2. 程式人生 > >Linux系統安全

Linux系統安全

阿新 發佈:2018-10-31
auth all log 加密 之前 系統管 指定 ini alt

安全

1.分類

1)物理安全(防止人為破壞或自然災害)

2)系統安全(用戶、權限、訪問控制等)

3)網絡安全(VLAN、Qos、端口、×××)

4)數據安全(RAID、加密、令牌等)

二、系統安全

1.用戶管理

1)刪除長時間不使用的用戶

userdel [-r] 用戶名

選項

-r:刪除指定用戶家目錄

2)設置程序用戶Shell為不允許登陸系統

usermod -s /sbin/nologin 用戶

3)臨時使用用戶(設置用戶的最長使用期限)

chage -E 日期 用戶

chage -l 用戶

4)鎖定文件,該文件不能被刪除(粘指位)

chattr +i /etc/passwd && chattr +i /etc/shadow //指定文件將不能刪除

chattr -i /etc/passwd && chattr -i /etc/shadow //移除指定文件的粘滯位

lsattr 文件 //查看指定用戶是否設置粘滯位

chmod o+t 目錄/文件 //給指定目錄/文件設置粘滯位

chmod o-t 目錄/文件 //給指定目錄/文件取消粘滯位

ls -ld 目錄 //查看目錄的粘滯位設置情況(t權限位)

註:所有者及root用戶不受限制

Linux特權權限

SUID(對二進制文件生效,使普通用戶以所有者的權限執行文件)、SGID(對目錄生效,保持原目錄的所有組)、Stickybit(防止用戶刪除文件/目錄)

SUID:chmod u+s | u-s 文件

SGID:chmod g+s | g-s 目錄

Stickybit:chmod o+t | o-t 文件/目錄

八進制:SUID=4、SGID=2、Stickybit=1

chmod 4755 //設置文件或目錄擁有SUID及所有者擁有完全權限,所有組擁有讀取、執行權限,其它用戶擁有讀取、執行權限

5)設置密碼有效期

已存在用戶

passwd -S 用戶

passwd -x 天數 用戶

新建用戶

vim /etc/login.defs

25 PASS_MAX_DAYS 天數

三、su、sudo

1.su:切換指定用戶

su [-] 用戶

vim /etc/pam.d/su

6 auth required pam_wheel.so use_uid //PAM模塊認證,只有屬於wheel組用戶可切換到root

tail -f /var/log/secure //查看安全認證日誌文件

註:需配合遠程控制,設置root用戶禁止遠程登陸

2.sudo:臨時提權,普通用戶臨時以root身份執行命令

vim /etc/sudoers或visudo //編輯sudo配置文件,默認不能直接使用

用戶名 主機 命令

例:

u01 ALL=(ALL) ALL //允許u01用戶使用sudo以root身份執行所有命令

u01 ALL=(ALL) ALL,!/sbin/reboot //允許u01用戶使用sudo以root身份執行所有命令,除了reboot

Cmnd_Alias 別名(大寫)=命令 //定義命令別名

User_Alias 別名(大寫)=用戶名 //定義用戶別名

Host_Alias 別名(大寫)=網段,IP地址 //定義主機別名

註:命令可取反,如!/bin/(除/bin/目錄外)

mnd_Alias CMD=ALL,!/sbin/reboot

User_Alias USER=u01,u02

Host_Alias HOST=192.168.10.44

USER HOST=CMD //允許USER別名(u01、u02用戶)在HOST別名(192.168.10.44)執行CMD別名(ALL,!/sbin/reboot)

2)日誌記錄

1.vim /etc/sudoers

Defaults logfile=/var/log/sudo //定義日誌記錄並指定存儲位置

2.tail -f /var/log/sudo

3.sudo -l //查看當前用戶所有sudo能執行的命令

註:默認用戶使用sudo後,保留5分鐘時間,5分鐘內用戶不需再次輸入當前用戶密碼

2.系統管理

1)自動清空歷史命令

vim ~/.bashrc //用戶登陸時自動清空歷史命令

echo "" >~/.bash_history

history -c //清楚當前用戶登陸終端歷史命令(再次登陸依然存在)

vim /etc/profile

HISTSIZE=0 //更改歷史命令記錄數量

2)終端超過閑置時間後自動註銷

vim /etc/profile //全局變量定義文件(所有用戶生效)

TMOUT=秒數 //指定終端超時時間

vim ~/.bash_profile //只對當前用戶生效

TMOUT=秒數 //指定終端超時時間

3.開關機安全控制

1)禁用熱鍵

vim /etc/init/control-alt-delete.conf

註釋掉最後一行(加#)

2)GRUB菜單限制

明文

vim /boot/grub/grub.conf

password 密碼 //title之前

密文

grub-md5-crypt //將輸入的字符串使用md5方式轉換

vim /boot/grub/grub.conf

password --md5 加密字符串 //title之前

3)減少tty終端數量

vim /etc/sysconfig/init

ACTION_CONSOLES=/dev/tty[1-6] //改動tty[1-6]數值可實現控制

例:

ACTION_CONSOLES=/dev/tty[1-3] //開啟tty1、tty2、tty3

ACTION_CONSOLES=/dev/tty[1,3,6] //開啟tty1、tty3、tty6

ACTION_CONSOLES=/dev/tty[1-1,3-3,6-6] //開啟tty1、tty3、tty6

4)禁止普通用戶登錄

touch /etc/nologin

rm -rf /etc/nologin //解鎖,普通可登錄

5)掃描

nmap -A -O -PO -vv 網段/IP/域名 //掃描指定主機的OS、端口、MAC等信息

推薦掃描類型:

-PO:主機禁止ping時,可強制掃描

-sU:掃描UDP

-sT:掃描TCP

-p:掃描指定端口

Linux系統安全

相關推薦

Linux系統安全及應用

linux 賬號安全 nmap 弱口令檢測 楊書凡 作為一個開放源代碼的操作系統,Linux服務器以其安全、高效和穩定的顯著優勢而得以廣泛應用。下面主要從賬戶安全、系統引導、登錄控制的角度,優化Linux系統的安全性賬號安全控制 用戶賬號,是計算機使用者的身份憑證,每個訪問系

linux系統安全標準規範

sys modify any grub加密 icmp server can fixed bit 首先確保所使用的linux系統中的所有軟件都已經安裝到最新版本。linux下的漏洞或者叫做不規範大致如下幾點:用戶登錄,openssl, CA證書,GRUB加密,SMB密碼永不過

linux系統安全-弱口令檢測和端口掃描

弱口令檢測 端口掃描 john NMAP 一、linux系統安全概要二、詳細說明1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba

Linux 系統安全最小化原則

Linux 系統安全最小化原則對 Linux 系統安全來說極其重要;即多一事不如少一事,具體包括如下幾個方面: 安裝 Linux 系統最小化,即選包最小化,yum 安裝軟件包也要最小化,無用的包不裝。 開機自啟動服務最小化,即無用的服務不開啟。 操作命令最小化。例如:能用 " rm -f test

Linux系統安全最小原則

ont 關閉防火墻 開機 net lin 防火 模板 命令 linux 系統安全最小原則 1.安裝Linux系統最小化,選包最小化,不用就不安裝2.開機服務最小化(5個)ssh network sysstat crontd rsyslog3.操作命令最小化 rm -rf

Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables

ssh-key fir 應用 ble exc 當前 root密碼 exchange ports Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables 當我們安裝完Linux系統作為服務器後,總有一系列的安全配

Linux系統安全

auth all log 加密 之前 系統管 指定 ini alt 安全 1.分類 1)物理安全(防止人為破壞或自然災害) 2)系統安全(用戶、權限、訪問控制等) 3)網絡安全(VLAN、Qos、端口、×××) 4)數據安全(RAID、加密、令牌等) 二、系統安全 1.用戶

linux系統安全檢查指令碼

轉自:http://www.freebuf.com/sectool/108564.html check.sh #!/bin/bash echo "         (__)"   echo "       &nb

Linux系統安全加固設定詳細教程

1、如果是新安裝系統, 一、對磁碟分割槽應考慮安全性: 1)根目錄(/)、使用者目錄(/home)、臨時目錄(/tmp)和/var目錄應分開到不同的磁碟分割槽; 2)以上各目錄所在分割槽的磁碟空間大小應充分考慮,避免因某些原因造成分割槽空間用完而導致系統崩潰; 2、對於/tmp和/va

Linux系統安全設定

根據此文章寫了一個自動檢測指令碼 指令碼位置:https://gitee.com/wdze/linux_security_settings 一、賬號管理 1、使用者密碼 檢測方法: (1)是否存在如下類似的簡單使用者密碼配置,比如:root/root, test/test, 

Linux系統安全筆記

Linux系統安全筆記 https://insecure.org/https://sectools.org/SecTools.Org:排名前125的網路安全工具 http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.htmlhttps

Linux系統安全命令

雖然 Linux 和 Windows NT/2000 系統一樣是一個多使用者的系統,但是它們之間有不少重要的差別。對於很多習慣了 Windows 系統的管理員來講,如何保證 Linux 作業系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹 Linux 系統安全

linux 系統安全命令

雖然 Linux 和 Windows NT/2000 系統一樣是一個多使用者的系統,但是它們之間有不少重要的差別。對於很多習慣了 Windows 系統的管理員來講,如何保證 Linux 作業系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹 Linux 系統安全的命令。

Linux 系統安全 及 lnmp 安裝

/*********************系統盤規劃*********************************/  倫理片http://www.dotdy.com/ /dev/vda  8G  /dev/vdb 500G  /dev/vda 系統盤 掛載在 /  /dev/vdb

Linux系統安全加固淺談

對於企業來說,安全加固是一門必做的安全措施。主要分為:賬號安全、認證授權、協議安全、審計安全。總的來說,就是4A(統一安全管理平臺解決方案),賬號管理、認證管理、授權管理、審計管理。用漏洞掃描工具掃

Linux系統安全配置的一些規則

  [root@deep]# find / -type f −perm−04000−o−perm−02000 \-exec ls –lg {} \;     -rwsr-xr-x 1 root root 33120 Mar 21 1999 /usr/bin/at    *-rwsr-xr-x 1 root

安裝linux系統後調優及安全設置

ras sync 完成 sap ssh連接 bin 建議 歷史 2.6 環境說明: [root@server1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) [root@server1 ~]# uname

Linux系統賬號安全控制

linux 安全 賬號控制 grub 一、基本安全1.系統賬號清理Linux中賬號有root,手工創建的,維護系統運作的,和非登錄用戶,常見的非登錄用戶有bin.daemon.adm.mail.nobody.apache.mysql.ftp等,其中一部分很少用到,可以刪除,如news.uucp

linux文件系統安全

重要文件 hat 重要 安全 修改 超級用戶 文件系統 產生 原因 1.鎖定系統重要文件: 系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況,產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr,通過這個命