linux系统安全及应用

系统账号清理

1. 将用户设置成无法登录
   1. 将用户的shell属性改成/sbin/nologin
2. 锁定用户
   1. passwd -l  用户   锁定用户  
   2. passwd -u 用户  解锁用户
3. 删除用户
   1. userdel -r 用户    删除用户及家目录
4. 锁定配置文件
   1. chattr  +i  文件或文件夹   锁定文件或文件夹，锁定之后便无法修改，删除
   2. chattr  -i   解除锁定

   设置密码规则

        chage   用户名    

    命令历史

       history  查看命令历史

       history -c   临时清空命令历史

       修改/etc/profile文件中HISTORY变量值，影响系统中的所有用户

       在家目录中修改./bash_logouut

       添加    echo " " >~/.bash_history

     设置超时时间

        在vim /etc/profile中设置   export TIMEOUT = 时间

     切换用户

        su  用户名：不完全切换，会残留一些上一个用户的配置

        su  -用户名：完全切换，不会残留上一个用户的配置

        root用户切换不需要输密码，普通用户切换需要输密码

        注意：su 切换新用户后，使用 exit 退回至旧的用户身份，而不要再用 su 切换至旧用户，否  则会生成很多的bash子进程，环境可能会混乱。

     PAM安全认证

        当用户 来访问某一程序的时候，如果这个程序启用了 pam模块，会先去读取配置文件，然后按照配置文件调用模块，进行操作

        type      control          moudel           参数

        required 一票否决 如果失败 最后一定失败，但是会继续进行验证

        requisite 一票否决 如果失败 会立即结束验证，反馈失败

        sufficient 验证成功则立即返回，不再继续，否则忽略结果并继续

        option 显示信息（可选项）

        limit模块

       功能：在用户级别实现对其可使用的资源的限制，例如：可打开的文件数量，可运行的进程数量，可用内存空间

        

        /etc/secruity /limits.conf

        ulimit -a 查看

     

   sudo

     sudo     提权操作

      让普通用户能拥有一些root用户才能使用的命令

     visudo  进入

      格式 ：用户名         主机名=（root）        命令

        root ALL=(ALL) ALL

        任意机器上的root用户可以在本机执行任何命令

                ALL 哪台主机 也可以写域名

             （ALL） 以谁的身份运行 root        

                 ALL 所有命令

     sudo别名

      别名样式：必须以大写字母开头，数字可以使用但不能放在开头       

          User_Alias（用户）

          Runas_Alias（代表用户）

          Host_Alias（登录主机）

          Cmnd_Alias（命令）

        Host_Alias MYHOSTS = root,localhost
        User_Alias MYUSERS = lisi
        Cmnd_Alias MYCMNDS = /sbin/*, !/etc/passwd 

        MYUSERS MYHOSTS=NOPASSWD:MYCMNDS