IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Linux系统安全与应用 二 -> 正文阅读

[系统运维]Linux系统安全与应用 二

目录

一、sudu机制提升权限

1、sudu机制介绍

2、标准格式

3、sudo参数选项命令/配置sudo授权

4、命令

二、用户别名

1、用户别名的语法格式

三、终端登录安全控制

四、网络端口扫描nmap

1、nmap常用选项?

五、netstat命令

1、输出信息描述

2、常用选项(可以组合使用)


一、sudu机制提升权限

1、sudu机制介绍

通过su命令可以非常方便地切换为另一个用户,但前提条件使必须知道目标用户地登录密码。但是每多一个人知道特权密码,其安全风险也就增加一分。所以就会使用sudo命令来提升用户地执行权限,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。

2、标准格式

用户/组名称 主机名=(提权的权限身份-root)赋权的使用命令(要以绝对路径的方式来写)--可以为多个

3、sudo参数选项命令/配置sudo授权

4、命令

visudo 或者vi /etc/sduers

先切换至普通用户(hehe),再用普通用户创建新用户的时候会提示我们权限不够

此时切换为root用户,进入sudo的配置文件进行添加

?在root下添加用户hehe的权限,保存退出

?此时hehe用户在创建用户的时候使用命令sudo就可以使用useradd这条命令创建用户了

二、用户别名

当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。

用户、主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User_Alias、Host_Alias、Cmnd_A.ias来进行设置。

别名必须大写

1、用户别名的语法格式

User_Alias

用户别名:包含用户、用户组(%组名(使用%引导))、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom, lisi

Host_Alias

主机别名:主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp, pop

Cmnd_Alias

命令路劲、目录(此目录内的所有命令)、其他事先定义过的命令别名cmnd_Alias PKGTOOLS=/ bin/ rpm,/ usr/bin/yum

三、终端登录安全控制

限制root只在安全终端登录

禁止普通用户登录 当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。这时候,只需要简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在, 如果存在,则拒绝普通用户登录系统(root 用户不受限制)。

touch /etc/nologin ?#除root以外的用户不能登录了。

此方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时 使用。当手动删除/etc/nologin 文件或者重新启动主机以后,即可恢复正常。

具体用法:

在etc目录下创建nologin文件,禁止普通用户登录

把此nologin文件删除,取消登录限制

四、网络端口扫描nmap

NMAP是一个强大的端口扫描类安全评测工具,支持ping扫描,多端口检查等多种技术

首先查看是否已经安装nmap命令,如未安装,先进行安装

1、nmap常用选项?

-p:指定扫描窗口

-n:禁用反向DNS解析(以加快扫描速度)

-sS:TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放

-sT:TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务;否则认为目标端口并未开放

-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包,许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性

-sU:UDP扫描,探测目标主机提供哪些UDP服务, UDP扫描的速度会比较慢

-sP:ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描

-P0:跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描

五、netstat命令

查看当前操作系统的网络连接状态,路由表,接口统计等信息,他是了解网络状态及排除网络服务故障的有效工具

1、输出信息描述

列名解释:

Proto:显示连接使用的协议。

RefCnt:表示连接到本套接口上的进程号。

Types:显示套接口的类型。

State:显示套接口当前的状态。

Path:表示连接到套接口的其它进程使用的路径名。

netstat的输出结果可以分为两个部分:

1、Active Internet connections 有源TCP连接,其中"Recv-Q"和"Send-Q"指接收队列和发送队列。这些数字一般都应该是0。如果不是则表示软件包正在队列中堆积。这种情况只能在非常少的情况见到。

2、Active UNIX domain sockets 有源Unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍)。

2、常用选项(可以组合使用)

-a:显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)

-n:以数字的形式显示相关的主机地址、端口等信息

-t:查看TCP协议相关的信息

-u:显示UDP协议相关的信息

-p:显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)

-r:显示路由表信息

-l:显示处于监听状态的网络连接及端口信息

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 17:01:55  更:2022-07-17 17:04:15 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 9:05:02-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计