整理linux网关与安全第一章
******锁定解锁用户
1:
passwd -l user
passwd -u user
2:
usermod -L user
usermod -U user
3:
vim /etc/shadow 在用户前面加上!即可
*******用户禁止登陆
1:passwd -s /sbin/nologin user
2:vim /etc/passwd 在用户后面指定
shell 即可
********限制用户密码最大有效期限
1:vim /etc/login.defs 修改
PASS_MAX_DAYS 30 只对修改后创建的用户有效
2:chage -M 30 user 只对已经存在的用户有效果
********指定用户下次登陆时候必须修改密码
1:chage -d 0 user
2:vim /etc/shadow 修改用户:后面的三列为
0
*******************通过
pam机制修改密码最小长度
1:vim /etc/pam.d/system-auth 中的
PASSWD列添加minlen=10 (并不直接带表用户设置密码长度)
**************限制记录命令历史条数
1:
vim /etc/profile HISTSIZE=100 默认1000条
2:
echo "history -c" >> ~/.bash_logout 用户注销登陆后自动清空命令历史记录
****************闲置超时自动注销终端
1:vim /etc/profile 添加全局超时自动注销
export TMOUT=600
************* su 命令
1:su user 切换用户但不切换环境变量(即可以使用
ROOT命令)
2:su - user 切换用户和环境变量
***************只允许特定的用户使用
su命令
1:vim /etc/pam.d/su 去掉第
6行的注释
2:gpasswd -a user wheel 将允许的用户添加到
wheel组-d 删除
*********************** sudo 提升其他用户执行权限
1:使用之前先
chmod 777 /etc/sudoers 然后vim
格式:
user ALL=NOPASSWD:NETWORKING
user ALL(来自那
)=NETWORKING(做什么NETWORKING为系统默认的模板)
NOPASSWD:ALL (不需要密码就可以执行
suto)
13 行 允许从哪些主机过来
%user 可用组名
=/usr/bin/passwd [A-z]*,!/usr/bin/passwd root 允许改任何人密码除了
ROOT
结合
which 查找命令绝对路径
2:使用方法
sudo /usr/bin/passwd user 即可
******************************让指定分区不能执行程序
1:vim /etc/fstab
在指定分区后面添加
defauts,noexe 保存即可
mount -a 从新读取
mount -o noexec /dev/sdb1 /boot 挂载的时候添加不可执行属性
*************************文件的特殊属性
查看特殊属性
lsattr /etc/passwd
添加特殊属性
chattr +i /etc/passwd 不能被修改,无法被删除,重命名,硬链接
-i
chattr +a /etc/passwd 只可追加不可删除
-a
************************************************关闭不需要的系统服务
ntsysv chkconfig
******************************************禁止普通用户执行init.d目录中的脚本
chmod -R 750 /etc/init.d
-R为递归继承
*******************************************禁止普通用户执行控制台程序
/etc/security/console.apps/下 的程序普通用户都可以执行 删除不用的程序 如reboot poweroff half
*******************************************去除程序文件中非必须的权限
find / -type f -perm +6000 -exec ls -lh {} \;
-type 类型 f文件
suid 4 sgid 2 set粘贴位1
上例可以将找到的系统默认文件重定向到新文件中 定时对比 发现可疑文件 没用的可以直接删除掉
有用的可以 chmod a-s /xxx/xxx.xxx 去掉suid sgid 权限
SHELL脚本
#! /bin/bash
a=/etc/a
for i in `find / -type f -perm +6000`
do
grep -F '$i' $a >/dev/null
[ $? -ne 0 ] && ls -lh $i
done
**************************************greb引导菜单加密
vim /boot/grub/grub.conf
明文加密 title上添加password 123
密文加密 首先运行grub-md5-crypt
然后打开文件 添加 password --md5 粘贴上上一步出来的密文
*********************************************即时禁止普通用户登录
touch /etc/nologin 建立文件即可 (root不受限制)
*******************************************控制服务器开放的TTY终端
vi /etc/inittab
去掉 TTY 的注释
刷新 init q 即可
*****************************************控制允许root用户登录的TTY终端
只对root有效 vim /etc/securetty
去掉相应行或者注释
********************************************更改系统登录提示隐藏内核版本信息
对本地登录显示/etc/issue
对网络登录显示/etc/issue.net
**********************************************使用pam_access 认证控制用户登录地点
+允许 -拒绝
用户 all所有 组名也行
来源 tty1 ip/24 表示
例:- : root execpt yangjun : 192.168.0.1/24 192.168.0.2/24
拒绝root除了yangjun的用户可以从192.168.0.1/24 或者从192.168.0.2/24 登录到系统中
************************************************关闭不需要的系统服务
ntsysv chkconfig
******************************************禁止普通用户执行init.d目录中的脚本
chmod -R 750 /etc/init.d
-R为递归继承
*******************************************禁止普通用户执行控制台程序
/etc/security/console.apps/下 的程序普通用户都可以执行 删除不用的程序 如reboot poweroff half
*******************************************去除程序文件中非必须的权限
find / -type f -perm +6000 -exec ls -lh {} \;
-type 类型 f文件
suid 4 sgid 2 set粘贴位1
上例可以将找到的系统默认文件重定向到新文件中 定时对比 发现可疑文件 没用的可以直接删除掉
有用的可以 chmod a-s /xxx/xxx.xxx 去掉suid sgid 权限
SHELL脚本
#! /bin/bash
a=/etc/a
for i in `find / -type f -perm +6000`
do
grep -F '$i' $a >/dev/null
[ $? -ne 0 ] && ls -lh $i
done
**************************************greb引导菜单加密
vim /boot/grub/grub.conf
明文加密 title上添加password 123
密文加密 首先运行grub-md5-crypt
然后打开文件 添加 password --md5 粘贴上上一步出来的密文
*********************************************即时禁止普通用户登录
touch /etc/nologin 建立文件即可 (root不受限制)
*******************************************控制服务器开放的TTY终端
vi /etc/inittab
去掉 TTY 的注释
刷新 init q 即可
*****************************************控制允许root用户登录的TTY终端
只对root有效 vim /etc/securetty
去掉相应行或者注释
********************************************更改系统登录提示隐藏内核版本信息
对本地登录显示/etc/issue
对网络登录显示/etc/issue.net
**********************************************使用pam_access 认证控制用户登录地点
+允许 -拒绝
用户 all所有 组名也行
来源 tty1 ip/24 表示
例:- : root execpt yangjun : 192.168.0.1/24 192.168.0.2/24
拒绝root除了yangjun的用户可以从192.168.0.1/24 或者从192.168.0.2/24 登录到系统中
本文出自 “yangjun” 博客,转载请与作者联系!