linux中的系统安全

一.账号安全

将非登录用户的shell设为/sbin/nologin

系统中用户有三种：超级管理员   普通用户  程序用户  

前两种用户可以登录系统，程序用户不给登录 所以称为非登录用户

命令格式：  usermod -s  /sbin/nologin（改已有用户）

锁定长期不使用的账号

passwd -l 用户   或者 usrmod -L 用户

解锁：passwd -u 用户   或者usrmod -U 用户

删除无用的账号

userdel 用户

锁定账号文件  passwd  shadow

passwd 存账户信息     shadow存账户密码 

锁定这两个文件安全

命令格式：chattr +i 文件

lsattr  查看特殊权限

操作如下

没设置chattr之前，vim a 文件时是可以进去编辑的

当编辑a文件时 wq要保存时，显示保存不了

然后再进入vim a 文件中  文件内容不变 

 解锁文件 ：chattr - i 

操作如下：

解锁完可以编辑文件内容

密码安全控制

设置密码规则、修改密码配置文件

 对新建用户密码规则：

 

 对于已有用户修改密码规则

命令：chage 参数  用户名

修改密码的有效期  chage - M 数字  用户

 如果不知道参数 可以chage 用户名 直接回车 会自动回显

 chage - d 0 用户名           用户在下次登录时必须修改密码 

 命令历史的限制

默认的历史命令为1000条

如果要临时删除时 命令格式：history -c   之前的命令就看不见了

永久清除历史命令

历史命令都存储在bash.history中  如果要清除 就要把里面的命令清空

 

 有三种方式

1.退出后清除 ~/.bash_logout  

2.开机后清除  ~/.bashrc （对自己有效、对当前用户生效）

3.对所有用户有效，不仅仅是root下的用户   /etc/profile

操作如下：

 表明将history都写成空格

 终端自助注销  设置闲置多少秒之后  会登出系统  

设置所有用户闲置10秒自动退出  进入/etc/profile中

使用su命令切换用户 

su 不加— 代表不完整的切换 意思就是下一个用户会继承上一用户的所有东西  什么都没变

su  加—    代表完整切换  意思就是说下一个用户不会继承上一用户的东西，两者不一样 

 两者变量一模一样

当 su - 时

 root与张三的变量改变

密码验证

root 切换到普通用户不需要验证密码

普通用户互相切换  验证需要密码

linux中的PAM认证

 pam模块类似于一个插件，别人吧功能写好，放这。如果需要用 则把模块调过来即可。

查看pam 详细信息

查看pam的目录

 点so结尾 代表功能模块

当用户来访问某一程序，如果这一程序启用了pam模块，它会先去读取配置文件，然后按照配置文件调用模块进行操作 ！！！

 进入到配置文件中：

tcp中  auth：账号的认证与授权 看此账号是否存在

  accout ：看此账号的有效性（限制或允许用户对某个服务的访问时间  在什么时间段可以访问或拒绝访问） 

passwd  ：看密码对不对跟复杂性

session：用户会话期间的控制，可在以使用多少资源

control中

 

shell模块 

 

 进入到shell的组 把/bin/sch删除

 

当/bin/sch被删除时，就不在shell列表里，就不能通过  

总结：当设置shell模块（pam_shells.so）时，只有shell类型里面的内容才可以通过，不在shell类型（/etc/shell）里面的 通过不了

pam_nologin.so模块        如果要维护的情况下可以使用这一模块

 在etc下面建立一个nologin的文档

 不影响su功能

但是登录不了系统

 所以如果有/etc/nologin的文件存在 普通用户是登录不了系统的

 补充tips ：

此时此刻boot用户还是可以切换普通用户的

 当把wheel的#（代表注释）去掉之后，意味着只能是wheel组里面的用户才可以使用

 

此时再看一下 root 切换普通用户的状态  是不给登录的

 如果要改变 就把root加入到wheel组中   又可以切换了

总结： 

limit模块 控制进程占用资源

ulimit - a 可以查看limit里面的所有选项

 limits 在/etc/security文件夹中

 

 

 pgrep - l - u liwu (仅查看liwu的进程并且进程的名字）

当一开始只有一个进程的时候 输入四个进程  超过五个显示没有子进程

 

 

参数详细解答

 例如  nofile 设置打开的文件数目

 

 因为之前nofile设置的是1024   当用1025测试时，可以超过了

此时再压力测试 就没有问题了

 

注释： ab   是压力测试  测试一个终端在同一时间能干几件事情  如上图  同一时间接收1025个文件 总共接收5000个文件

压力测试 来源于httpd-tools 包

sudo

sudo命令的缺点：如果不去设置  任何人都能切换到root上

sudo  提权操作

sudo相当于一个程序，写一条命令 可以su让用户（用户一开始没有使用这个命令的权利）去使用 

sudo的配置文件在  visudo中

 

 举例操作：

此时liwu还没有挂载的权限

如果想要liwu拥有挂载的权限 就要修改visudo 

 

 命令要写绝对路径  用which mount查

此刻再验证一下liwu的mount权限 此时挂载成功

！ 取反的意思  liwu无法挂载

 

 nopasswd 无需输入密码 限时五分钟 在这五分钟之内不需要输入密码

子目录  

主配置文件放置一些重要文件   子配置文件放置用户的个性化配置  当一次性有20个配置文件，为了方便管理 设置子配置文件，为了方便管理.如果不设置的情况下 改主配置文件，里面的二十个用户都会被改变

当设置完自配置文件之后，先执行子配置文件，再执行主配置文件的命令

别名

 

nmap (网络扫描工具)