この章では、構造:
アカウントのセキュリティ制御
制御および着陸誘導システム
弱いパスワードを検出
ポートスキャン
(A)は、基本的な安全対策をアカウント:
1、システムアカウントのクリーンアップ
非ログインユーザのシェルを設定するために/ sbinに/ nologinに
アカウントロックの工場を使用しないでください
未使用アカウントを削除
アカウントファイルのpasswdをロックし、影
[ルート@ localhostの〜] #chattr + I / etc / passwdファイルは/ etc / shadowのアカウントのファイルのロック
[ルート@ localhostの〜] #lsattrの/ etc / passwdファイル/ etc / shadowファイルを、ロックの状態を表示します
---- I ------------ / etc / passwdファイル
---- I ------------は/ etc /影
[ルート@ localhostの〜] #chattr -iの/ etc / passwdファイル/ etc / shadowファイルには、アカウントのロックを解除します
2、パスワードのセキュリティ制御
設定するパスワードの有効期限
新しいユーザーに適用される[ルート@ localhostの〜] #vimに/etc/login.defs
......
PASS_MAX_DAYS 30
[ルート@ localhostの〜]既存のユーザーに適用#chage -M 30 zhangsan
パスワードを変更することをユーザに要求する場合、次の着陸
次の[〜ルート@ localhostの] #chage -d 0 zhangsan不時着し、パスワードを変更します
3、基本的なアカウントのセキュリティ対策
1000コマンド履歴制限のデフォルト
[ルート@ localhostの〜] #vimは/ etc / profileのVimは編集することは/ etc / profileコマンドは、歴史的なレコード番号を設定します
注文のレコード数を減らします
自動flushコマンド履歴ログオフするとき
[ルート@ localhostの〜]#のvimの〜/ .bash_logout
ターミナル自動的にログオフ
15秒間のアイドル後の自動ログオフ
[ルート@ localhostの〜]のvim〜/ .bash_profileの
.......
輸出TMOUT = 15
ユーザを切り替えるsuコマンドを使用して、(B):
1、目的や使用方法
用途:Substitute User,切换用户
格式:su - 目标用户
2、密码验证
root到任意用户,不验证码密码
普通用户到其他用户。验证目标用户的密码
3、限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su 开启pam认证模块
[root@localhost ~]# vim /etc/group 查看wheel组里的用户
可以看到zhangsan在组里(shangsan默认在组里)
4、查看su操作记录
[root@localhost ~]# vim /var/log/secure
安全日志文件:/var/log/secure
5、PAM安全认证流程
控制类型可以称作Control Flags,用于PAM验证类型的返回结果
a、required验证失败时仍然继续,但返回FALL
b、requisite验证失败则立即结束整个验证过程,返回Fall
c、sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
d、optional不用于验证,只显示信息(通常用于session类型)
(三)使用sudo机制提升权限
1、sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
2、配置sudo授权
visudo或者vim /etc/sudoers
记录格式:用户 主机名列表 = 命令程序列表
3、查看sudo操作记录
需启用Defaults logfile 配置
默认日志文件:"/var/log/sudo"
[root@localhost ~]# tail /var/log/sudo
(四)、开关机安全控制
1、调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
2、GRUB限制
鍵を生成するGRUB2-あるmkpasswd-PBKDF2を使用します
/etc/grub.d/00_headerファイルを変更し、パスワードレコードを追加
新しい設定ファイルを生成Grub.cfg
(E)、端末アクセスセキュリティ制御
1、リミットrootログインのみのセキュアターミナル
セキュリティ端末構成:の/ etc / securettyに
[ルート@ localhostの〜]#のvimのは/ etc / securettyに
2、一般のユーザーの着陸を禁止
の/ etc / nolonginファイルを確立
ファイルNOLOGINまたは再起動後に正常に戻った削除に
[ルート@ localhostの〜] #touchの/ etc / nologinの禁止一般のユーザーがログイン
[ルート@ localhostの〜] #rm -rfの/ etc /着陸制限のNOLOGIN撤退