系统安全

一、系统账号清理 在 Linux 系统中，除了超级用户 root 之外，还有其他大量账号只是用来维护系统运作、启动或保持服务进程，一般是不允许登录的，因此也称为非登录用户账号。为了确保系统的安全，这些用户账号的登录 Shell 通常被设为/sbin/nologin，表示禁止终端登录。 对于 Linux 服务器中长期不用的用户账号，若无法确定是否应该删除，可以暂时将其锁定（具体操作可参照账户管理篇https://blog.51cto.com/14449521/2430270）。 如果服务器中的用户账号已经固定，不再进行更改，还可以采取锁定账号配置文件的方法。如图我们执行“chattr +i /etc/passwd /etc/shadow”命令锁定账号文件，在执行“lsattr /etc/passwd /etc/shadow”命令可以看到找文件已锁定，无法添加其他用户。 如果锁定了账号文件后需要添加新的用户，可以执行“chattr -i /etc/passwd /etc/shadow”命令解锁账号文件即可添加去创建新的用户了。 二、密码安全控制 1、在不安全的网络环境中，为了降低密码被猜出或被暴力破解的风险，用户应养成定期更改密码的习惯，避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置密码，否则将拒绝登录。

一、账号安全控制 二、系统引导和登录控制 三、弱口令检测 四、端口扫描 一、账号安全基本措施 1.系统账号清理 将非登录用户的shell设为/sbin/nologin 锁定长期不使用的账号 删除无用账号 锁定账号文件passwd、shadow 2.文件进行加锁、解锁及查看命令 chattr +i /etc/passwd /etc/shadow chattr +i /etc/passwd /etc/shadow lssttr /etc/passwd /etc/shadow 密码安全控制 1.设置密码有效期 2.要求用户下次登录时修改密码 改密码属性文件：vim /etc/login.defs(创建新用户) 修改密码有效期：chage -M 30 lisi(针对已存在用户而言) 对于已经存在的用户修改用户登陆密码：chage -d 0 lisi 命令历史限制（/etc/profile系统中的环境变量文件） 减少记录的命令条数（默认1000条） 注销时自动清空命令历史 [root@localhost~]#vi/etc/profile HISTSIZE=200 终端自动注销 闲置600秒后自动注销 [root@localhost~]#vi~/.bash_profile export TMOUT=600 history查看历史命令记录 更改vim etc/profile 生效修改

1，提升权限 1， visudo //进入给用户编辑权限 2， xiong logfile=/sbin/ifconfig //提升用户的权限 3， Defaults logfile="/var/loa/sudo" //给查看路径的权限 xiong localhost=NETWORKING //或者直接把别名授权给用户 -------------------------------------------------------------------------------------------------------------------------------------- PAM认证模块 开启PAM认证的第一好处是防止用户用su命令暴力破解root密码 vi /etc/pam.d/su //进入认证模块 #auth required pam_wheel.so use_uid //把#号去掉开启//wheel组 注：开启之后没有在wheel组的用户是无法用su命令的 gpasswd -a xiong wheel //root用户把xiong用户拉进wheel组中 grep wheel /etc/group //查看wheel组的成员 之后验证xiong在wheel组中能否可以用su命令 ————————————————————————————————————————————

1.笔记： chagen -d 0 ____用户名：下次登录时必须修改密码 ctrl+R:查看历史记录 history:查看历史记录 清除历史记录： >.bash _history echo“”>.bash_history soure等同于. unset:取消自动注销 su:-等同于- -login或-l表示切换用户后进入目录用户的登录shell环境若不带此选项则仅切换身份，不切换用户环境 stsyemctl mask ctrl - alt - del.target:禁止重启 2. 常见的四种认证类型 （1）auth 认证管理（authentication management） ·作用：接受用户名和密码，进而对该用户的密码进行认证 （2）account 账户管理（account management） ·作用：检查账户是否被允许登录系统，账号是否已过期，账号的登录是否有时间段的 限制等 （3）password 密码管理（password management） ·作用：主要是用来修改用户的密码 （4）session 会话管理（session management） ·作用：主要是提供对会话的管理和记账（accounting） 3. 常见的五种控制类型 （1）required 验证失败时仍然继续，但返回 Fail （2）requisite 验证失败则立即结束整个验证过程，返回

一 、 基本安全措施 1、系统账号清理 （1）将非登录用户的 shell 设为/sbin/nologin 方法一： usermod -s 方法二： chsh 命令，交互式修改 方法三： chsh -s （2）锁定长期不使用的账号 方法一： passwd -l （将在密文前增加 2 个“！”）解锁 passwd -u 查看 passwd -S 方法二： usermod -L（将在密文前增加 1 个“！”）解锁 usermod -U （3）删除无用的账号 ·userdel [-r] 用户名 （4）锁定账号文件 /etc/passwd、/etc/shadow 锁定：chattr +i /etc/passwd /etc/shadow 解锁：chattr -i /etc/passwd /etc/shadow 查看：lsattr /etc/passwd /etc/shadow 2、密码安全控制 　　方法一：设置密码有效期 修改某个已存在用户的密码有效期： chage -M 天数 用户名 passwd -x 天数 用户名 设置今后添加用户时的默认密码有效期： 方法：vi 编辑/etc/login.defs 文件，修改“PASS_MAX_DAY”后面的数值 要求用户下次登录时修改密码 方法：chage -d 0 用户名 3、命令历史限制 （1）减少历史的命令条数 方法一：vi 编辑/etc

1、系统账号清理 （1）将非登录用户的shell设为/sbin/nologin ● 方法一 ： usermod -s ● 方法二 ： chsh 命令，交互式修改 ● 方法三 ： chsh -s ps：除了上述三种方法，也可以直接 vi 编辑 /etc/passwd 文件进行修改 （2）锁定长期不使用的账号 ● 方法一 ：passwd -l （将在密文前增加2个“！”）解锁 passwd -u 查看 passwd -s ● 方法二 ：usermod -L （将在密文前增加1个“！”）解锁 usermod -U ps：若用 passwd -l 命令对某账号进行锁定，若用 usermod -U 命令解锁，需要进行两次操作才可以 （3）删除无用的账号 ● userdel [r] 用户名 （4）锁定账号文件 /etc/passwd、/etc/shadow ● 锁定：chattr + i /etc/passwd /etc/shadow ● 解锁：chattr - i /etc/passwd /etc/shadow ● 查看：lsattr /etc/passwd /etc/shadow ps：锁定后即使是超户，也不能修改该文件，即不能创建、删除、修改用户信息 PS：有时候你发现用root权限都不能修改某个文件，大部分原因是曾经用chattr命令锁定该文件了。chattr命令的作用很大

系统安全及应用 一 、 基本安全措施 1、系统账号清理 （1）将非登录用户的 shell 设为/sbin/nologin 方法一： usermod -s 方法二： chsh 命令，交互式修改 方法三： chsh -s （2）锁定长期不使用的账号 方法一： passwd -l （将在密文前增加 2 个“！”）解锁 passwd -u 查看 passwd -S 方法二： usermod -L（将在密文前增加 1 个“！”）解锁 usermod -U （3）删除无用的账号 ·userdel [-r] 用户名 （4）锁定账号文件 /etc/passwd、/etc/shadow 锁定：chattr +i /etc/passwd /etc/shadow 解锁：chattr -i /etc/passwd /etc/shadow 查看：lsattr /etc/passwd /etc/shadow 2、密码安全控制 　　方法一：设置密码有效期 修改某个已存在用户的密码有效期： chage -M 天数 用户名 passwd -x 天数 用户名 设置今后添加用户时的默认密码有效期： 方法：vi 编辑/etc/login.defs 文件，修改“PASS_MAX_DAY”后面的数值 要求用户下次登录时修改密码 方法：chage -d 0 用户名 3、命令历史限制 （1）减少历史的命令条数 方法一：vi 编辑

一、基本安全措施 1、系统账号清理 将非登录用户的shell设为/sbin/nologin 来源： https://www.cnblogs.com/990624lty-jhc/p/11321890.html