系统安全及应用
系统安全及应用
账号安全控制
用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号
才能进入计算机。在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。
用户切换
大多数Linux服务器并不建议用户直接以root用户进行登录.一方面可以大大减少因误操作而导
致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普
通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。
Linux系统为我们提供了su,sudo两种命令,其中su命令主要用来切换用户,而sudo命令用来
提升执行权限,下面分别进行介绍。
用户提权
通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码,
例如,若要从jerry用户切换为root用户,必须知道root用户的密码。对于生产环境中的Linux服务
器,每多—个人知道特权密码,其安全风险也就增加一分。
那么,有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户
的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限。不过,需要由管理员预先进
行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。
系统引导和登录控制
在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录
过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格.安全的管控
制度时,如何防止其他用户的非授权介入就成为必须重视的问题。
NMAP
NMAP是一个强大的端口扫描类安全评测工具,官方站点是http;/ /rmap .org/。NMAP被设计为
检测众多主机数量的巨大网络,支持ping扫描.多端口检测.OS识别等多种技术。使用NMAP定期
扫描内部网络,可以找出网络中不可控的应用服务,及时关闭不安全的服务,减小安全风险.
1、锁定用户、解锁用户、控制用户密码期限 设置命令历史记录
1、创建测试用户
[[email protected] ~]# useradd tom
[[email protected] ~]# passwd tom
2、锁定用户
[[email protected] ~]# passwd -l tom
[[email protected] ~]# passwd -S tom
[[email protected] ~]# usermod -L tom
[[email protected] ~]# passwd -S tom
3、解锁用户
[[email protected] ~]# passwd -u tom
[[email protected] ~]# passwd -S tom
[[email protected] ~]# usermod -U tom
[[email protected] ~]# passwd -S tom
4、设置密码期限
10天后密码过期
[[email protected] ~]# chage -M 10 tom
下次登录修改密码
[[email protected] ~]# chage -d 0 tom
5、设置命令历史记录
[[email protected] ~]# vim .bash_profile
2、用户切换和提权
1、用户切换
root切换普通用户不需要密码
[[email protected] ~]# su tom
普通用户切换普通用户和root用户需要密码
[[email protected] root]$ su jerry
2、限制特定用户使用su
修改pam验证
[[email protected] ~]# vim /etc/pam.d/su
修改配置文件允许wheel组使用su
[[email protected] ~]# vim /etc/login.defs
将用户加入wheel组
[[email protected] ~]# gpasswd -a tom wheel
tom可以使用
jerry无法使用
3、用户提权
[[email protected] ~]# vim /etc/sudoers
将用户加入wheel组
[[email protected] root]$ sudo reboot
3、BISO设置密码
4、设置grub菜单密码
1、生成grub菜单密码
2、备份引导菜单
[[email protected] ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[[email protected] ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak
3、添加grub引导菜单密码
[[email protected] ~]# vim /etc/grub.d/00_header
4、重新生成引导菜单
[[email protected] ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
5、测试成功
5、禁用ctrl+alt+delete
1、禁用快捷键
[[email protected] ~]# systemctl mask ctrl+alt+del.target
2、重新启动服务
[[email protected] ~]# systemctl daemon-reload
3、测试成功
实验
允许用户radmin使用su命令进行切换,其他用户—律禁止切换身份。
授权用户zhangsan管理所有员工的账号,但禁止其修改root 用户的信息。
授权用户lisi能够执行/sbin、/usr /sbin目录下的所有特权命令,不需要密码验证。
所有的su, sudo操作,必须在系统日志文件中进行记录。
禁止使用Ctrl+Alt+Del快捷键,禁止root用户从tty5.tty6登录,为GRLB引导菜单设置密码。
1、创建实验所需用户
[[email protected] ~]# useradd radmin
[[email protected] ~]# useradd zhangsan
[[email protected] ~]# useradd lisi
允许用户radmin使用su命令进行切换,其他用户—律禁止切换身份。
1、修改pam验证
[[email protected] ~]# vim /etc/pam.d/su
1604917951847
2、修改配置文件允许wheel组使用su
[[email protected] ~]# vim /etc/login.defs
3、将用户添加到wheel组
[[email protected] ~]# gpasswd -a radmin wheel
授权用户zhangsan管理所有员工的账号,但禁止其修改root 用户的信息。
1、配置文件信息
[[email protected] ~]# vim /etc/sudoers
授权用户lisi能够执行/sbin、/usr /sbin目录下的所有特权命令,不需要密码验证。
[[email protected] ~]# vim /etc/sudoers
所有的su, sudo操作,必须在系统日志文件中进行记录。
su的日志文件默认在/var/log/secure