用户也不在里面,则root用户也不能使用crontab。
3、如果cron.allow不存在, cron.deny存在,则只有列在cron.deny文件里面的用户不能使用crontab命令,其它用户都能使用。
4、如果两个文件都存在,则列在cron.allow文件中而且没有列在cron.deny中的用户可以使用crontab。
5、如果两个文件中都有同一个用户,以cron.allow文件里面是否有该用户为准,如果cron.allow中有该用户,则可以使用crontab命令。
附:
AIX 中普通用户默认都有 crontab 权限,如果要限制用户使用 crontab ,就需要编辑/var/adm/cron/cron.deny
HP-UNIX 中默认普通用户没crontab 权限 ,要想放开普通用户的crontab 权限可以自己写
----------------------------------
创建cron脚本
第一步:写cron脚本文件并赋可执行权限,命名为opop.sh:
内容为:
15,30,45,59 * * * * echo "xgmtest....." >> xgmtest.txt #表示每隔15分钟,执行打印一次命令
第二步:添加定时任务。执行命令 crontab opop.sh
第三步:"crontab -l" 查看定时任务是否成功或者检测/var/spool/cron下是否生成对应cron脚本
注意:这操作是直接替换该用户下的crontab,而不是新增
----------------------------------
/etc/crontab 中写任务的示例:
每天早上6点整:(以linux系统时间为准)
0 6 * * * root echo "Good morning." >> /tmp/test.txt
//注意单纯echo在屏幕上看不到任何输出,因为cron把任何输出都email到root的信箱了。
----------------------
每两个小时:
0 */2 * * * root echo "Good morning." >> /tmp/test.txt
----------------------
晚上11点到早上8点之间每两个小时和早上八点:
0 23-7/2,8 * * * root echo "Good morning." >> /tmp/test.txt
----------------------
每个月的4号和每个礼拜的礼拜一到礼拜三的早上11点:
0 11 4 * 1-3 root echo "Good morning." >> /tmp/test.txt
----------------------
每小时执行/etc/cron.hourly内的所有脚本:
0 */1 * * * root run-parts /etc/cron.hourly
每天的凌晨3点整执行/etc/cron.hourly内的所有脚本:
0 3 */1 * * root run-parts /etc/cron.hourly
注意: 如果去掉 "run-parts" 这个参数的话,后面就可以写要运行的某个脚本名,而不是文件夹名
----------------------
每周一,三,五的下午3:00整重新启动系统,3:00时间到了后会延长5分钟后重启:
00 15 * * 1,3,5 shutdown -r +5
----------------------
每小时的10分,40分ping一次192.168.0.49这台机器:
10,40 */1 * * * root /bin/ping -c 3 192.168.0.49
每天早晨三点二十分ping 192.168.0.50和看下根下的文件:(每个命令用 ; 号隔开)
20 3 * * * (ping 192.168.0.50;ls /)
----------------------
-----------------------------------------------------------------------------------------------