Linux安全应用1
阻止普通用户关机控制台助手机制
/usr/bin/consolehelper
配置目录
/etc/security/console.apps/
cd /etc/security/console.apps
mkdir -m 700 locked
mv poweroff locked
清理非登陆账号
/sbin/nologin禁止登陆Shell
bin daemon shutdown ……
删除冗余账号
news games gopher
使用chage工具
-d 0 , 强制修改密码
-E yyyy-mm-dd , 指定失效日期 (-l 取消)
chage -E 2014-10-31 zengve
chage -l zergye//查看zerye用户密码的详细信息
chage -d 0 tom//强制tom用户修改密码
chage -m 0 tom//随时可以更改密码
chage -m 1 -M 90 -W 5 -E 2014-10-01-I 14 tom
m 密码最短使用时间
M 密码最长使用时间
-W 警告时间
-E 密码到期时间
-I 不活跃时间
账号的锁定/解锁
使用passwd命令
-l锁定 -u解锁 -S查看状态
使用usermod命令
-L锁定 -U解锁
passwd -l tom//锁定用户tom的密码
passwd -S tom //查看用户的状态
grep tom /etc/shadow//查看状态
强制定期修改密码
配置文件/etc/login.defs
- 对新建的用户有效
主要控制属性
- PASS_MAX_DAYS最大天数
- PASS_MIN_DAYS最小天数
- PASS_WARN_AGE警告天数
- PASS_MIN_LEN 最短长度
减小历史命令的条数
环境变量 history
- 默认记录1000条
密码等敏感信息应避免在命令行输入
- 比如 NFS挂载、加域等操作
在用户的家目录 下,历
vim .bash_history //历史记录保存在此文件
vim /etc/profile//修改历史条数
安全使用程序和服务
禁用非必要的系统服务
- 使用ntsysv、 chkconfig工具
禁止普通用户执行init.d目录下的脚本
- 限制 "other" 的权限
who -r //查看当前运行级别
run-level //查看当前运行级别
init 3 //切换到运行级别3
start x //进入图形界面
ntsysv --level 35 //选中要开机运行的35运行级别
文件系统规划及挂载
合理规划系统分区
- /boot /home /var 等采用独立的卷
mount挂载选项
-o nosuid -o noexec选项
SUID:如果一个可执行文件对其他人具有x权限,同时他也设置SUID,那么,
其他人在执行该文件的时候,文件执行期间就具备属主权限
# ll /bin/ls
# chmod 4755 /bin/ls
# su - tom
$ ls
# exit
# chmod u-s /bin/ls
mount -o noexec /dev/sda1 /boot//不允许执行该分驱的文件
文件锁定和解锁
EXT3/EXT4的文件属性控制
- chattr lsattr
+ - =控制方式
- 属性i: 不可变(immutable)
- 属性a: 仅可追加(append only)
chmoda= hosts //设置权限等于空
chattr +i /etc/passwd//加了i权限文件不可修改
chattr -i /etc/passwd//撤消i权限
lsattr /etc/passwd //查看文件权限
tty终端控制
允许启用哪些tty终端
配置文件 /etc/sysconfig/init
- ACTIVE_CONSOLLES=/dev/tty
立即禁止普通用户登陆
- /etc/nologin
touch /etc/nologin//创建nologin文件禁止所有普通用户登陆
只允许root从指定的几个终端登陆
- 配置文件 /etc/securetty
伪装终端登陆提示
配置文件/etc/issue //本地打开登陆终端出现的标题
配置文件/etc/issue.net//telnet远程连接打开终端出现的标题,ssh不出现
vim /etc/httpd/conf
vim /etc/httpd/conf/httpd.conf
/ServerSignature On //查找ServerSignature On
ServerSignature Off //将on改为off关掉事务签名
:wq
禁止Ctrl+Alt+Del重启
停用Ctrl+Alt+Del执键配置
- /etc/init/control-alt-delete.conf
vim /etc/init/control-alt-delete.conf
#start on control-alt-delete
#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
:wq
6,$s/^/#/ //或这样加#号修改
GRUB引导控制
引导设密的作用
- 限制修改启动参数
- 限制进入系统
密码设置方法
- password --md5加密的密码串
- 或者 , password 明文密码串
获得MD5加密的密码串
grub-md5-crypt
vim /etc/grub.conf
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
password --md5 $1$kWaqv1$tJxpfKknIY7is51qrvWFD1
title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)
password abc
root (hd0,0)
kernel /vmlinuz-2.6.32-358.el6.x86_64 ro root=UUID=27e5d4b2-0432-4ce1-831d-10044d691e31 rd_NO_LUKSKEYBOARDTYPE=pc KEYTABLE=us rd_NO_MD crashkernel=auto LANG=zh_CN.UTF-8 rd_NO_LVM rd_NO_DM rhgb quiet
initrd /initramfs-2.6.32-358.el6.x86_64.img
vim /etc/grub.conf
title windwos 7//添加多一个系统引导
rootnoverify(hd0,0)
makective
chainloader +1 //设置为活动的
boot/grub/splash.xpm.gz//开机启动图片存放位置
开机按"p"输入第一个密码
回车 再输入密码
用户切换与提权
切换用户身份,When
- SSH远程管理
- 运维测试
提升执行权限,When
- 管理权限细分
su tom //不加减号表示不登陆shell
su - tom //加减号表示登陆shell
提升执行权限(sudo)
用途:超级执行
验证凭据
- 当前用户的口令,需提前配置授权
命令格式
- sudo 特权命令
- sudo [-u 目标用户] 特权命令
# visudo
# visudo -c #检查语法正不正确
/ALL
Cmnd_Alias USEROP = /usr/bin/passwd, /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod//把命令加入USEROP组
User_Alias USER_ADMINS = tom, jack //把tom加,jack加入USER_ADMINS组
tom ALL=(ALL) ALL //加上这一行,可以执行任意管理员命令 sudo su -#然后输入用户自己的密码,就可以切换成root用户了
USER_ADMINSALL=(ALL)USEROP //USER_ADMINS组的这些人,可以执行USEROP组的这些命令
:wq
# su - tom
$ sudo -l// 查看用户tom可以执行的命令
$ sudo useradd jack //要加sudo可才可执行此命令
vim var/log/secure //查看安全相关的日志
yum install -y finger
finger tom //查看tom的用户信息
chfn tom //设置tom的用户信息
name: tommy
office: bejing
office: phone 010-0000
home phpone: 101-11111
验证查看tom的用户信息
grep tom /etc/passwd
页:
[1]