系統安全及應用

1、基本安全措施

系統帳號清理

1、 將非登陸用戶的shell設爲/sbin/nologin

  方法一：usermod -s

  方法二：chsh命令，交互式修改

  方法三：chsh -s

示例：有個用戶xuexi

    方法一：usermod -s /sbin/nologin xuexi

      方法二：chsh xuexi

Changing shell for xuexi.

New shell [/bin/bash]: /sbin/nologin

Shell changed.

      方法三：chsh -s /sbin/nologin  xuexi

除了上述三種方式，也能夠直接vi編輯/etc/passwd文件進行修改

2、鎖定長期不使用的帳號

  方法一：passwd -l （將在密文前增長2個「！」）解鎖passwd -u 查看passwd -S

  方法二：usermod -L（將在密文前增長1個「！」）解鎖usermod -U

示例：tail -5 /etc/shadow  看後5行

     方法一：passwd -l xuexi 鎖定

     方法二：usermod -L xuexi 鎖定

注意：若用passwd -l命令對某帳號進行鎖定，若用usermod -U命令解鎖，須要進行兩次操做才行。

除了上述兩種方法，也能夠直接vi編輯/etc/shadow文件進行修改。

3、刪除無用的帳號：userdel -r 用戶名

4、鎖定帳號文件/etc/passwd、/etc/shadow

方法一：i鎖（不能追加內容，不能修改）

鎖定：chattr  +i /etc/passwd   /etc/shadow  

解鎖：chattr  -i/etc/passwd   /etc/shadow  

查看：lsattr  /etc/passwd    /etc/shadowetc

方法二：a鎖（能夠追加內容，不能修改）

鎖定：chattr  +a/etc/passwd

解鎖：chattr  -a/etc/passwd

注意：鎖定後即便是超戶，也不能修改該文件，即不能建立、刪除、修改用戶信息。

           只能超戶解鎖，非超級用戶破解不了

密碼安全控制

一、設置密碼有效期

   修改密碼有效期：chage -M 天數 用戶名

                               Passwd -x 天數 用戶名

二、設置從此添加用戶時的默認密碼有效期：

 方法：vi編輯/etc/login.defs文件，修改「PASS_MAX_DAYS」後面的數值

要求用戶下次登陸時修改密碼：方法：chage -d 0 用戶名

命令歷史限制

一、減小歷史的命令條數

方法一：vi編輯/etc/profile文件，修改「HISTSIZE=」後面的數值

方法二：export HISTSIZE=數值

注：/etc/profile  系統全局變量文件，全部和變量相關的咱們都應該放在這裏進入vim編輯

全局生效export（讓一個變量全局生效）

二、註銷時自動清空歷史命令

方法：vi編輯宿主目錄下的「.bash_logout」文件，添加「history -c」

清空歷史記錄：history  -c

終端自動註銷

方法一：vi編輯/etc/profile文件，添加「TMOUT=數值」

方法二：export TMOUT=數值

示例：方法一：vi編輯/etc/profile文件，添加「TMOUT=600」

              source /etc/pofile（生效操做）

      方法二：export TMOUT=600  閒置600秒後自動註銷

2、切換用戶 su 命令

1、做用：切換用戶

2、格式：su - 目標用戶（有「-」初始化環境變量，無「-」環境變量不改變）

3、查看su操做記錄，安全日誌文件：/var/log/secure

3、提高權限sudo命令

做用：受權普通用戶限定使用命令範圍的權限

配置sudo受權

方法一：添加單個用戶的sudo受權

經過visudo進入配置文件/etc/sudoers，添加內容（用vim進入配置文件是隻讀模式）

格式：用戶  IP地址=主機名   命令（命令前加「！」表示「除了」此命令）

給普通用戶單獨開權限 xuexi  192.168.10.0/24 =    / sbin/fdisk

受權sbin下全部命令，可是不讓使reboot命令：

給普通用戶：xuexi   192.168.10.0/24 =       /sbin/*,!  /sbin/reboot

讓普通用戶本身分區，禁止他任何能破壞系統的操做

 xuexi  192.168.10.0/ 24 =     /sbin/*,! /sbin/reboot,!  /sbin/fdisk  /dev/sda*

指定普通用戶看日誌xuexi  192.168.10.0/ 24=  /bin/cat  /var/log/messages*,

/usr/bin/head  /var/log/messages*,/usr/bin/tail  /var/log/messages*,

/usr/bin/nl  /var/log/messages*,/usr/bin/less  /var/log/messages*,

/bin/more  /var/log/messages*,/usr/bin/tac  /var/log/messages*

普通用戶 xuexi   192.168.10.0/ 24 =   /sbin/service sshd reload（容許sshd重啓）

不退出不當即生效 ，先寫容許，在寫拒絕

普通用戶輸入sudo -l 查看有沒有特殊權限（輸入普通用戶密碼）

方法二：批量受權（根據實際需求，設置別名）

設置別名後，添加格式：用戶別名  主機別名=命令別名（全部別名均大寫）

查看sudo操做記錄

方法：第一步：visudo添加「Defaults logfile=/var/log/sudo」

          第二步：cat/var/log/sudo

查詢受權操做   sudo  -l  

普通用戶輸入sudo -l 查看有沒有特殊權限（輸入普通用戶密碼）