システムセキュリティとアプリケーション
まず、基本的な安全注意事項
1は、システムがクリーンアップを占める
(1)非ログインユーザのシェルに/ sbinに/ nologinに
- 方法の一つ:usermodの-s
- 方法2:CHSHコマンドは、対話的に変更します
- 方法3:CHSH -s
(2)アカウントがロックされていない長期使用
- 方法の一つます。passwd -l(「!」暗号文の前に2が追加されます)passwdの-uビューpasswdの-Sのロックを解除するには
- 方法2:usermodの-Lは、ロックを解除usermodの-U(「!」の前に暗号文を追加します)
(3)不要なアカウントを削除
- ・userdelの[-r]ユーザ名
(4)アカウントファイル/ etc / passwdファイルをロックするには、/ etc /影
- ロック:chattrは+ I / etc / passwdファイルは/ etc /影
- ロック解除:chattrは-i / etc / passwdファイルは/ etc /影
- 表示:たlsattr / etc / passwdファイルは/ etc /影
2、パスワードのセキュリティ制御
方法:設定するパスワードの有効期限
- 既存のユーザーのパスワードが有効で変更します。
- 日数は-Mユーザー名をチャゲ
- passwdの-xユーザ名の日
- 将来的にユーザーを追加するには、デフォルトのパスワードの有効期限を設定します。
- 方法:viの編集者に/etc/login.defsファイルは、「PASS_MAX_DAY」の後ろに値を変更します
- パスワードを使用すると、次回ログイン時に変更することをユーザに要求
- 方法:チャゲは0ユーザ名を-d
図3に示すように、コマンド履歴の制限
(1)履歴コマンドの数を減らします
- 方法:viの編集/ etc / profileファイルには、値の後に "HISTSIZE =" を変更します
- 方法2:輸出HISTSIZE =値
あなたがログオフしたとき(2)自動コマンドの歴史を空にする
- 方法:ファイル「.bash_logout」のviエディタは、ホームディレクトリに 『歴史-c』を追加します
図4に示すように、端末が自動的にログアウト
- 方法:viの編集/ etc / profileファイル、 "TMOUT =値" を追加
- 方法2:輸出TMOUT =値
5、sudoコマンドは、権限を昇格します
(1)欠点suコマンド:
suコマンドを使用する場合は、rootユーザーにデフォルトのユーザー名スイッチを指定しないでください、あなたはrootのパスワードを入力する必要がありますが、実際の生産には、rootのパスワードを広く伝えることができないです。
コマンドrootユーザー権限を実行する必要がある場合のみsudoコマンドまたはwheelグループを設定することによって達成される必要があります。
(2)sudoコマンド
- 役割:(デフォルトではrootとして)コマンドは、別のユーザーとして認証を実行します
- 使用法:
sudoコマンドの許可
デフォルトの設定は、最初の実行で、現在のユーザーのログインパスワードを入力する必要は、パスワードを入力する必要がないとき、sudoコマンドを再び5分以内。
- sudo認証を設定します:
- 方法:sudoを追加するために、単一の承認されたユーザー
- visudoをまたはVIの/ etc / sudoersファイル(同じ効果)は、内容を追加するように構成されました
- フォーマット:「!」ホスト名=コマンドプログラムリストのユーザリスト、コマンドは、コマンド「に加えて」ということを追加します
- 方法2:ボリュームライセンス
- wheelグループ
- エイリアス
- 例えば、実際の需要に応じて、エイリアスを設定
- エイリアスを設定した後、書式設定を追加します。ユーザーの別名ホスト別名=コマンドエイリアスを(別名はすべて大文字です)
- 方法:sudoを追加するために、単一の承認されたユーザー
(3)表示sudoの動作実績
-
- 方法:
- ステップ:visudoをまたはVIの/ etc / sudoersファイルには、 "デフォルトのログファイル=の/ var / sudoを/ログ" を追加します
- ステップ2:猫は/ var / log / sudoを
- 例:アンバー/ sbinに/と/ usr / sbinにシャットダウンと再起動に加えて、実行権限をすべてのユーザーにデフォルトのログファイルコンフィギュレーションコマンドを有効にします。
- [ルート@ WWWの〜]#visudoをします
- 方法:
(4)クエリ須藤-lを動作することを許可しました
6、PAMの安全認証
1、セキュリティは、suコマンドをリスク
他のユーザーが(rootで)何度も何度もログインパスワード、セキュリティ上のリスクを試す機会を持つようにデフォルトでは、すべてのユーザーは、suコマンドを使用することを許可されています。
制御コマンドを使用してsuコマンドを強化するには、PAM認証モジュール、ごく少数のユーザーsuコマンドスイッチを利用することができます。
図2に示すように、プラグイン可能な認証モジュールPAM(プラグ可能認証モジュール)
(1)PAMの紹介
PAMは、それはまた、一般的にLinuxサーバーを使用し、現在の認証方法で、効率的で柔軟かつ便利なユーザーレベルの認証です。
PAMは、ログイン、リモートログイン(のtelnet、rloginの、FSH、FTP)、SU-ピア・アプリケーションのためのすべてのサービスの認証のための中心的メカニズムを提供します。
PAM設定ファイルでアプリケーションごとに異なる戦略を開発するための認定システム管理者。
(2)PAM認証原則
そのサービス(サービス)→PAM→のPAM _ *:PAM認証は一般の順序に従います。
PAM認証は最初のサービスを決定し、その後、(/etc/pam.dににある)最後の呼び出し認証ファイルを適切なPAM構成ファイルをロードする必要があります(32ビットシステム/ lib64にに位置/ LIB /セキュリティ、64ビットシステムに配置します/セキュリティ)安全認証の下で。
サーバは、サーバ・プロセスは、認証のためのPAMモジュールに対するユーザーの要求を送信する場合、ユーザーはサーバーにアクセスします。異なるアプリケーションのPAMモジュールに対応が異なります。
あなたは、プログラムがPAM認証をサポートするかどうかを確認したい場合は、lsコマンドを使用して表示することができ、
LS /etc/pam.d|grep SU:SU PAMモジュールを閲覧すると、認証をサポートしていますなど
3、PAM認証設定
各列は別個の認証プロセスであります
認証型、制御型、PAMモジュールとそのパラメータ:各行は、三つのフィールドに分割することができます
4、認定の4つの一般的な種類
認証タイプの役割を意味
認証認証管理ユーザー名とパスワードを受け入れ、[ユーザーのパスワードを認証します
アカウント管理アカウント、アカウントの有効期限が切れているかどうか、アカウントがシステムにログインすることが許可されているかどうかを確認し、ログインアカウントは、制限期間およびその他の権利はあります
パスワードパスワードの管理はユーザーのパスワードを変更するために使用されます
セッションのセッション管理は、セッション管理と会計を提供することです
コントロールの5、5つの共通のタイプ
(1)継続的な故障を確認する必要はなく、戻って失敗
(2)必要な検証が全体の検証プロセスへの即時終了に失敗し、失敗に戻ります
(3)十分な認証が直ちに返され、もはやそうでなければ結果を無視し続け、継続していない成功し
(4)オプションの検証が使用されていない、唯一の表示情報(一般セッションのために使用されるタイプ)
(5)リア認証モジュールPAMに、認証なしに含みます
6、PAM認証モジュールを使用して、コマンドまたは権限サービスの使用を制限
(1)VI /etc/pam.d/の設定ファイルに対応するコマンドを編集し、モジュールはpam_wheelを有効
(2)車輪グループに許可されたユーザを追加します
まず、基本的な安全注意事項
1は、システムがクリーンアップを占める
(1)非ログインユーザのシェルに/ sbinに/ nologinに
- 方法の一つ:usermodの-s
- 方法2:CHSHコマンドは、対話的に変更します
- 方法3:CHSH -s
(2)アカウントがロックされていない長期使用
- 方法の一つます。passwd -l(「!」暗号文の前に2が追加されます)passwdの-uビューpasswdの-Sのロックを解除するには
- 方法2:usermodの-Lは、ロックを解除usermodの-U(「!」の前に暗号文を追加します)
(3)不要なアカウントを削除
- ・userdelの[-r]ユーザ名
(4)アカウントファイル/ etc / passwdファイルをロックするには、/ etc /影
- ロック:chattrは+ I / etc / passwdファイルは/ etc /影
- ロック解除:chattrは-i / etc / passwdファイルは/ etc /影
- 表示:たlsattr / etc / passwdファイルは/ etc /影
2、パスワードのセキュリティ制御
方法:設定するパスワードの有効期限
- 既存のユーザーのパスワードが有効で変更します。
- 日数は-Mユーザー名をチャゲ
- passwdの-xユーザ名の日
- 将来的にユーザーを追加するには、デフォルトのパスワードの有効期限を設定します。
- 方法:viの編集者に/etc/login.defsファイルは、「PASS_MAX_DAY」の後ろに値を変更します
- パスワードを使用すると、次回ログイン時に変更することをユーザに要求
- 方法:チャゲは0ユーザ名を-d
図3に示すように、コマンド履歴の制限
(1)履歴コマンドの数を減らします
- 方法:viの編集/ etc / profileファイルには、値の後に "HISTSIZE =" を変更します
- 方法2:輸出HISTSIZE =値
あなたがログオフしたとき(2)自動コマンドの歴史を空にする
- 方法:ファイル「.bash_logout」のviエディタは、ホームディレクトリに 『歴史-c』を追加します
図4に示すように、端末が自動的にログアウト
- 方法:viの編集/ etc / profileファイル、 "TMOUT =値" を追加
- 方法2:輸出TMOUT =値
5、sudoコマンドは、権限を昇格します
(1)欠点suコマンド:
suコマンドを使用する場合は、rootユーザーにデフォルトのユーザー名スイッチを指定しないでください、あなたはrootのパスワードを入力する必要がありますが、実際の生産には、rootのパスワードを広く伝えることができないです。
コマンドrootユーザー権限を実行する必要がある場合のみsudoコマンドまたはwheelグループを設定することによって達成される必要があります。
(2)sudoコマンド
- 役割:(デフォルトではrootとして)コマンドは、別のユーザーとして認証を実行します
- 使用法:
sudoコマンドの許可
デフォルトの設定は、最初の実行で、現在のユーザーのログインパスワードを入力する必要は、パスワードを入力する必要がないとき、sudoコマンドを再び5分以内。
- sudo認証を設定します:
- 方法:sudoを追加するために、単一の承認されたユーザー
- visudoをまたはVIの/ etc / sudoersファイル(同じ効果)は、内容を追加するように構成されました
- フォーマット:「!」ホスト名=コマンドプログラムリストのユーザリスト、コマンドは、コマンド「に加えて」ということを追加します
- 方法2:ボリュームライセンス
- wheelグループ
- エイリアス
- 例えば、実際の需要に応じて、エイリアスを設定
- エイリアスを設定した後、書式設定を追加します。ユーザーの別名ホスト別名=コマンドエイリアスを(別名はすべて大文字です)
- 方法:sudoを追加するために、単一の承認されたユーザー
(3)表示sudoの動作実績
-
- 方法:
- ステップ:visudoをまたはVIの/ etc / sudoersファイルには、 "デフォルトのログファイル=の/ var / sudoを/ログ" を追加します
- ステップ2:猫は/ var / log / sudoを
- 例:アンバー/ sbinに/と/ usr / sbinにシャットダウンと再起動に加えて、実行権限をすべてのユーザーにデフォルトのログファイルコンフィギュレーションコマンドを有効にします。
- [ルート@ WWWの〜]#visudoをします
- 方法:
(4)クエリ須藤-lを動作することを許可しました
6、PAMの安全認証
1、セキュリティは、suコマンドをリスク
他のユーザーが(rootで)何度も何度もログインパスワード、セキュリティ上のリスクを試す機会を持つようにデフォルトでは、すべてのユーザーは、suコマンドを使用することを許可されています。
制御コマンドを使用してsuコマンドを強化するには、PAM認証モジュール、ごく少数のユーザーsuコマンドスイッチを利用することができます。
図2に示すように、プラグイン可能な認証モジュールPAM(プラグ可能認証モジュール)
(1)PAMの紹介
PAMは、それはまた、一般的にLinuxサーバーを使用し、現在の認証方法で、効率的で柔軟かつ便利なユーザーレベルの認証です。
PAMは、ログイン、リモートログイン(のtelnet、rloginの、FSH、FTP)、SU-ピア・アプリケーションのためのすべてのサービスの認証のための中心的メカニズムを提供します。
PAM設定ファイルでアプリケーションごとに異なる戦略を開発するための認定システム管理者。
(2)PAM認証原則
そのサービス(サービス)→PAM→のPAM _ *:PAM認証は一般の順序に従います。
PAM認証は最初のサービスを決定し、その後、(/etc/pam.dににある)最後の呼び出し認証ファイルを適切なPAM構成ファイルをロードする必要があります(32ビットシステム/ lib64にに位置/ LIB /セキュリティ、64ビットシステムに配置します/セキュリティ)安全認証の下で。
サーバは、サーバ・プロセスは、認証のためのPAMモジュールに対するユーザーの要求を送信する場合、ユーザーはサーバーにアクセスします。異なるアプリケーションのPAMモジュールに対応が異なります。
あなたは、プログラムがPAM認証をサポートするかどうかを確認したい場合は、lsコマンドを使用して表示することができ、
LS /etc/pam.d|grep SU:SU PAMモジュールを閲覧すると、認証をサポートしていますなど
3、PAM認証設定
各列は別個の認証プロセスであります
認証型、制御型、PAMモジュールとそのパラメータ:各行は、三つのフィールドに分割することができます
4、認定の4つの一般的な種類
認証タイプの役割を意味
認証認証管理ユーザー名とパスワードを受け入れ、[ユーザーのパスワードを認証します
アカウント管理アカウント、アカウントの有効期限が切れているかどうか、アカウントがシステムにログインすることが許可されているかどうかを確認し、ログインアカウントは、制限期間およびその他の権利はあります
パスワードパスワードの管理はユーザーのパスワードを変更するために使用されます
セッションのセッション管理は、セッション管理と会計を提供することです
コントロールの5、5つの共通のタイプ
(1)継続的な故障を確認する必要はなく、戻って失敗
(2)必要な検証が全体の検証プロセスへの即時終了に失敗し、失敗に戻ります
(3)十分な認証が直ちに返され、もはやそうでなければ結果を無視し続け、継続していない成功し
(4)オプションの検証が使用されていない、唯一の表示情報(一般セッションのために使用されるタイプ)
(5)リア認証モジュールPAMに、認証なしに含みます
6、PAM認証モジュールを使用して、コマンドまたは権限サービスの使用を制限
(1)VI /etc/pam.d/の設定ファイルに対応するコマンドを編集し、モジュールはpam_wheelを有効
(2)車輪グループに許可されたユーザを追加します