系统安全及应用

一、系统安全的加固:

1.系统账号清理:

  • 将用户设置为无法登录、

  • 锁定账户

  • 删除账户

  • 锁定账户密码 本质锁定

问题:中病毒怎么处理?

1.使用ps或top

查找到这个异常进程 通过进程pid找到proc exe找到文件的真实位置,把他删除

2.自己建和病毒同名的文件,加上

 锁定配置文件-chattr:

-a 让文件或目录仅供附加用途。只能追加

-i 不得任意更动文件或目录。

系统安全及应用_第1张图片

2.密码安全控制: 

chage:

chage [选项] 用户名
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有效的最大天数。
-w:用户密码到期前,提前收到警告信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
-d:上一次更改的日期。
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

系统安全及应用_第2张图片

3.命令历史: 

history:查看历史命令,默认一千条

history -c 清空历史命令

系统安全及应用_第3张图片

二、su: 

su命令可以切换用户身份,并且以指定用户的身份执行命令。

pam_rootok.so  root不需要密码

pam_wheel.so   只有wheel组才可以切换

系统安全及应用_第4张图片

超级管理员的组:wheel组,权限比root组高  

系统安全及应用_第5张图片

三、PAM安全认证:

系统安全及应用_第6张图片

 插件式的验证模块,PAM提供了对所有服务进行认证的中央机制,适用于本地登录,远程登录。

 查看当前系统pam:

系统安全及应用_第7张图片

/usr/lib64/security :存放功能模块:

系统安全及应用_第8张图片

/etc/pam.d/ :存放配置文件:

系统安全及应用_第9张图片

/etc/security :存放复杂的配置文件:

 3.1PAM相关文件:

  • 包名: pam

  • 模块文件目录:/lib64/security/*.so

  • 特定模块相关的设置文件:/etc/security/

  • man 8 加模块名 可以查看帮助

  • 应用程序调用PAM模块的配置文件

  1. 主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置

  2. 为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME

  3. 注意:如/etc/pam.d存在,/etc/pam.conf将失效

3.2PAM工作原理:

PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so

PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证

系统安全及应用_第10张图片

PAM认证过程示例:

1.使用者执行/usr/bin/passwd 程序,并输入密码
2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件
3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证
4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)

3.3pam的原理:

 type:指模块类型,即功能
control :PAM库该如何处理与该服务相关的PAM模块的成功或失败情况,一个关健词实现
module-path: 用来指明本模块对应的程序文件的路径名
Arguments: 用来传递给该模块的参数

系统安全及应用_第11张图片

4.PAM安全认证流程: 

系统安全及应用_第12张图片

required:一票否决,如果失败最后一定会失败,但是会继续验证

requisite:一票否决, 如果失败会立即结束验证,反馈失败

sufficient:验证成功则立即返回,不在继续,否则忽略结构并继续

optional 不用于验证,只是显示信息

四、功能模块:

1.shell模块:

功能:检查有效shell

案例:不允许使用/bin/csh的用户本地登录

系统安全及应用_第13张图片

2.securetty模块:

功能:只允许root用户在/etc/securetty列出的安全终端上登陆

3.pam_nologin.so 模块

功能:如果/etc/nologin文件存在,将导致非root用户不能登陆,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆

五、limit:

功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间

修改限制的实现方式:

(1) ulimit命令

ulimit是linux shell的内置命令,它具有一套参数集,用于对shell进程及其子进程进行资源限制。

ulimit的设定值是 per-process 的,也就是说,每个进程有自己的limits值。使用ulimit进行修改,立即生效。

ulimit只影响shell进程及其子进程,用户登出后失效。

可以在profile中加入ulimit的设置,变相的做到永久生效

-H 设置硬件资源限制.
-S 设置软件资源限制.
-a 显示当前所有的资源限制.
-c size:设置core文件的最大值.单位:blocks
-d size:设置数据段的最大值.单位:kbytes
-f size:设置创建文件的最大值.单位:blocks
-l size:设置在内存中锁定进程的最大值.单位:kbytes
-m size:设置可以使用的常驻内存的最大值.单位:kbytes
-n size:设置内核可以同时打开的文件描述符的最大值.单位:n
-p size:设置管道缓冲区的最大值.单位:kbytes
-s size:设置堆栈的最大值.单位:kbytes
-t size:设置CPU使用时间的最大上限.单位:seconds
-u size:最大用户进程数
-v size:设置虚拟内存的最大值.单位:kbytes
unlimited 是一个特殊值,用于表示不限制

 六、sudo:

提权操作

su root 以管理员身份使用

sudo特性:

  • sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员

  • sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器

  • sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票

  • sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440

任意机器上的root用户可以在本机执行任何命令 :

系统安全及应用_第14张图片

七、别名:

sudo别名有四种类型:

  • User_Alias(用户)

  • Runas_Alias(代表用户)

  • Host_Alias(登录主机)

  • Cmnd_Alias(命令)

别名格式:必须大写字母,数字可以使用但是不能放在开头

八:grub-加密:

/etc/grub.d-目录

系统安全及应用_第15张图片

00_header 设置grub默认参数
10_linux 系统中存在多个linux版本
20_ppc_terminfo 设置tty控制台
30_os_prober 设置其他分区中的系统(硬盘中有多个操作系统时设置)
40_custom和41_custom 用户自定义的配置

设置GRUB 2加密

由于GRUB 2负责引导linux系统,其作为系统中的第一道屏障的安全性非常重要,对GRUB 2进行加密可以实现安全性。

GRUB 2密码支持以下两种格式

  • 明文密码:密码数据没有经过加密,安全性差

  • PBKDF2加密密码:密码经过PBKDF2哈希算法进行加密,在文件中存储的是加密后的密码数据,安全性较高。

你可能感兴趣的:(系统安全,安全)