系统安全控制

保护数据安全:组织和个人进入互联网行业必须要有的基础设施之一。
客户数据 财务信息 知识产权

法律法规：法律要求组织和个人必须具备保护网络安全，系统安全和信息安全，系统安全的资质。
保护一个品牌的形象：数据泄露，安全漏洞

linux的安全防护

1、账号安全:
        锁定长期不使用的账号
        passwd -l 用户名
        passwd -u 用户名
        usermod -L 用户名
        usermod -U 用户名
        把账号设置为非登录用户:
        usermod -s nologin 用户名
        删除无用的账号:
        userdel -r

2、密码的安全控制：

1>密码的有效期来控制
    对新用户
    vim /etc/login.defs
    25行 PASS_MAX_DAYS 30 后面的天数改掉
    对已有用户
    chage -M  指定天数 用户名
2>锁定重要文件passwd    shadow fstab
    查看文件状态
    lsattr /etc/passwd
    锁定文件，将不能对文件进行任何操作
    chattr +i /etc/passwd
    解锁文件：
    chattr -i /etc/passwd

3、历史命令限制
        临时清空历史记录 history -c
        永久配置 /etc/profile     搜索/HISTSIZE=     然后source /etc/profile

4、超时连接限制
        /etc/profile  末行加入 TM0UT=5 5s

5、禁止切换用户限制
        /etc/pam.d/su内的第六行取消注释
        在wheel组添加用户，放开权限的用户
        gpasswd -a dn wheel

/etc/pam.d/su第一列 type类型 

auth	用户身份认证，基于密码
account	账户有效性  限制允许用户访问某个服务，限制用户登录位置
root	只能控制台登录，必须输入账号密码
password	用户修改密码时，对密码机制进行校验
session	会话控制，最多能打开的文件数，最能能够打开的进程数。

第二列 控制位

required	一票否决权，这个模块在认证中必须是返回成功才通过认证，但如果认证失败结果不会通知用户所有type中的模块全部认证完毕，最后再把结果反馈给用户。
requisite	一票否决 必须返回成功才能够通过认证，一旦返回失败不会再向下执行其他模块，直接结束
sufficient	一票通过，返回成功，表示通过了身份验证的要求，不会再执行同一类相同模块。如果返回失败，忽略，继续执行相同类型中的其他模块。
include	可选项，调用其他配置文件的自定义的配置
optional	可选项

sudo机制
        sudo授权不同用户可以使用管理员的文件和目录
        添加虚拟网卡 ifconfig gens33:0 192.168.233.100/24 
        和网卡在同一网段。0表示虚拟网卡编号，添加多个的时候不要重复。
        进入 vim /etc/sudoers
        107行注释掉  末行加 dn ALL=(root) /sbin/ifconfig(dn 这个普通用户可以和root一样拥有管理员权限，但是只限于ifconfig命令，多个命令用“，”隔开)

第三列 PAM模块
        PAM认证 su 切换考的就是PAM
        提供了一种身份认证的接口，允许管理员定制化的配置各种认证方式和方放。
        可插拔的认证模块 取消注释/注释

开关机的安全控制

1、grub菜单加密
        grub2-setpassword                                  

弱口令检测工具

依赖环境yum -y install gcc gcc-c++ make
解压目录下src下 make clean linux-x86-64
                    cp /etc/shadow /opt/shadow.txt
run/下执行        ./john /opt/shadow.txt
                        ./john --show /opt/shadow.txt

面试题：

你做过那些系统加固，系统安全？？
1、账号和密码进行安全加固
账号锁定，密码锁定
定期修改密码
2、修改历史记录的保存数目。

3、sudo的机制，在配置普通用户拥有sudo权限的时候，进行有限开放的原则，需要哪些就给那些。

4、grub菜单编辑加密。

5、可以通过弱口令检测工具，巡检系统当中的简单密码，然后修改掉，保障账号安全

6、锁定中还要文件，/etc/passwd /etc/shadow /etc/fatab nginx.conf httpd.conf 重要的配置文件或者系统文件，进行锁定。
 		chatt +i 锁定文件，防止误操作

8、配置防火墙策略。

9、定期备份

10、系统定期更新，修复系统在的漏洞

11、安装杀毒软件

12、改掉一些大家都知道的服务端口。httpd nginx 80		ssh 22

13、设置日志文件的权限。只有管理员可以读，其他用啥也没有

14、禁止root用户切换到root用户

网络扫描工具 NMAP

可以进行网络扫描 安全 检测
-p 扫面端口
-sT 扫描TCP连接
-n 禁用反向DNS解析
-sP ICMP扫描，和ping是用于的，快速判断主机是否存活

正向解析 nslookup www.baidu.com  域名解析成ip地址
反向解析 IP地址解析成域名

nmap -p 80 192.168.233.0/24
扫描80端口，查询整个网段，哪台主机能够提供80端口服务

打开网页都是https协议
查询网段中存活的解析
nmap -n -sP 192.168.233.0/24

查看本机开放端口
    查看tcp端口   nmap -sT 127.0.0.1
    查看udp端口  nmap -sU 127.0.0.1