linux安全--用戶帳號--文件系統--用戶切換與sudo提權

系統加固（服務器的本地安全）

1 用戶帳戶安全

2 文件系統安全（系統配置文件的安全 服務的配置）

                        重要的數據文件

                        掛載的文件系統  mount

文件權限的種類  rwx     suid    sgid   T位     facl

++++++++++++++++++++++++++++++++++++++++++

阻止普通用戶關機： 建一個700文件夾 mkdir -m 700 文件夾名 

cd /etc/security/console.spps

mv  poweroff reboot halt 等拷貝到新建的目錄下 普通用戶就沒法關機

++++++++++++++++++++++++++++++++++++++++++

建立用戶並指定有效期   useradd -e 2016-04-30 tom 

查看用戶密碼有效期 chage -l tom

添加用戶登錄默認配置文件 /etc/login.defs

清除用戶密碼  passwd -d tom

+++++++++++++++++++++++++++++++++++++++++++++++++

mount  [-t  文件系統類型]  [ -o  掛載選項 ]   設備   系統目錄

defaults 默認掛載  (man   mount    /defaults)

/etc/fstab   系統啓動時自動掛載哪些設備

mount      -t  文件系統類型 -o noexec.nosuid  /dev/sdc1    /disk   noexec表示此掛在目錄無exec權限，nosuid表示去除root擁有的權限

實驗：

vim  a.sh

rm  -rf  /*

:wq

cp   a.sh   /disk/

chmod +x  /disk/a.sh

cd /disk

./a.sh      由於/disk無exec權限 因此腳本有執行權限也沒法執行

++++++++++++++++++++++++++++++++++++

給文件加a或者i（或者=）屬性(i不可變 a僅可追加）   

lsattr    /etc/resolv.conf  #查看文件的屬性

chattr +a或+i 文件名   鎖定保護文件

chattr -a或-i  文件名   解鎖保護的文件

++++++++++++++++++++++++++++++++++++++++++

給grub加密

加密grup

title  xxxxxxxx

引導 （啓動系統）/boot/grub/grub.conf

                          /etc/grub.conf

加密明文密碼  /boot/grub/grub.conf   title上邊一行 加password 1234567  

加密密文加密  生成密碼：grub-md-crypt  複製生成到密碼   放在title上下邊一行 password  --md5 ***(生成到密碼)

++++++++++++++++++++++++++++++++++++++++++++

停用Ctrl+Alt+Del熱鍵配置

/etc/init/control-alt-delete.conf

#start on control-alt-delete  註銷掉 

當即禁止普通用戶登陸     touch    /etc/nologin  普通用戶就不能登陸系統

++++++++++++++++++++++++++++++

刪除如下文件內容或者修改防止外部***和查看:

/etc/issue      使用於本地登陸（提示內核，系統版本信息）

/etc/issue.net  遠程登陸（提示內核，系統版本信息）

+++++++++++++++++++++++++++++

登陸系統以前最後要加載的文件（執行各類腳本或命令均可以）    /etc/rc.local

++++++++++++++++++++++++++++++

容許啓用哪些tty終端

配置文件 /etc/sysconfig/init   (默認23行)

ACTIVE_CONSOLES=/dev/tty[1-6]  修改此配置

只容許root從指定的幾個終端登陸

配置文件    /etc/securetty

++++++++++++++++++++++++++++++++++

查看當前登陸帳戶  whoami

用戶切換  su 用戶名 或 su - 用戶名

su   -   用戶名   -c   "命令"   不切換用戶的狀況下用指定用戶執行命令（須要知道指定用戶密碼）

su  -  oracle  -c   ".. ../bin/lsnrctl  start" 

su  -  oracle  -c ".. ../bin/dbstart  $ORACLE_HOME"

su   -  root   -c   "touch /tmp/test.txt"   

查看 su切換的使用狀況

cat    /var/log/secure

++++++++++++++++++++++++++++++++++++++++++++++++++

提取  sudo

/etc/sudoers  配置文件 （快捷打開文件的命令 visudo ）

給普通用戶提權：sudo

sudo -l 查看本身的udo受權

sudo -u zhangsan mkdir /tmp/haha  在另外用戶以用戶zhangsan的權限新建一個文件夾

sudo /sbin/ifconfig eth0:1 1.1.1.1   切換到用戶，執行sudo命令

舉例：/%名（表示組）

用戶     主機列表=命令列表

root    ALL=(ALL)       ALL   容許root在全部主機運行全部命令

root    ALL=(ALL)     NOPASSWD: ALL    容許root在全部主機不用輸入密碼運行全部命令

mike    localhost,svr=/sbin/*,!/sbin/ifconfig eth0   容許mike以root權限執行/sbin/下的全部命令，可是禁止修改eth0網卡的參數

mike  localhost,localdomain=/sbin/*   容許mike在localdomain主機以root權限執行/sbin/下的全部命令

mike  localhost,localdomain=/sbin/ifconfig 容許mike在localdomain主機執行/sbin/下的ifconfig一個命令

sudo別名設置 （簡化操做

User_Alias HAHAZU須大寫)=tom,mike,jim  用戶別名

Host_Alias SERVER=mail,svr,pc205   主機別名

Cmnd_Alias MINGLING=/bin/rpm,/usr/bin/yum 命令別名

HAHAZU SERVER=MINGLING

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

修改全局配置，啓用日誌

Defaults  logfile="/var/log/sudo"  再次sudo後就產生了日誌文件