IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 系统安全与应用 -> 正文阅读

[系统运维]系统安全与应用

目录

账号安全基本措施

? 系统账号清理

清楚历史命令

终端自动注销

密码安全控制

通过pam模块来防止暴力解密

使用chage命令

限制su命令用户

Sudo机制提升权限

Netstat命令

Nmap命令


账号安全基本措施

? 系统账号清理

  1. 将非用户的shell设备/sbin/nologin

查看用户命令 cat /etc/passwd

在使用yum install命令时他会自动给一个用户并且其shell设备为/sbin/nologin无法登录状态。

  1. 锁定长期不使用的账号

查看用户或者目录文件是否被锁。

Chattr +I /etc/passwd

对用户系统文件进行加锁,最终结果为无法再次创建用户

对文件进行加锁

查看结果

对这个文件进行修改已经无效了

删也删不掉限制的非常死

对其解锁

chattr -i /1.txt

?????? 3.删除无用的账号

??????

清楚历史命令

History

限制history命令查看行数

Vim /etc/profile

/HISTSIZE找寻此关键词

如上,默认是保留history的1000条命令,修改其参数即可限制history

重新加载history配置文件让他在整个系统中识别

Source /etc/profile

再次使用history命令,发现的确是显示20条历史信息

清空history

History -c

永久清空:

Vim .bash_history

清空里面的配置文件

Vim .bash_logout

在里面输入

终端自动注销

闲置n秒后自动注销

Vim /etc/profile

输入export TMOUT=40

Source /etc/profile重新激活其环境。

密码安全控制

Vim /etc/login.defs

PASS_MAX_DAYS 30设置密码有效期30天默认99999

PASS_MIN_DAYS #表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是0

PASS_MIN_LEN 5#密码最小长度,对于root天效

注解:指定密码的最小长度↓默认不小于5位,但是现在用户登录时验证已经被PAM模块取代,所以这个选项并不生效,PASS_WARN_AGE 7“指定在密码到期前多少天,系统就开始提蘑用户密码即将到期,默认为7天。

通过pam模块来防止暴力解密

Vim /etc/pam.d/sshd

在下面添加一行:

Auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200

说明:尝试登陆失败超过3次,普通用户600秒解锁,root用户1200秒解锁

手动解除锁定

查看某一用户错误登陆次数:

pam_tally2 –-user

例如,查看work用户的错误登陆次数:

pam_tally2 –-user root

清空所用户错误登陆次数:

pam_tally2 –-user –-reset

例如,清空 work 用户的错误登陆次数,

pam_tally2 –-user root –-reset?

使用chage命令

用于设置密码时限

chage -M 30 lisi表示该密码的最大有效天数

cat /etc/shadow | grep lisi

Chage -d 0 zhangsan

强制要求张三下次登录时重置密码

验证

重启后登录张三用户发现让你重新输入密码

值得一提的是在linux系统环境中,使用su命令登录用户的情况下,是可以使用exit退出的,在环境中是一层套一层的:

限制su命令用户

在/etc/pam.d/su文件里设置禁止用户使用su命令

vim /etc/pam.d/su

2 # auth sufficient pam_rootok.so

6 #auth required pam_wheel.so use_uid

两行都注释也是运行所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)

如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令

如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。

进行试验:

打开第一行也就是上述的2命令

??????

?????? 如上所述在root用户下使用su命令切换到普通用户是不需要输入密码的

?????? 注释第一行打开第二行:

Zhangsan用户即不属于普通用户也不属于root用户所以其他用户使用su命令的时候是无效的。

Sudo机制提升权限

通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。例如,若要从zhangsan 用户切换为 root 用户,必须知道 root 用户的密码。对于生产环境中的Linux 服务器,每多一个人知道特权密码,其安全风险也就增加一分。 有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将 root 用户的密码告诉他呢?答案是肯定的,使用 sudo命令就可以提升执行权限。不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。

在生产环境中一般是不给用到root权限的,但是又又操作需要使用到root用户权限,解决方法:

例1:sudo cp /etc/sysconfig/network-scripts/ifcfg-ens33 ./

在正常使用命令前加sudo这样就可以即不用知道root用户密码也可以使用root用户权限了。但是这一切都得让管理员配置同意某个用户使用什么权限。

lisi 用户可以使用useradd usermod

需求:lisi???? root用户下的权限 useradd usermod

lisi ALL=(root) NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod? #前面不需要输入密码 ,后面需要输入密码

再次创建用户即不用输入密码。

而后面需要密码

Netstat命令

netstat命令 | 查看当前操作系统的网络连接状态、路由表、接口统计等信息,它是了解网络状态及排除网络服务故障的有效工具

-r????????? 显示路由表信息??????????????????????????????????????????????

-a???????? 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)

-l????????? 显示处于监听(Listening)状态的网络连接及端口信息。?????????

-t????????? 查看 TCP(Transmission Control Protocol,传输控制协议)相关的信息。

-u????????? 显示 UDP(User Datagram Protocol,用户数据报协议)协议相关的信息。

-p????????? 显示与网络连接相关联的进程号、进程名称信息(该选项需要 root 权限

netstat -natp??? 查看正在运行的使用TCP协议的网络状态信息

netstat -naup??? 查看正在运行的使用UDP协议的网络状态信息

netstat -natlup最常使用的命令

Nmap命令

-sS,TCP SYN 扫描(半开扫描):只向目标发出 SYN 数据包,如果收到 SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。 tcp确定三次握手

-sT,TCP 连接扫描:这是完整的 TCP 扫描方式,用来建立一个 TCP 连接,如果 成功则认为目标端口正在监听服务,否则认为目标端口并未开放。

-sF,TCP FIN 扫描:开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对 SYN 数据包进行简单过滤,而忽略了其他形式的 TCP 攻击包。这种类型的扫描可间接检测防火墙的健壮性。

-sU,UDP 扫描:探测目标主机提供哪些 UDP 服务,UDP扫描的速度会比较慢。

-sP,ICMP 扫描:类似于 ping 检测,快速判断目标主机是否存活,不做其他扫描。

-P0,跳过 ping 检测:这种方式认为所有的目标主机是存活的,当对方不响应 ICMP 请求时,使用这种方式可以避免因无法 ping 通而放弃扫描。

Nmap -sT 127.0.0.1 扫描本地连接状况

Nmap -sT 14.215.177.38 此ip地址为百度的ip地址,使用nmap命令去扫描于百度的连接状况:

可以看到的是百度的服务器中只打开了两个服务一个为http一个为https且扫描此ip地址使用了57.23秒其中有998个端口关闭,这个命令可以用来排除所有端口中哪个是打开哪个是关闭。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-20 19:20:33  更:2022-07-20 19:23:31 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 8:38:03-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计