一 、 基本安全措施
1、系統賬號清理
(1)將非登入使用者的 shell 設為/sbin/nologin
(2)鎖定長期不使用的賬號
(3)刪除無用的賬號
(4)鎖定賬號檔案 /etc/passwd、/etc/shadow
2、密碼安全控制
方法一:設定密碼有效期
設定今後新增使用者時的預設密碼有效期:
要求使用者下次登入時修改密碼
3、命令歷史限制
(1)減少歷史的命令條數
方法二:export histsize=數值
(2)登出時自動清空歷史命令
4、終端自動登出
方法二:export tmout=數值
5、 提公升許可權 sudo 命令
(1)su 命令的缺點:
在使用 su 命令時,不指定使用者名稱預設切換至 root 使用者,需要輸入 root 密碼,但實際生產中 root 密碼是不可以被廣泛告知的。
如果需要執行 root 使用者才有許可權的命令,需要通過sudo 命令或 wheel 組的設定來實現。
(2)sudo 命令
sudo 授權命令
預設設定為首次執行時,需輸入當前使用者的登入密碼,5 分鐘內再次執行 sudo 命令時則無需再輸入密碼。
方法二:批量授權
(3)檢視 sudo 操作記錄
(4)查詢授權操作 sudo -l
6、pam 安全認證
1、su 命令的安全隱患
預設情況下,任何使用者都允許使用 su 命令,從而有機會反覆嘗試其他使用者(如 root)的登入密碼,帶來安全風險。
為了增強 su 命令的使用控制,可以借助 pam 認證模組,只允許極個別使用者使用 su 命令進行切換。
2、可插拔認證模組 pam(pluggable authentication modules)
(1)pam 簡介
pam 是一種高效而且靈活便利的使用者級別的認證方式,它也是當前 linux 伺服器普遍使用的認證方式。
pam 提供了對所有服務進行認證的**機制,適用於 login,遠端登入(telent,rlogin,fsh,ftp),su 等應用程式。
系統管理員通過 pam 配置檔案來制定不同應用程式的不同認證策略。
(2)pam 認證原理
pam 認證一般遵循的順序:service(服務)→pam→pam_*.so
pam 認證首先要確定哪一項服務,然後載入相應的 pam 的配置檔案(位於/etc/pam.d下),最後呼叫認證檔案(32 位系統位於/lib/security 下,64 位系統位於/lib64/security 下)進行安全認證。
使用者訪問伺服器的時候,伺服器的某乙個服務程序把使用者的請求傳送到 pam 模組進行認證。不同的應用程式所對應的 pam 模組也是不同的。
如果想檢視某個程式是否支援 pam 認證,可以用 ls 命令進行檢視,
如檢視 su 是否支援pam 模組認證:ls /etc/pam.d|grep su
3、pam 認證的構成
每一行都是乙個獨立的認證過程
每一行可以區分為三個字段:認證型別、控制型別、pam 模組及其引數
4、常見的四種認證型別
認證 型別 意義作用
auth 認證管理 接受 使用者名稱和密碼,進而對該使用者的密碼進行認證
account 賬戶管理 檢查賬戶是否被允許登入系統,賬號是否已過期,賬號的登入是否有時間段的限制等 許可權
password 密碼管理 主要是用來 修改使用者的 密碼
session 會話管理 主要是提供 對會話的 管理和 記賬
5、常見的五種控制型別
(1)required 驗證失敗時仍然繼續,但返回 fail
(2)requisite 驗證失敗則立即結束整個驗證過程,返回 fail
(3)sufficient 驗證成功則立即返回,不再繼續,否則忽略結果並繼續
(4)optional 不用於驗證,只是顯示資訊(通常用於 session 型別)
(5)include 不進行認證,轉到後面 pam 模組進行認證
6、使用 pam 認證模組,限制某個命令或是服務的使用許可權
(1)vi 編輯該命令在/etc/pam.d/下對應的配置檔案,啟用 pam_wheel 模組
(2)新增授權使用者到 wheel 組
一 、 基本安全措施
1、系統賬號清理
(1)將非登入使用者的 shell 設為/sbin/nologin
(2)鎖定長期不使用的賬號
(3)刪除無用的賬號
(4)鎖定賬號檔案 /etc/passwd、/etc/shadow
2、密碼安全控制
方法一:設定密碼有效期
設定今後新增使用者時的預設密碼有效期:
要求使用者下次登入時修改密碼
3、命令歷史限制
(1)減少歷史的命令條數
方法二:export histsize=數值
(2)登出時自動清空歷史命令
4、終端自動登出
方法二:export tmout=數值
5、 提公升許可權 sudo 命令
(1)su 命令的缺點:
在使用 su 命令時,不指定使用者名稱預設切換至 root 使用者,需要輸入 root 密碼,但實際生產中 root 密碼是不可以被廣泛告知的。
如果需要執行 root 使用者才有許可權的命令,需要通過sudo 命令或 wheel 組的設定來實現。
(2)sudo 命令
sudo 授權命令
預設設定為首次執行時,需輸入當前使用者的登入密碼,5 分鐘內再次執行 sudo 命令時則無需再輸入密碼。
方法二:批量授權
(3)檢視 sudo 操作記錄
(4)查詢授權操作 sudo -l
6、pam 安全認證
1、su 命令的安全隱患
預設情況下,任何使用者都允許使用 su 命令,從而有機會反覆嘗試其他使用者(如 root)的登入密碼,帶來安全風險。
為了增強 su 命令的使用控制,可以借助 pam 認證模組,只允許極個別使用者使用 su 命令進行切換。
2、可插拔認證模組 pam(pluggable authentication modules)
(1)pam 簡介
pam 是一種高效而且靈活便利的使用者級別的認證方式,它也是當前 linux 伺服器普遍使用的認證方式。
pam 提供了對所有服務進行認證的**機制,適用於 login,遠端登入(telent,rlogin,fsh,ftp),su 等應用程式。
系統管理員通過 pam 配置檔案來制定不同應用程式的不同認證策略。
(2)pam 認證原理
pam 認證一般遵循的順序:service(服務)→pam→pam_*.so
pam 認證首先要確定哪一項服務,然後載入相應的 pam 的配置檔案(位於/etc/pam.d下),最後呼叫認證檔案(32 位系統位於/lib/security 下,64 位系統位於/lib64/security 下)進行安全認證。
使用者訪問伺服器的時候,伺服器的某乙個服務程序把使用者的請求傳送到 pam 模組進行認證。不同的應用程式所對應的 pam 模組也是不同的。
如果想檢視某個程式是否支援 pam 認證,可以用 ls 命令進行檢視,
如檢視 su 是否支援pam 模組認證:ls /etc/pam.d|grep su
3、pam 認證的構成
每一行都是乙個獨立的認證過程
每一行可以區分為三個字段:認證型別、控制型別、pam 模組及其引數
4、常見的四種認證型別
認證 型別 意義作用
auth 認證管理 接受 使用者名稱和密碼,進而對該使用者的密碼進行認證
account 賬戶管理 檢查賬戶是否被允許登入系統,賬號是否已過期,賬號的登入是否有時間段的限制等 許可權
password 密碼管理 主要是用來 修改使用者的 密碼
session 會話管理 主要是提供 對會話的 管理和 記賬
5、常見的五種控制型別
(1)required 驗證失敗時仍然繼續,但返回 fail
(2)requisite 驗證失敗則立即結束整個驗證過程,返回 fail
(3)sufficient 驗證成功則立即返回,不再繼續,否則忽略結果並繼續
(4)optional 不用於驗證,只是顯示資訊(通常用於 session 型別)
(5)include 不進行認證,轉到後面 pam 模組進行認證
6、使用 pam 認證模組,限制某個命令或是服務的使用許可權
(1)vi 編輯該命令在/etc/pam.d/下對應的配置檔案,啟用 pam_wheel 模組
(2)新增授權使用者到 wheel 組
系統安全管理
1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...
系統安全 Firewall
netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...
系統安全加固
系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...