linux基本安全常识

用 户 账 号 安 全

Chage工具

chage -E 年-月-日 用户名 (指定失效期)(-1取消)
chage -l 用户名 (查看chage规则)
chage -d 用户名 (强制修改密码)

passwd账号的锁定/解锁

passwd -l 用户名 (锁定账户)
passwd -S 用户名 (查看状态)
passwd -u 用户名 (解锁账户状态)

强制定期修改密码

修改配置文件/etc/login.defs (对新建的用户有效) 决定了账户密码的默认有效期。
主要控制属性
-PASS_MAX_DAYS //密码最长有效期
-PASS_MIN_DAYS //密码最短有效期
-PASS_WARN_AGE //密码过期前几天提示警告信息
-PASS_MIN_LEN //密码最短长度
-UID_MIN //UID最小值
-UID_MAX //UID最大值

伪登录提示

配置文件/etc/issue (适用于本地) /etc/issue.net(适用于远程登录)
可修改 提示内核信息和系统版本信息

文件系统安全

程序和服务控制

systenctl chkconfig

锁定/解锁保护文件

EXT3/EXT4 的文件属性控制
chartt lsattr

1. -		=		控制方式
   

属性i : 不可变(immutable)
属性a : 仅可追加(append only)
chattr +i 文件名 锁定文件 (无法修改,删除等)
chattr -i 文件名 解锁文件
chattr +a 文件名 锁定后文件仅可追加
chattr -a 文件名 解锁文件
lasttr 文件名 查看文件特殊属性

用户的安全与提权

切换用户身份

su - 目标用户
su - -c “命令” 目标用户
su的安全切换用户日志/var/log/secure (日志)

提升执行权限 管理权限细分

执行提权命令
sudo 提权的命令
sudo -l 查看提权
修改方法 visudo
vim /etc/sudoers
授权记录格式
-用户 主机列表=命令列表

SSH运程管理 运维测试

** ssh防护概述
存在的安全隐患: 密码嗅探 键盘记录 暴力枚举账号 猜解密码
常见的防护措施: 用户限制 黑白名单 更改验证方式 (密码–>密码对) 防火墙
**sshd的基本安全配置

设置访问权限的访问 配置文件/etc/ssh/sshd_config

Port 3389 改用非标准端口
Protocol 2 启用SSH V2版协议
ListenAddress 192.168.168.174 允许登录
PermitRootLogin no 禁止root登录
UseDNS no 不解析客户机地址
LoginGraceTime 1m 登录时间限时
MaxAuthTries 3 每连接最多认证次数

黑白名单的设置 配置文件/etc/ssh/sshd_config

DenyUsers 用户名 拒觉用户
AllowUsers 用户名@IP地址 允许用户
DenyGroups 组名 拒绝组
AllowGroups 组名 允许组

SSH验证方式控制

口令验证 检查登录用户的口领是否一致
秘钥验证 检查客户端私钥与服务器的公钥是否匹配
公钥库: 存放授权客户机的公钥文本
.ssh/authorized_keys

秘钥对验证的实现思路

创建秘钥对
私钥文件: iD_rsa
公钥文件: iD_rsa.pub 上传公钥:iD_rsa.pub 导入公钥信息到: .ssh/authorized_keys
SSH客户端 ----------------------------------------------------------------------SSH服务器
工具: SSH-Keygen
选项: -t 指定加密算法 (rsa 或 dsa)默认采用RSA加密

SELinux防护工具

Security-Enhanced Linux 强化Linux安全的扩展模块
文件/etc/selinux/config
三种模式 文中有SELINUX=disabled 禁用模式 =permissive 宽松/允许模式 =enforcing 强制模式
快捷方式: getenforce 查看当前状态
setenforce 1 设为强制模式
setenforce 0 设置为宽松模式

SELinux策略设置

Security Context 安全上下文(为文件/目录/设备标记访问控制属性
熟悉结构 ls -Z 文件名 查看
用户:角色:访问控制:选项
修改chcon工具
-t 指定访问类型 -R 递归修改
一般操作规律 移动文件 上下文属性不变
复制文件 自动继承目标位置上下文

重置安全上下文
使用工具restorecon
restorecon 文件名
恢复所在位置的默认上下文属性 -R(递归修改)
/.autorelabel 文件 下次重启后全部文件

SElinux布尔值
getsebool -a 列出所有布尔值
setsebool -P 永久更改(重启仍然有效)

来源：CSDN

作者：染指＠靑春

链接：https://blog.csdn.net/yunweilxy/article/details/103245372