linux——系统安全

记录每日所学

一、linux系统安全及应用

一、基本安全措施

1、系统账号清理

• 将非登陆用户的shell设为/sbin/nologin
• 锁定长期不使用的账户
• 删除无用的账号
• 锁定账号文件passwd，shadow

chattr命令用法：

• i ：设定文件不能被删除，改名，设定连接关系，同时也不能写入内容
• a：只能向文件中添加数据，不能被删除
• A：文件或目录的atime不可被修改，可以有效预防手提电脑磁盘I/O错误发生
• S：硬盘I/O同步选项，功能类似sync
• c：即compresse，设定文件是否压缩后再存储，读取时需要经过自动解压操作
• +：在原有的参数上，添加参数
• -：在原有的参数上，移除参数
• =：更新为指定参数设定
  chattr命令不能保护：/（根），/dev，/tmp，/var

例：在/opt目录下新建一个文件a1.txt，在锁定/opt目录下的a1.txt文件的前提下，看看能不能往此文件中输入新的内容，解锁之后再次尝试是否可以编辑成功。

2、密码安全控制

• 设置密码有效期
• 要求用户下次登录时修改密码
  命令：
• chage -M 天数 用户名 适合用于已存在用户
• vi /etc/login.defs
  修改其中的：PASS_MAX_DAYS 天数
• chage -d 0 用户名 强制在下次登录时改密码

例：1. 新建一个用户名为liwei，创建成功后，要求此用户下次登录时必须修改密码。

3、历史命令限制，自动注销

• bash终端环境中，历史命令的记录条数由变量histsize控制，默认为1000条，通过修改、etc/porfile文件中的histsize变量值，可以影响系统中的所有用户。
  
• 可以通过：export HISTSIZE=200 修改当前用户

例：退出时清空历史记录

二、用户的提权

1、su命令——切换用户

su默认缺省值是root用户
例：让普通用户不能使用su

2、PAM安全认证

• pam（pluggable authentication modules），是linux系统可插拔认证模块
• pam是一种高效而灵活便利的用户级别认证方式，它是当前linux服务器普遍使用的认证方式。
• pam提供了对所有服务进行认证的中央机制，适用于login，远程登录（telne，rloging，fsh，ftp）su等应用程序
• 系统管理员通过pam配置文件来制定不同应用程序的不同认证策略。
• pam认证一般遵循的顺序：service（服务）——pam（配置文件）——pam_*.so
• pam认证类型有：认证管理、账户管理、密码管理、会话管理
• pam控制类型：
• required：验证失败时任然继续，但返回fail
• requisite：验证失败则立即结束整个过程，返回fail
• sufficient：验证成功则立即返回，不再继续，否则忽略结果并继续
• optional：不用于验证，只是显示结果（通常用于session类型）

3、sudo命令——提升执行权限

• sudo是为了让普通用户拥有一部分管理权限
• visudo或者vi /etc/sudoers修改权限
  例：让普通账户liming它在本地主机上以wangwu的身份运行sudo，sudo可执行的命令有touch、ls权限