Linuxの「10」 - システムセキュリティとアプリケーション

開発 2019-08-28 10:26:08 訪問数: null

この章では、構造:

  • アカウントのセキュリティ制御

  • 制御および着陸誘導システム

  • 弱いパスワードを検出

  • ポートスキャン

(A)は、基本的な安全対策をアカウント:

1、システムアカウントのクリーンアップ

  • 非ログインユーザのシェルを設定するために/ sbinに/ nologinに

  • アカウントロックの工場を使用しないでください

  • 未使用アカウントを削除

  • アカウントファイルのpasswdをロックし、影

[ルート@ localhostの〜] #chattr + I / etc / passwdファイルは/ etc / shadowのアカウントのファイルのロック

[ルート@ localhostの〜] #lsattrの/ etc / passwdファイル/ etc / shadowファイルを、ロックの状態を表示します

---- I ------------ / etc / passwdファイル

---- I ------------は/ etc /影

image.png

[ルート@ localhostの〜] #chattr -iの/ etc / passwdファイル/ etc / shadowファイルには、アカウントのロックを解除します

image.png

2、パスワードのセキュリティ制御

  • 設定するパスワードの有効期限

新しいユーザーに適用される[ルート@ localhostの〜] #vimに/etc/login.defs

......

PASS_MAX_DAYS 30

image.png

image.pngimage.png

image.png

[ルート@ localhostの〜]既存のユーザーに適用#chage -M 30 zhangsan

image.png

image.png

  • パスワードを変更することをユーザに要求する場合、次の着陸

次の[〜ルート@ localhostの] #chage -d 0 zhangsan不時着し、パスワードを変更します

image.png

image.png

3、基本的なアカウントのセキュリティ対策

1000コマンド履歴制限のデフォルト

[ルート@ localhostの〜] #vimは/ etc / profileのVimは編集することは/ etc / profileコマンドは、歴史的なレコード番号を設定します

image.png

  • 注文のレコード数を減らします

    image.pngimage.pngimage.png

  • 自動flushコマンド履歴ログオフするとき

[ルート@ localhostの〜]#のvimの〜/ .bash_logout

image.png

image.png

ターミナル自動的にログオフ

  • 15秒間のアイドル後の自動ログオフ

[ルート@ localhostの〜]のvim〜/ .bash_profileの

.......

輸出TMOUT = 15

ユーザを切り替えるsuコマンドを使用して、(B):

1、目的や使用方法

  • 用途:Substitute User,切换用户

  • 格式:su - 目标用户

2、密码验证

  • root到任意用户,不验证码密码

  • 普通用户到其他用户。验证目标用户的密码

image.png

3、限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组

  • 启用pam_wheel认证模块

[root@localhost ~]# vim /etc/pam.d/su            开启pam认证模块

image.png

[root@localhost ~]# vim /etc/group                              查看wheel组里的用户

可以看到zhangsan在组里(shangsan默认在组里)

image.png

image.png

image.png

4、查看su操作记录   

[root@localhost ~]# vim /var/log/secure

安全日志文件:/var/log/secure

5、PAM安全认证流程

控制类型可以称作Control Flags,用于PAM验证类型的返回结果

a、required验证失败时仍然继续,但返回FALL

b、requisite验证失败则立即结束整个验证过程,返回Fall

c、sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

d、optional不用于验证,只显示信息(通常用于session类型)

(三)使用sudo机制提升权限

1、sudo命令的用途及用法

  • 用途:以其他用户身份(如root)执行授权的命令

  • 用法:sudo 授权命令

2、配置sudo授权

  • visudo或者vim /etc/sudoers

  • 记录格式:用户   主机名列表 = 命令程序列表

image.png

image.png

image.png

3、查看sudo操作记录

  • 需启用Defaults logfile 配置

  • 默认日志文件:"/var/log/sudo"

    [root@localhost ~]# tail /var/log/sudo  


(四)、开关机安全控制

1、调整BIOS引导设置

  • 将第一引导设备设为当前系统所在硬盘

  • 禁止从其他设备(光盘、U盘、网络)引导系统

  • 将安全级别设为setup,并设置管理员密码

2、GRUB限制

  • 鍵を生成するGRUB2-あるmkpasswd-PBKDF2を使用します

  • /etc/grub.d/00_headerファイルを変更し、パスワードレコードを追加

  • 新しい設定ファイルを生成Grub.cfg

image.pngimage.png

image.pngimage.png(E)、端末アクセスセキュリティ制御

1、リミットrootログインのみのセキュアターミナル

セキュリティ端末構成:の/ etc / securettyに

[ルート@ localhostの〜]#のvimのは/ etc / securettyに

2、一般のユーザーの着陸を禁止

の/ etc / nolonginファイルを確立

ファイルNOLOGINまたは再起動後に正常に戻った削除に

[ルート@ localhostの〜] #touchの/ etc / nologinの禁止一般のユーザーがログイン

[ルート@ localhostの〜] #rm -rfの/ etc /着陸制限のNOLOGIN撤退


おすすめ

転載: blog.51cto.com/14475876/2433151
おすすめ
ランキング
Oracleのクエリ重複フィールド
An error occurred when ssm used count to query data
【Leyes de la Naturaleza】La sabiduría de las multitudes
JavaWebの研究では、(13)を締結 - セッションの使用は、重複送信フォームを防ぎます
Firebase増加サインアップクォータ
[MyBatisフレームワーク]mybatis入門
ハートレスの世界
Djangoのインストールと使用について
[转] UiPath展開アーキテクチャ
mybatis-plusは楽観的なロック変更を使用します
アーカイブ
もっと
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)

コードワールド

© 2018 codetd.com