Linux系统安全及应用

1.账号安全基本措施

系统账号清理

      将非登录用户的shell设为/sbin/nologin设置为无法登录

(shell——/sbin/nologin比较特殊,所谓“无法登陆”仅是这个用户无法使用bash或其他shell来登陆系统而已,并不是说这个账号就无法使用系统资源。

举例来说,各个系统账号中,打印作业有lp这个账号管理,www服务器有apache这个账号管理,他们都可以进行系统程序的工作,但就是无法登陆主机而已)

Linux系统安全及应用_第1张图片

      锁定长期不使用的账号

Linux系统安全及应用_第2张图片

      删除无用的账号

Linux系统安全及应用_第3张图片

      锁定账号文件passwd , shadow

Linux系统安全及应用_第4张图片

2.密码安全控制

chage [选项] 用户名(适合用于已有用户修改)
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有效的最大天数。
-w:用户密码到期前,提前收到警告信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
-d:上一次更改的日期

chage -d  0 zhangsan   强制张三下一次登录一定修改密码(密码符合复杂性要求)

-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

如 使用chage命令进行修改用户thh密码有效期为30天:

Linux系统安全及应用_第5张图片

 

进入配置文件修改(对新建用户)

如要求新建用户wangwu,他的密码有效期为20天

vim /etc/login.defs 

Linux系统安全及应用_第6张图片

 20左边的0表示(下一次登录一定修改密码且密码符合复杂性要求)

 

3.命令历史 

Linux系统安全及应用_第7张图片 

Linux系统安全及应用_第8张图片

 上面更改永久有效

也可以直接 echo  $HISTSIZE=10   

source  /etc/profile

重启更改失效

临时清除历史命令
history -c 

退出清空
vim .bash_logout 

 ~/.bash_logout

echo " " >~/.bash_history

开机后清除

vim .bashrc

echo " " >~/.bash_history

4.设置超时时间

vi /etc/profile

export  TMOUT=60

source  /etc/profile

5.切换用户

su命令( switch user),可切换用户身份,

su       用户             不完全切换(不会读取目标用户的配置文件,不改变当前工作目录)

su   -   用户             完全切换

密码验证

从root切换到任意用户不需要验证密码

普通用户切换到其他用户需要验证目标用户的密码

Linux系统安全及应用_第9张图片

限制用户使用su切换用户 

wheel组

是一个很特殊的用户组,用来控制能否通过su命令来切换到超级用户(root用户)

gpasswd -a  wangwu  wheel
将用户wangwu 加入 wheel组 root 

vim /etc/pam.d/su

Linux系统安全及应用_第10张图片

Linux系统安全及应用_第11张图片 

查看su操作记录  

cat  /var/log/secure
文件位置:/var/log/secure 

Linux系统安全及应用_第12张图片

sudo命令作用以及用法

作用:指定用户以超级用户的身份来执行部分命令

          一般用户不需要知道超级用户的密码即可获得权限

在一般用户需要取得特殊权限时,在命令前加上“sudo”,会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后以超级用户的权限运行。之后一段时间内(默认为5分钟,可在/etc/sudoers自定义),使用sudo不需要再次输入密码

用法:sudo 授权命令

在配置文件中添加授权, vim /etc/sudoers

通配符“ * ”号任意值和“ !”号进行取反操作

操作:

(1)

Linux系统安全及应用_第13张图片

Linux系统安全及应用_第14张图片 

Linux系统安全及应用_第15张图片 

(2)反选 “!”

Linux系统安全及应用_第16张图片 

Linux系统安全及应用_第17张图片

 (3)

也可以在/etc/sudoers配置文件里使用alias设置别名进行批量给普通用户提升执行权限

#
Host_Alias MYHOSTS = LLL,localhost

(给登入主机定义)

User_Alias MYUSERS = zhangsan,wangwu,lisi

(给用户定义)
Cmnd_Alias MYCMNDS = /sbin/*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm

(定义别名可使用的命令)

#

MYUSERS MYHOSTS=NOPASSWD:MYCMNDS

允许

(4)子目录
vim /etc/sudoers.d/test

在配置文件下创建子目录将用户权限写入子目录

扩展

Joth the Ripper,简称为 JR

一款密码分析工具,支持字典式的暴力破解

通过对shadow文件的口令分析,可以检测密码强度

官方网站:John the Ripper password cracker

暴力破解密码

压缩包拖入

Linux系统安全及应用_第18张图片

Linux系统安全及应用_第19张图片 

Linux系统安全及应用_第20张图片 

 Linux系统安全及应用_第21张图片

 只能破解密码文件中已有的密码password.lst

Linux系统安全及应用_第22张图片 

 

 

 

 

 

你可能感兴趣的:(linux,运维,服务器)