Linux系统安全及应用(你迷茫的原因在于,读书太少,想的太多)

本文涉及的产品
运维安全中心(堡垒机),免费版 6个月
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
简介: Linux系统安全及应用(你迷茫的原因在于,读书太少,想的太多)

一、账号安全基本措施


1.1 系统账号清理

将非登录用户的shell设为/sbin/nologin

usermod -s /sbin/nologin

锁定长期不使用的账号

usermod -L 用户名 锁定
passwd -l 用户名 锁定 u小
passwd -S 用户名 查看用户状态

删除无用的账号

userdel -r 用户名

锁定账号文件passwd、shadow

chatter +i /etc/passwd /etc/shadow 锁定
lsatter /etc/passwd /etc/shadow 查看
chatter -i /etc/passwd /etc/shadow 解锁


1.2 密码安全控制

设置密码有效期


要求用户下次登录时修改密码


示例1:查看密码的配置文件/etc/login.defs





1.2.1 chage命令--修改账号和密码的有效期

chage命令是用来临时修改帐号和密码的有效期限;这个信息由系统用于确定用户何时必须更改其密码


常用选项:


参数 说明
-m 密码可更改的最小天数,为0时代表任何时候
-M 密码保持有效的最大天数
-w 用户密码到期前,提前收到警告信息的天数
-E 账号到期的日期
-d 上一次更改的日期
-i 停滞时期。如果一个密码已过期这些天,那么此账号将不可用
-l 列出当前的设置。由非特权用户来确定他们的密码或账号何时过期

示例1


示例2


0表示用户应该在下次登录系统时更改密码


1.3 命令历史限制

减少记录的命令条数


注销时自动清空命令历史


示例1:临时清除



示例2:永久生效



source一下就生效了


1.4 终端自动注销

示例1:开机永久清空历史命令




示例2:设置每60秒清空一次历史命令



1.5 使用su命令切换用户

用途:切换用户


格式:su - 目标用户


1.5.1 密码验证:

root切换至任意用户,不需要密码


普通用户切换到其他用户,需要验证密码


示例1:



示例2:



1.5.2 限制使用su命令的用户

默认情况下,任何用户都允许使用su命令,从而有机会登录到其他用户,这样带来了安全风险,为了加强su命令的使用控制,可以借助于pam_wheel认证模块


查看某个程序是否支持PAM认证,可以用ls命令:ls /etc/pam.d |grep su


查看su的PAM配置文件:cat /etc/pam.d/su


每一行都是一个独立的认证过程


每一行可以区分为三个字段:


1.认证类型


2.控制类型


3.PAM模块及其参数

1 #%PAM-1.0
   2 auth            sufficient      pam_rootok.so
   3 # Uncomment the following line to implicitly trust users in the "wheel" g    roup.
   4 #auth           sufficient      pam_wheel.so trust use_uid
   5 # Uncomment the following line to require a user to be in the "wheel" gro    up.         
   6 #auth            required        pam_wheel.so use_uid
   7 auth            substack        system-auth
   8 auth            include         postlogin
   9 account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
  10 account         include         system-auth
  11 password        include         system-auth
  12 session         include         system-auth
  13 session         include         postlogin
  14 session         optional        pam_xauth.so
  # a)开启第二行和注释第六行是默认状态,这种状态下是允许所有用户使用su命令进行切换的
  # b)两行都注释也是运行所有用户都使用su命令,但是root切换到普通用户需要输入密码
  # c)如果开启第六行表示使用root用户和wheel组内的用户才可以使用su命令
  # d)如果注释第二行开始第六行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令

将允许使用su命令的用户加入wheel组(附加组)


启用pam_wheel认证模块,在/etc/pam.d下的su文件中



图:pam认证


1.6 PAM认证原理

顺序:service(服务)->PAM(配置文件)->pam_*.so


首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证


用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证


不同的应用程序所对应的PAM模块是不同的


PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用 cat /etc/pam.d/system-auth 第一列代表PAM认证模块类型 1.auth: 对用户身份进行识别,如提示输入密码,判断是否为root。 2.account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。 3.password: 使用用户信息来更新数据,如修改用户密码。 4.session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统,能连接几个终端


第二列代表PAM控制标记 1.required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。 2.requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。 3.sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。 4.optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型), 5.include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。


第三列代表PAM模块


默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。


第四列代表PAM模块的参数


这个需要根据所使用的模块来添加。传递给模块的参数,参数可以有多个,之间用空格分隔开


1.6.1 PAM安全认证流程


1.required验证失败时仍然继续,但是返回Fail


2.requisite验证失败则立即结束整个验证过程,返回Fail


3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续


4.optional不用于验证,只显示信息


示例1





示例2:安全日志文件/var/log/secure



1.7 使用sudo机制提升权限

示例




1.7.1 配置sudo授权

visudo或者vi /etc/sudoers 两个文件一样


记录格式:用户 主机名列表=命令程序列表


lisi localhost=/sbin/ifconfig

liwu localhost=/sbin/*,!/sbin/ifconfig

#可以搭配通配符使用,*全部,!取反




总结


vim /etc/login.defs 适用于新建用户


chage -M 30 lisi 适用于已有用户

目录
相关文章
|
26天前
|
缓存 Linux 开发者
Linux内核中的并发控制机制:深入理解与应用####
【10月更文挑战第21天】 本文旨在为读者提供一个全面的指南,探讨Linux操作系统中用于实现多线程和进程间同步的关键技术——并发控制机制。通过剖析互斥锁、自旋锁、读写锁等核心概念及其在实际场景中的应用,本文将帮助开发者更好地理解和运用这些工具来构建高效且稳定的应用程序。 ####
39 5
|
1月前
|
存储 安全 关系型数据库
Linux系统在服务器领域的应用与优势###
本文深入探讨了Linux操作系统在服务器领域的广泛应用及其显著优势。通过分析其开源性、安全性、稳定性和高效性,揭示了为何Linux成为众多企业和开发者的首选服务器操作系统。文章还列举了Linux在服务器管理、性能优化和社区支持等方面的具体优势,为读者提供了全面而深入的理解。 ###
|
4月前
|
Unix Linux Ruby
在windows和linux上高效快捷地发布Dash应用
在windows和linux上高效快捷地发布Dash应用
|
4月前
|
Linux iOS开发 开发者
跨平台开发不再难:.NET Core如何让你的应用在Windows、Linux、macOS上自如游走?
【8月更文挑战第28天】本文提供了一份详尽的.NET跨平台开发指南,涵盖.NET Core简介、环境配置、项目结构、代码编写、依赖管理、构建与测试、部署及容器化等多个方面,帮助开发者掌握关键技术与最佳实践,充分利用.NET Core实现高效、便捷的跨平台应用开发与部署。
293 3
|
4月前
|
存储 Linux 开发工具
【Azure App Service】本地Git部署Python Flask应用上云(Azure App Service For Linux)关键错误
【Azure App Service】本地Git部署Python Flask应用上云(Azure App Service For Linux)关键错误
|
4月前
|
存储 监控 Linux
在Linux中,如何进行虚拟化技术的应用?
在Linux中,如何进行虚拟化技术的应用?
|
4月前
|
监控 安全 Linux
在Linux中,如何进行系统安全加固?
在Linux中,如何进行系统安全加固?
|
4月前
|
存储 监控 Linux
在Linux中,如何进行容器技术的应用?
在Linux中,如何进行容器技术的应用?
|
4月前
|
算法 Ubuntu Linux
在Linux中,对比apt和yum两种包管理器在不同Linux发行版中应用有何区别?
在Linux中,对比apt和yum两种包管理器在不同Linux发行版中应用有何区别?
|
4月前
|
存储 Linux 网络安全
【Azure App Service】.NET代码实验App Service应用中获取TLS/SSL 证书 (App Service Linux/Linux Container)
【Azure App Service】.NET代码实验App Service应用中获取TLS/SSL 证书 (App Service Linux/Linux Container)