系统安全及应用
一 、基本安全措施
1、系统账号清理
(1)vi /etc/passwd 直接设置账号的shell环境为sbin/nologing或前面加“#”号
(2)passwd -l lai 锁定账号
passwd -u lai 解锁账号
或者usermod -L lai 锁定账号
passwd -S lai 查看锁定状态
usermod -U lai 解锁账号
(3)userdel lai1 删除无用账号 可以切换到home目录ll看还都有哪些账号
(4)锁定文件 chattr +i /etc/passwd /etc/shadow
查看锁定状态 lsattr /etc/passwd /etc/shadow
可用vi /etc/shadow测试能不能写入
解锁文件 chattr -i /etc/passwd /etc/shadow
2、密码安全控制
(1)将密码有效期设置为30天
vi /etc/login.defs 适用于新用户(以后新建的用户)
........
PASS_MAX_DAYS 30 在编辑器中修改
chage -M 30 lai1 使用与现有用户
可用vi /etc/shadow 查看有没有改成功
(2)强制某用户下次登录时修改密码可用chage -d 0 lai (如lai用户)但是下次的密码一定要很难的
如“ASD!@#¥%”之类的
3、命令历史自动注销
(1)vi /etc/profile 适用于新登录的用户
HISTSIZE =200 把原来是1000 的历史存量改为200 然后保存退出,重启后再看历史记录已经是200条了
export HISTSIZE =200 适用于当前用户
(2)还可以给宿主目录的~/.bash_logout 添加清空历史命令的操作语句
vi .bash_logout
history -c
clear 然后保存退出(不是很好用,不建议用)
(3)通过bash设置限制超时自动注销
vi /etc/profile 适用于新登录的用户
export TMOUT =60 设置闲置60s注销
export TMOUT =60 适用于当前用户(必要的时候可执行unset TMOUT取消闲置注销设置)
二、用户切换与提权
1、su命令-切换用户
(1) 用su命令从root切换到其他用户无需密码
(2) 用su命令从普通用户切换到root需要密码 ,另外加“-”符号默认切换到root。
2、限制su命令的使用用户
(1)首先把可以使用su命令切换root账号的用户加入wheel组
(2)然后启动pam_wheel认证模块
这下可以去最实验看看是不是只有lai用户能su到root
不能切换的是lai10
可用cat /etc/pam.d/su查看su的PAM配置文件
3、sudo命令可以提升执行权限
主要有visudo或者vi /etc/sudoers 进行编辑
例如:在lai1账号是不可以创建网卡信息的
若要让lai1能创建网卡信息需要root账户授权
(1)lai1账户是不可以创建网卡信息的
(2)在root账户上授权后可以创建了,在vi /etc/sudoers的时候最下行输入
lai1 localhost=/sbin/*,!/sbin/reboot
4、启动sudo日志,可以从/var/log/sudo文件中看到用户的sudo操作记录
(1)先在root上开启权限visudo开启“Defaults logfile”权限
(2)在被授权的lai1用户去运行sudo的相关权限如下
(3)再去root用tail /var/log/sudo看的时候应有显示sudo日志
三、开关机安全控制
- 调整BLOS引导设置
步骤:a、重启的时候按F2进入引导界面到security把set super visor password [回车设置密码] b、再到下一行把password on hoot [desabled改为enabled] c、到exit保存退出,如下图
这个时候你在去进入系统的时候发现需要密码,进入BLOS时也要密码
要改回来只需要把[enabled改为disabled]就行了
2、 可以命令设置密码
grub2 - setpassword 如设置密码为123456
Init 6 重启一下重启的时候需要按e键进入root输入密码才能使用