目錄

一.賬戶安全控制

二.密碼安全控制

三.pam的作用

四.history的用法

五.環(huán)境變量的讀取順序

六.終端自動(dòng)注銷

七.限制用戶命令

八.pam（centos認(rèn)證方式）

九.sudo（機(jī)制提升權(quán)限）

十.網(wǎng)絡(luò)掃描

十二.日志文件的分類

十三.日志級(jí)別

一.賬戶安全控制

鎖定和解鎖文件（防止系統(tǒng)中某個(gè)關(guān)鍵文件被修改）
chattr +i /etc/passwd /etc/shadow

chattr -i /etc/passwd /etc/shadow

查看為鎖定的狀態(tài)
lsattr /etc/passwd /etc/shadow

二.密碼安全控制

vi /etc/login.defs? ? ? ? ? ?適用于新建用戶
PASS_MAX_DAYS 20? ? ?設(shè)置密碼有效期為20天，默認(rèn)99999
PASS_MIN_DAYS 0? ? ? ? ?表示自上次修改密碼以來，最少多少天后才能再次修改密碼，默認(rèn)為0
PASS_MIN_LEN 5? ? ? ? ? ?設(shè)置密碼長(zhǎng)度，對(duì)root無效（默認(rèn)不小于5位）
PASS_WARN_AGE 7? ? ? 指定多少天，系統(tǒng)開始提醒用戶密碼到期，默認(rèn)為7天

三.pam的作用

pam模塊用來防止暴力破壞ssh
vim /etc/pam.d/sshd
在第一行下面添加一行：
表示嘗試登錄失敗超過3次后，普通用戶600秒解鎖，root用戶1200秒解鎖
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
手動(dòng)解除鎖定
查看某一用戶登錄次數(shù)
pam_tally2 --lisi
查看work用戶的錯(cuò)誤登錄次數(shù)
pam_tally2 --lisi root
清空所有用戶錯(cuò)誤登錄次數(shù)
pam_tally2 --lisi --reset
清空work用戶的錯(cuò)誤登錄次數(shù)
pam_tally2 --lisi root --reset

四.history的用法

history（查看輸入命令歷史）

history -c（清空歷史記錄）

五.環(huán)境變量的讀取順序

vim .bashrc
echo " " > .bash_history
用戶登錄 ->> 加載-/.bash_profile --> bash_profile配置了首先是使~/.bashrc生效

.bash_profile 文件中的命令將在該用戶每次登錄時(shí)執(zhí)行
.bashrc ? ? ? ? ?文件中的命令會(huì)在每次加載/bin/bash（shell編輯器）
.bash_logout 再退出shell時(shí)被讀取

其他辦法
如果需要每個(gè)用戶登出時(shí)都清除輸入的命令記錄，可以在/etc/skel/.bash_logout文件中添加下面
這行rm -f $HOME/.bash_history.這樣，當(dāng)用戶每次注銷時(shí).bash_history文件會(huì)被刪除。

六.終端自動(dòng)注銷

閑置600秒自動(dòng)注銷
vi /etc/profile? ? ? ? ? ? ? ?適合于新登錄用戶
export TMOUT=600? ? 適用于當(dāng)前用戶

除此之外，還可以修改用戶宿主目錄中的~/.bash_logout文件，添加清空歷史的操作語句，這樣
當(dāng)用戶退出已登錄bash環(huán)境之后，所記錄的歷史命令將自動(dòng)清空
vi ~/.bash_logout
history -c
clear

七.限制用戶命令

默認(rèn)情況下，任何用戶都允許使用su命令，從而有機(jī)會(huì)反復(fù)嘗試其他用戶(如 root)的登錄密碼，這
樣帶來了安全風(fēng)險(xiǎn)。為了加強(qiáng) su命令的使用控制，可以借助于su。

禁止登錄用戶使用su命令
在 /etc/pam.d/su
2 #auth sufficient pam rootok.so
6 #auth required pam_wheel.so use_uid

使用戶wheel成員su到root不用密碼
quth ? ? ? ? ? sufficent ? ? ? ? ? ? ?pam_wheel.so trust use_uid
使得非wheel用戶無法登錄root
auth ? ? ? ? ? required ? ? ? ? ? ? ?pam_wheel.so use_uid
添加授權(quán)用戶zhangsan正在將用戶“zhangsan加入到 “wheel"組中
[root@localhost~]#gpasswd -a zhangsan wheel
查看確認(rèn)wheel組成員
[rootPlocalhost ~]#grep wheel /etc/group?
wheel:c10.zhangsan
[root@localhost~]#vim /etc/pam.d/su
PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid 去掉此行開頭的#號(hào)

啟用pam_wheel認(rèn)證以后，未加入到wheel組內(nèi)的其他用戶將無法使用su命令，嘗試進(jìn)行切
換時(shí)將提示“拒絕權(quán)限”，從而將切換用戶的權(quán)限控制在最小范圍內(nèi)。

普通用戶切換登錄測(cè)試驗(yàn)證
使用su命令切換用戶的操作將會(huì)記錄到安全日志/var/log/secure文件中，可以根據(jù)需要進(jìn)行查看。

八.pam（centos認(rèn)證方式）

pam認(rèn)證原理
1.PAM認(rèn)證一般遵循的順序: Service(服務(wù))-->PAM(配置文件)--> pam_*.so;
2.PAM認(rèn)證首先要確定哪一項(xiàng)應(yīng)用服務(wù)，然后加載相應(yīng)的PAM的配置文件(位于/etc/pam.d下)，最
后調(diào)用認(rèn)證模塊(位于/lib64/security/下)進(jìn)行安全認(rèn)證。
3.用戶訪問服務(wù)器的時(shí)候，服務(wù)器的某一個(gè)服務(wù)程序把用戶的請(qǐng)求發(fā)送到PAM模塊進(jìn)行認(rèn)證。不同
的應(yīng)用程序所對(duì)應(yīng)的PAM模塊也是不同的。
如果想查看某個(gè)程序是否支持PAM認(rèn)證，可以用ls命令進(jìn)行查看/etc/pam.d/
PAM的配置文件中的每一行都是一個(gè)獨(dú)立的認(rèn)證過程，它們按從上往下的順序依次由PAM模塊調(diào)用
ls /etc/pam.d

九.sudo（機(jī)制提升權(quán)限）

sudo機(jī)制介紹:
通過su如命令可以非常方便地切換為另一個(gè)用戶，但前提條件是必須知道目標(biāo)用戶的登錄密碼。列加
若要從zhangsan切換為root,用戶，必須和道root的密碼。對(duì)于生產(chǎn)環(huán)境中的服務(wù)器，每多一個(gè)人知
道特權(quán)密碼，安全性就降低。
etc/fudoes文件的默認(rèn)權(quán)限受為440，要使用專門的visudo工具進(jìn)行編輯。雖然也可以用vi進(jìn)行編輯，
但保存的時(shí)必須執(zhí)行w
zhangsan localhost=/usr/bin/ifdownwhich ifdown
sudo[參數(shù)選項(xiàng)]命令
-1列出用戶在主機(jī)上可用的和被禁止的命令;一般配置好/etc/sudoers后，要用這個(gè)命令來查看和測(cè)
試是不是配置正確的;
-v驗(yàn)證用戶的時(shí)間戳;如果用戶運(yùn)行sudo后，輸入用戶的密碼后，在短時(shí)間內(nèi)可以不用輸入口令來直
最新的時(shí)間戳。
-u指定以以某個(gè)用戶執(zhí)行特定操作;
-k刪除時(shí)間戳,下一個(gè)sudo命令要求用求提供密碼

用戶組設(shè)置sudo提權(quán)
用戶(user):直接授權(quán)指定的用戶名，或采用“%組名”的形式(授權(quán)一個(gè)組的所有用戶）。
主機(jī)(MACHINE):使用此配置文件的主機(jī)名稱。此部分主要是方便在多個(gè)主機(jī)間共用同一份sudoers文件，
一般設(shè)為localhost或者實(shí)際的主機(jī)名即可。
命令(COMMANDS)∶允許授權(quán)的用戶通過sudo方式執(zhí)行的特權(quán)命令，需填寫命令程序的完整路徑，
多個(gè)命令之間以逗號(hào)“”進(jìn)行分隔。

十.網(wǎng)絡(luò)掃描

yum -y install nmap
nmap -sT ? (tcp連接掃描）127.0.0.1
? ? ? ? ? -sU （udp掃描）
? ? ? ? ? -sP （icmp掃描）
? ? ? ? ? -sS （tcp syn掃描）
? ? ? ? ? -sF （tcp fin掃描）
? ? ? ? ? -p ?（指定端口掃描）21,22（掃多個(gè)用逗號(hào)隔開）

十一.netstat命令

查看當(dāng)前操作系統(tǒng)的網(wǎng)絡(luò)連接狀態(tài)、路由表、接口統(tǒng)計(jì)等信息，它是了解網(wǎng)絡(luò)狀態(tài)及排除網(wǎng)絡(luò)服務(wù)故障的有效工具
-n ? ? 以數(shù)字的形成顯示相關(guān)的主機(jī)地址，端口等信息。
-r ? ? 顯示路由表信息
-a ? ? 顯示主機(jī)中所有活動(dòng)的網(wǎng)絡(luò)連接信息（包括監(jiān)聽、非監(jiān)聽狀態(tài)的服務(wù)端口）
-l ? ? ?顯示處于監(jiān)聽（Listening）狀態(tài)的網(wǎng)絡(luò)連接及端口信息。
-t ? ? ?查看TCP相關(guān)的信息
-u ? ? 查看UDP相關(guān)的信息
-p ? ? 顯示與網(wǎng)絡(luò)連接相關(guān)的進(jìn)程號(hào)，進(jìn)程 名稱信息（該選項(xiàng)需要root權(quán)限）

Proto ? ? 顯示連接使用的協(xié)議
RefCnt ? 表示連接到本套接口上的進(jìn)程數(shù)量
Types ? ? 顯示套接口的類型
State ? ? ?顯示套接口當(dāng)前的狀態(tài)
Path ? ? ? 表示連接到套接口的其他進(jìn)程使用的路徑名

十二.日志文件的分類

/var/log/message ? ?記錄linux內(nèi)核信息及各種應(yīng)用程序的公共日志信息
/var/log/cron ? ? ? ? ? 記錄crond計(jì)劃任務(wù)產(chǎn)生的事件信息
/var/log/maillog ? ? ?記錄進(jìn)入或發(fā)出的電子郵件信息
/var/log/secure ? ? ? ?記錄用戶認(rèn)證相關(guān)的安全事件信息

十三.日志級(jí)別

EMERG ? ? （緊急）會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用情況
ALERT ? ? ? （警告）必須馬上采取措施解決問題
CRIT ? ? ? ? ?（嚴(yán)重）比較嚴(yán)重情況
ERR ? ? ? ? ? （錯(cuò)誤）運(yùn)行出現(xiàn)錯(cuò)誤
WARNING （提醒）可能影響系統(tǒng)功能，需要提醒用戶的重要事件
NOTICE ? ? （注意）不影響正常功能，要注意事件
INFO ? ? ? ? （信息）一般信息
DEBUG ? ? ?（調(diào)試）程序或系統(tǒng)調(diào)試信息