系统安全控制

保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一。
客户数据 财务信息 知识产权

法律法规:法律要求组织和个人必须具备保护网络安全,系统安全和信息安全,系统安全的资质。
保护一个品牌的形象:数据泄露,安全漏洞

linux的安全防护

1、账号安全:
        锁定长期不使用的账号
        passwd -l 用户名
        passwd -u 用户名
        usermod -L 用户名
        usermod -U 用户名
        把账号设置为非登录用户:
        usermod -s nologin 用户名
        删除无用的账号:
        userdel -r

2、密码的安全控制:

1>密码的有效期来控制
    对新用户
    vim /etc/login.defs
    25行 PASS_MAX_DAYS 30 后面的天数改掉
    对已有用户
    chage -M  指定天数 用户名
2>锁定重要文件passwd    shadow fstab
    查看文件状态
    lsattr /etc/passwd
    锁定文件,将不能对文件进行任何操作
    chattr +i /etc/passwd
    解锁文件:
    chattr -i /etc/passwd

3、历史命令限制
        临时清空历史记录 history -c
        永久配置 /etc/profile     搜索/HISTSIZE=     然后source /etc/profile

4、超时连接限制
        /etc/profile  末行加入 TM0UT=5 5s

5、禁止切换用户限制
        /etc/pam.d/su内的第六行取消注释
        在wheel组添加用户,放开权限的用户
        gpasswd -a dn wheel

/etc/pam.d/su第一列 type类型 

auth  用户身份认证,基于密码
 account 账户有效性  限制允许用户访问某个服务,限制用户登录位置
 root 只能控制台登录,必须输入账号密码
password 用户修改密码时,对密码机制进行校验
 session  会话控制,最多能打开的文件数,最能能够打开的进程数。

第二列 控制位

required 一票否决权,这个模块在认证中必须是返回成功才通过认证,但如果认证失败结果不会通知用户所有type中的模块全部认证完毕,最后再把结果反馈给用户。
requisite 一票否决 必须返回成功才能够通过认证,一旦返回失败不会再向下执行其他模块,直接结束
sufficient 一票通过,返回成功,表示通过了身份验证的要求,不会再执行同一类相同模块。如果返回失败,忽略,继续执行相同类型中的其他模块。
include 可选项,调用其他配置文件的自定义的配置
optional 可选项

系统安全控制_第1张图片

sudo机制
        sudo授权不同用户可以使用管理员的文件和目录
        添加虚拟网卡 ifconfig gens33:0 192.168.233.100/24 
        和网卡在同一网段。0表示虚拟网卡编号,添加多个的时候不要重复。
        进入 vim /etc/sudoers
        107行注释掉  末行加 dn ALL=(root) /sbin/ifconfig(dn 这个普通用户可以和root一样拥有管理员权限,但是只限于ifconfig命令,多个命令用“,”隔开)

第三列 PAM模块
        PAM认证 su 切换考的就是PAM
        提供了一种身份认证的接口,允许管理员定制化的配置各种认证方式和方放。
        可插拔的认证模块 取消注释/注释

系统安全控制_第2张图片

开关机的安全控制

1、grub菜单加密
        grub2-setpassword                                  系统安全控制_第3张图片

弱口令检测工具

依赖环境yum -y install gcc gcc-c++ make
解压目录下src下 make clean linux-x86-64
                    cp /etc/shadow /opt/shadow.txt
run/下执行        ./john /opt/shadow.txt
                        ./john --show /opt/shadow.txt

面试题:

你做过那些系统加固,系统安全??
1、账号和密码进行安全加固
账号锁定,密码锁定
定期修改密码
2、修改历史记录的保存数目。

3、sudo的机制,在配置普通用户拥有sudo权限的时候,进行有限开放的原则,需要哪些就给那些。

4、grub菜单编辑加密。

5、可以通过弱口令检测工具,巡检系统当中的简单密码,然后修改掉,保障账号安全

6、锁定中还要文件,/etc/passwd /etc/shadow /etc/fatab nginx.conf httpd.conf 重要的配置文件或者系统文件,进行锁定。
 		chatt +i 锁定文件,防止误操作

8、配置防火墙策略。

9、定期备份

10、系统定期更新,修复系统在的漏洞

11、安装杀毒软件

12、改掉一些大家都知道的服务端口。httpd nginx 80		ssh 22

13、设置日志文件的权限。只有管理员可以读,其他用啥也没有

14、禁止root用户切换到root用户

网络扫描工具 NMAP

可以进行网络扫描 安全 检测
-p 扫面端口
-sT 扫描TCP连接
-n 禁用反向DNS解析
-sP ICMP扫描,和ping是用于的,快速判断主机是否存活

正向解析 nslookup www.baidu.com  域名解析成ip地址
反向解析 IP地址解析成域名

nmap -p 80 192.168.233.0/24
扫描80端口,查询整个网段,哪台主机能够提供80端口服务


打开网页都是https协议
查询网段中存活的解析
nmap -n -sP 192.168.233.0/24


查看本机开放端口
    查看tcp端口   nmap -sT 127.0.0.1
    查看udp端口  nmap -sU 127.0.0.1

你可能感兴趣的:(系统安全,安全)