網站首頁 編程語言 正文
目錄
一.賬戶安全控制
二.密碼安全控制
三.pam的作用
四.history的用法
五.環境變量的讀取順序
六.終端自動注銷
七.限制用戶命令
八.pam(centos認證方式)
九.sudo(機制提升權限)
十.網絡掃描
十二.日志文件的分類
十三.日志級別
一.賬戶安全控制
鎖定和解鎖文件(防止系統中某個關鍵文件被修改)
chattr +i /etc/passwd /etc/shadow
chattr -i /etc/passwd /etc/shadow
查看為鎖定的狀態
lsattr /etc/passwd /etc/shadow
二.密碼安全控制
vi /etc/login.defs? ? ? ? ? ?適用于新建用戶
PASS_MAX_DAYS 20? ? ?設置密碼有效期為20天,默認99999
PASS_MIN_DAYS 0? ? ? ? ?表示自上次修改密碼以來,最少多少天后才能再次修改密碼,默認為0
PASS_MIN_LEN 5? ? ? ? ? ?設置密碼長度,對root無效(默認不小于5位)
PASS_WARN_AGE 7? ? ? 指定多少天,系統開始提醒用戶密碼到期,默認為7天
三.pam的作用
pam模塊用來防止暴力破壞ssh
vim /etc/pam.d/sshd
在第一行下面添加一行:
表示嘗試登錄失敗超過3次后,普通用戶600秒解鎖,root用戶1200秒解鎖
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
手動解除鎖定
查看某一用戶登錄次數
pam_tally2 --lisi
查看work用戶的錯誤登錄次數
pam_tally2 --lisi root
清空所有用戶錯誤登錄次數
pam_tally2 --lisi --reset
清空work用戶的錯誤登錄次數
pam_tally2 --lisi root --reset
四.history的用法
history(查看輸入命令歷史)
history -c(清空歷史記錄)
五.環境變量的讀取順序
vim .bashrc
echo " " > .bash_history
用戶登錄 ->> 加載-/.bash_profile --> bash_profile配置了首先是使~/.bashrc生效
.bash_profile 文件中的命令將在該用戶每次登錄時執行
.bashrc ? ? ? ? ?文件中的命令會在每次加載/bin/bash(shell編輯器)
.bash_logout 再退出shell時被讀取
其他辦法
如果需要每個用戶登出時都清除輸入的命令記錄,可以在/etc/skel/.bash_logout文件中添加下面
這行rm -f $HOME/.bash_history.這樣,當用戶每次注銷時.bash_history文件會被刪除。
六.終端自動注銷
閑置600秒自動注銷
vi /etc/profile? ? ? ? ? ? ? ?適合于新登錄用戶
export TMOUT=600? ? 適用于當前用戶
除此之外,還可以修改用戶宿主目錄中的~/.bash_logout文件,添加清空歷史的操作語句,這樣
當用戶退出已登錄bash環境之后,所記錄的歷史命令將自動清空
vi ~/.bash_logout
history -c
clear
七.限制用戶命令
默認情況下,任何用戶都允許使用su命令,從而有機會反復嘗試其他用戶(如 root)的登錄密碼,這
樣帶來了安全風險。為了加強 su命令的使用控制,可以借助于su。
禁止登錄用戶使用su命令
在 /etc/pam.d/su
2 #auth sufficient pam rootok.so
6 #auth required pam_wheel.so use_uid
使用戶wheel成員su到root不用密碼
quth ? ? ? ? ? sufficent ? ? ? ? ? ? ?pam_wheel.so trust use_uid
使得非wheel用戶無法登錄root
auth ? ? ? ? ? required ? ? ? ? ? ? ?pam_wheel.so use_uid
添加授權用戶zhangsan正在將用戶“zhangsan加入到 “wheel"組中
[root@localhost~]#gpasswd -a zhangsan wheel
查看確認wheel組成員
[rootPlocalhost ~]#grep wheel /etc/group?
wheel:c10.zhangsan
[root@localhost~]#vim /etc/pam.d/su
PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid 去掉此行開頭的#號
啟用pam_wheel認證以后,未加入到wheel組內的其他用戶將無法使用su命令,嘗試進行切
換時將提示“拒絕權限”,從而將切換用戶的權限控制在最小范圍內。
普通用戶切換登錄測試驗證
使用su命令切換用戶的操作將會記錄到安全日志/var/log/secure文件中,可以根據需要進行查看。
八.pam(centos認證方式)
pam認證原理
1.PAM認證一般遵循的順序: Service(服務)-->PAM(配置文件)--> pam_*.so;
2.PAM認證首先要確定哪一項應用服務,然后加載相應的PAM的配置文件(位于/etc/pam.d下),最
后調用認證模塊(位于/lib64/security/下)進行安全認證。
3.用戶訪問服務器的時候,服務器的某一個服務程序把用戶的請求發送到PAM模塊進行認證。不同
的應用程序所對應的PAM模塊也是不同的。
如果想查看某個程序是否支持PAM認證,可以用ls命令進行查看/etc/pam.d/
PAM的配置文件中的每一行都是一個獨立的認證過程,它們按從上往下的順序依次由PAM模塊調用
ls /etc/pam.d
九.sudo(機制提升權限)
sudo機制介紹:
通過su如命令可以非常方便地切換為另一個用戶,但前提條件是必須知道目標用戶的登錄密碼。列加
若要從zhangsan切換為root,用戶,必須和道root的密碼。對于生產環境中的服務器,每多一個人知
道特權密碼,安全性就降低。
etc/fudoes文件的默認權限受為440,要使用專門的visudo工具進行編輯。雖然也可以用vi進行編輯,
但保存的時必須執行w
zhangsan localhost=/usr/bin/ifdownwhich ifdown
sudo[參數選項]命令
-1列出用戶在主機上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用這個命令來查看和測
試是不是配置正確的;
-v驗證用戶的時間戳;如果用戶運行sudo后,輸入用戶的密碼后,在短時間內可以不用輸入口令來直
最新的時間戳。
-u指定以以某個用戶執行特定操作;
-k刪除時間戳,下一個sudo命令要求用求提供密碼
用戶組設置sudo提權
用戶(user):直接授權指定的用戶名,或采用“%組名”的形式(授權一個組的所有用戶)。
主機(MACHINE):使用此配置文件的主機名稱。此部分主要是方便在多個主機間共用同一份sudoers文件,
一般設為localhost或者實際的主機名即可。
命令(COMMANDS)∶允許授權的用戶通過sudo方式執行的特權命令,需填寫命令程序的完整路徑,
多個命令之間以逗號“”進行分隔。
十.網絡掃描
yum -y install nmap
nmap -sT ? (tcp連接掃描)127.0.0.1
? ? ? ? ? -sU (udp掃描)
? ? ? ? ? -sP (icmp掃描)
? ? ? ? ? -sS (tcp syn掃描)
? ? ? ? ? -sF (tcp fin掃描)
? ? ? ? ? -p ?(指定端口掃描)21,22(掃多個用逗號隔開)
十一.netstat命令
查看當前操作系統的網絡連接狀態、路由表、接口統計等信息,它是了解網絡狀態及排除網絡服務故障的有效工具
-n ? ? 以數字的形成顯示相關的主機地址,端口等信息。
-r ? ? 顯示路由表信息
-a ? ? 顯示主機中所有活動的網絡連接信息(包括監聽、非監聽狀態的服務端口)
-l ? ? ?顯示處于監聽(Listening)狀態的網絡連接及端口信息。
-t ? ? ?查看TCP相關的信息
-u ? ? 查看UDP相關的信息
-p ? ? 顯示與網絡連接相關的進程號,進程 名稱信息(該選項需要root權限)
Proto ? ? 顯示連接使用的協議
RefCnt ? 表示連接到本套接口上的進程數量
Types ? ? 顯示套接口的類型
State ? ? ?顯示套接口當前的狀態
Path ? ? ? 表示連接到套接口的其他進程使用的路徑名
十二.日志文件的分類
/var/log/message ? ?記錄linux內核信息及各種應用程序的公共日志信息
/var/log/cron ? ? ? ? ? 記錄crond計劃任務產生的事件信息
/var/log/maillog ? ? ?記錄進入或發出的電子郵件信息
/var/log/secure ? ? ? ?記錄用戶認證相關的安全事件信息
十三.日志級別
EMERG ? ? (緊急)會導致主機系統不可用情況
ALERT ? ? ? (警告)必須馬上采取措施解決問題
CRIT ? ? ? ? ?(嚴重)比較嚴重情況
ERR ? ? ? ? ? (錯誤)運行出現錯誤
WARNING (提醒)可能影響系統功能,需要提醒用戶的重要事件
NOTICE ? ? (注意)不影響正常功能,要注意事件
INFO ? ? ? ? (信息)一般信息
DEBUG ? ? ?(調試)程序或系統調試信息
原文鏈接:https://blog.csdn.net/qq_59161414/article/details/125830692
- 上一篇:SpringBoot之定時任務三種實現方法
- 下一篇:linux引導和計劃任務
相關推薦
- 2022-05-09 python面向對象編程設計原則之單一職責原則詳解_python
- 2024-03-13 QAobject修改excel字體亂碼問題
- 2022-08-07 Python繪制交通流折線圖詳情_python
- 2023-07-15 es6中export和export default的區別
- 2022-04-25 ASP.NET?Core?MVC中使用Tag?Helper組件_實用技巧
- 2023-03-15 pandas將Series轉成DataFrame的實現_python
- 2023-07-24 uniapp開發 h5和小程序 拖動懸浮按鈕
- 2022-09-08 Python數據分析基礎之異常值檢測和處理方式_python
- 最近更新
-
- window11 系統安裝 yarn
- 超詳細win安裝深度學習環境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權
- redisson分布式鎖中waittime的設
- maven:解決release錯誤:Artif
- restTemplate使用總結
- Spring Security之安全異常處理
- MybatisPlus優雅實現加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務發現-Nac
- Spring Security之基于HttpR
- Redis 底層數據結構-簡單動態字符串(SD
- arthas操作spring被代理目標對象命令
- Spring中的單例模式應用詳解
- 聊聊消息隊列,發送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支