系统安全和应用

系统安全和应用_第1张图片

一、wheel组的作用:

1、用来控制系统管理员的访问权限

2、加入wheel组后,可以被授权使用一些系统管理员才可以使用的访问命令和文件

sudo 授权方式——必须要加入wheel组和其他的配置

3、wheel组默认为空,需要管理员手动添加用户,配置响应sudo访问规则

配置的时候要注意有限放开原则

二、限制普通用户进行切换实验过程:

vim  /etc/pam.d/su (配置文件)

set  nu 取消第6行的注释——所有的普通用户都将不能切换用户,无法使用su命令

gpasswd  -a  dn  wheel  添加至wheel组   #(dn)要放开权限的用户

加入了wheel组的用户才可以切换

系统安全和应用_第2张图片

系统安全和应用_第3张图片

三、PAM四大认证模块:

1、认证模块:用于验证用户的身份。基于密码来对用户身份进行验证

2、授权模块:控制用户对于系统资源的访问权限(文件、进程等权限)

3、账户管理模块:管理用户的账户信息,密码策略,账户锁定策略

4、会话管理模块:管理用户的会话,记录会话信息,注销用户会话,终端控制(远程终端连接)

四、system-auth 系统的认证配置文件

第一列:type类型

auth:用户身份认证——基于密码

account:账户有效性。限制或者允许用户访问某个服务,限制用户的登录位置

password:用于用户修改密码时,对密码的机制进行校验

session:会话控制,最多能打开的文件数,最多能打开的进程数

第二列:控制位

required:一票否决。这个模块在认证中必须是返回成功才能通过认证,如果认证返回失败,失败结果是不会通知用户,所有type中的模块全部认证完毕,最后再把结果反馈给用户

requisite:一票否决。必须返回成功才能通过认证,一旦返回失败,不会再向下执行其他模块,直接结束

sufficient:一票通过。如果范围成功,表示通过了身份认证的要求,不会再执行同一类型的相同模块;如果范围失败,忽略,继续执行同一类型中的其他模块

required和requisiteoptional:可选模块,即便返回失败,也可以忽略

include:可选项,调用其他配置文件中自定义的配置

optional:可选项

第三列:PAM模块

五、sudo机制:

(一)授权普通用户可以使用管理员的命令和文件(有限放开原则)

1、root用户:vim  /etc/sudoers

系统安全和应用_第4张图片

2、gpasswd  -a  dn  wheel ——添加至wheel组,可以不用输入密码

3、普通用户在自己的家目录拥有所有权限

(二)限制一些命令,即使用户在wheel组,也不可以使用sudo进行操作

1、先查找系统命令所在位置:whereis  / which

     root用户:vim  /etc/sudoers

Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/(路径最好是最对路径)

你做过哪些系统安全、系统加固方面的措施?

  1. 对账号和密码进行安全加固(1)账号锁定,密码锁定(2)定期修改密码
  2. 修改历史记录的保存数目
  3. sudo机制,在配置普通用户拥有sudo权限的时候,仅限哟UI按开发那个的原则,需要哪些就给哪些
  4. grub菜单编辑加密
  5. 可以通过弱口令检测工具,巡检系统当中简单的密码,然后修改掉,保证账号安全
  6. 锁定重要文件,/etc/passwd /etc/fastab nginx.conf httpd.conf重要的配置文件或者系统文件,进行锁定      chatt  +i  锁定文件,防止误操作
  7. 强化密码策略,把密码设置复杂一点
  8. 配置防火墙策略
  9. 定期备份
  10. 系统定时更新,修复系统中的漏洞
  11. 安装杀毒软件
  12. 改掉一些大家都知道的服务端口。httpd nginx 80
  13. 设置日志文件的权限,只有管理员可以读,其他用户什么权限也没有
  14. 禁止普通用户切换到root用户

七、网络扫描工具:NMAP——可以进行网络臊面,安全 检测

-p:扫描端口

-sT:扫描TCP连接

-n:禁用反向DNS解析

正向:域名解析成IP地址

反向:IP地址解析为域名

-sP:ICMP扫描,和ping是一样的,快速判断主机是否存活

nmap -p 80 192.168.233.0/24

扫描80端口,查询整个网段,哪台主机能够提供80端口服务

八、查看网段中存活的主机(能ping通):nmap  -n  -sP  192.168.233.0/24

查看本机开放的TCP或者UDP端口:

nmap  -sT  本机IP地址/127.0.0.1——查看tcp的端口

nmap  -sU  本机IP地址/127.0.0.1——查看udp的端口

127.0.0.1就是本机地址

你可能感兴趣的:(系统安全,安全)