Linux系统安全

         作为一种开放源代码的操作系统,linux服务器以其安全、高效和稳定的显著优势而得以广泛应用。

账号安全控制

        用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号 才能进入计算机.在Linux系统中,提供了多种机制来确保用户账号的正当、安全使用。

1.系统账号清理

        在Linux系统中.除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其 他大量账号.除了超级用户root之外,其他大量账号只是用来维护系统运作,启动或保持服务进程. 一般是不允许登录的.因此也称为非登录用户账号。

        常见的非登录用户账号包括bin、daemon、adm、p、mail等。为了确保系统安全,这些用户账 号的登录Shell通常是/sbin/nologin.表示禁止终端登录,应确保不被人为改动。

        各种非登录用户账号中,还有相当一部分是很少用到的,如games.这些用户账号可以视为冗 余账号,直接删除即可.除此之外,还有一些随应用程序安装的用户账号,若卸载程序以后未能自 动删除,则需要管理员手动进行清理。

        对于Linux服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定.例如. 若要锁定,解锁名为zhangsan的用户账号,可以执行以下操作(passwd、usermod命令都可用来锁定. 解锁账号)。

[root@llcgc ~]# usermod -L llc            //锁定账号
[root@llcgc ~]# passwd -S llc             //查看账号状态
llc LK 1969-12-31 0 99999 7 -1 (密码已被锁定。)
[root@llcgc ~]# usermod -U llc            //解锁账号
[root@llcgc ~]# passwd -S llc
llc PS 1969-12-31 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)

        如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法.使用 chatr 命令,分别结合“+i”“-i”选项来锁定、解锁文件,使用lsattr 命令可以查看文件锁定情况。

[root@llcgc ~]# chattr +i /etc/passwd /etc/shadow            //锁定文件
[root@llcgc ~]# lsattr /etc/passwd /etc/shadow               //查看为锁定的状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@llcgc ~]# chattr -i /etc/passwd /etc/shadow            //解锁文件
[root@llcgc ~]# lsattr /etc/passwd /etc/shadow               //查看为解锁的状态
---------------- /etc/passwd
---------------- /etc/shadow

        在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更改用 户的密码、登录Shell、宿主目录等属性信息。

[root@llcgc ~]# chattr +i /etc/passwd /etc/shadow
[root@llcgc ~]# useradd bill           //添加用户账号bill
useradd:无法打开 /etc/passwd

2.密码安全控制

        在不安全的网络环境中,为了降低密码被猜出或被暴力破解的风险,用户应养成定期更改密码 的习惯,避免长期使用同一个密码.管理员可以在服务器端限制用户密码的最大有效天数,对于密 码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。

执行以下操作可将密码的有效期设为30天(chege 命令用于设置密码时限).

[root@llcgc ~]# vim /etc/login.defs   //适用于新建的用户   
。。。。。。。
PASS_MAX_DAYS 30                      //编辑添加此条命令

[root@llcgc ~]# chage -M 30 llc       //适用于已有的llc用户

        在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求 所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码,例如,

执行以下操作可强制要求用户llc下次登录时重设密码。

[root@llcgc ~]# chage -d 0 llc

3.命令历史、自动注销        

        Shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险。 只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文 的密码,则无意之中服务器的安全壁垒又多了一个缺口。

        Bash终端环境中,历史命令的记录条数由变量HISTSIZE 控制,默认为1000条,通过修改 /etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户.例如,可以设置最多只记录200 条历史命令。

[root@llcgc ~]# vim /etc/profile    //适用于新登录用户
。。。。。。
HISTSIZE=200                        //编辑添加此条命令

[root@llcgc ~]# export HISTSIZE=200 //适用于当前用户

        除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。 样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。

[root@llcgc ~]# vim ~/.bash_logout
histort -c
clear

        

        Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注 终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险.闲置超时由变量TMOUT 控制,默认单位为秒(s)。

[root@llcgc ~]# vim /etc/profile        //适用于新登录用户
。。。。。。
export TMOUT=600

[root@llcgc ~]# export TMOUT=600        //适用于当前用户

        需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置 TMOUT变量,必要时可以执行“unset TMOUT“命令取消TMOUT变量设置。

用户切换与提权

1.su命令——切换用户

        使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限,当然,切换时需要 对目标用户的密码进行验证(从root用户切换为其他用户时除外)。

例如,当前登录的用户为llc。 若要切换为root用户,可以执行以下操作。

[llc@llcgc ~]$ su - root
密码:                //输入root密码
[root@llcgc ~]#      //验证成功后获得root权限

        

        上述命令操作中,选项“-等同于“--login”或“-I”.表示切换用户后进入目标用户的登录 Shell环境,若缺少此选项则仅切换身份,不切换用户环境。对于切换为root 用户的情况,root”可省略。

        默认情况下.任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密 码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许 极个别用户使用su命令进行切换。

        实现过程如下:将授权使用su命令的用户添加到wheel组,修改 /etc/pam.d/su认证配置以启用pam_wheel 认证.

[root@llcgc ~]# gpasswd -a llc wheel                   //添加授权用户llc
正在将用户“llc”加入到“wheel”组中
[root@llcgc ~]# grep wheel /etc/group                  //确认wheel组成员
wheel:x:10:llc
[root@llcgc ~]# vim /etc/pam.d/su
。。。。。。
auth            required        pam_wheel.so use_uid   //去掉此行开头#号

        启用 pam_wheel 认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。

[lgc@llcgc ~]$ su - root    //用账号lgc测试使用su命令切换root用户
密码:
su: 拒绝权限
[lgc@llcgc ~]$              //切换失败,仍为lgc用户

        使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。

2.sudo命令——提升执行权限

        通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码. 例如,若要从jerry用户切换为root 用户,必须知道root 用户的密码,对于生产环境中的Linux服务 器.每多一个人知道特权密码,其安全风险也就增加一分。

        那么,有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户 的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限,不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。

(1)在配置文件/etc/sudoers中添加授权

        sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,需使用专门的visudo工具进行编 辑。虽然也可以用vi进行编辑,但保存时必须执行”:w!”命令来强制操作,否则系统将提示为只 读文件而拒绝保存。

        配置文件/etc/sudoers 中,授权记录的基本配置格式如下所示。

        授权配置主要包括用户,主机、命令三个部分,即授权哪些人在哪些主机上执行哪些命令.各 部分的具体含义如下。

         典型的sudo配置记录中,每行对应一个用户或组的sudo授权配置。

例如,若要授权用户llc能够执行ifconfig命令来修改IP地址,而wheel组的用户无需验证密码即可执行任何命令,可以执行 以下操作。

[root@llcgc ~]# visudo
。。。。。。
llc      localhost=/sbin/ifconfig     //添加编辑命令
%wheel   ALL=NOPASSWD: ALL

        当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名,用户、主机、 命令部分都可以定义为别名(必须为大写).分别通过关键字User_Alias,Host_Alias,Cmnd_Alias来 进行设置,

例如,以下操作通过别名方式来添加授权记录,允许用户llc、lgc在主机llcgc中执行rpm.yum命令。

[root@llcgc ~]# visudo
。。。。。。
User_Alias  OPERATORS=llc,lgc                //添加编辑命令
Host_Alias  MAILSVRS=llcgc
Cmnd_Alias  PKGTOOLS=/bin/rpm,/usr/bin/yum
OPERATORS   MATLSVRS=PKGTOOLS

        sudo配置记录的命令部分允许使用通配符"*"、取反符号"!"。当需要授权某个目录下的所有命令或取消其中个别命令时特别有用。

例如,若要授权用户 llc 可以执行/sbin/目录下除ifconfig. route 以外的其他所有命令程序.可以执行以下操作。

[root@llcgc ~]# visudo
。。。。。。
llc     localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route    //添加编辑命令

        默认情况下,通过sudo方式执行的操作并不记录,若要启用sudo日志记录以备管理员查看,应在/etc/sudoers文件中增加“Defaults logfile”设置。

[root@llcgc ~]# visudo                //查找Defaults,在前面添加一行内容
。。。。。。
Defaults logfile = "/var/log/sudo"

(2)通过sudo执行特权命令

        对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令 的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下,普通用户执行时应使用绝对路 径,以下操作验证了使用sudo方式执行命令的过程。

[llc@llcgc ~]$ /sbin/ifconfig ens33:0 192.168.55.110/24   //未使用sudo的情况
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
SIOCSIFNETMASK: 不允许的操作
[llc@llcgc ~]$ sudo /sbin/ifconfig ens33:0 192.168.55.110/24

        在当前会话过程中,第一次通过sudo执行命令时,必须以用户自己的密码(不是root用户或其 他用户的密码)进行验证.此后再次通过sudo执行命令时,只要与前一次sudo操作的间隔时间不超 过5min(分),则不再重复验证.

        若要查看用户自己获得哪些sudo授权,可以执行‘sudo-l”命令.未授权的用户将会得到‘may not run sudo”的提示,已授权的用户则可以看到自己的sudo配置。

[llc@llcgc ~]$ sudo -l

       

如果已经启用sudo日志,则可以从/var/log/sudo文件中看到用户的sudo操作记录。

[root@llcgc ~]# tail /var/log/sudo

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/294729.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Unity之摄像机

一、摄像机类型 1.1 透视摄像机 透视摄像机有近大远小的效果,与我们在现实中看到的效果相同。所以当两个同样大小的物体到摄像机的距离不同时我们看到的大小也会不同。Unity的3D项目中默认使用的就是透视摄像机。 1.2 正交摄像机 正交摄像机没有近大远小的效果&am…

Linux 修改主机名称并通过主机名称访问服务器

一、命令提示符简介 当我们打开终端的时候,我们要输入命令的左边就是命令提示符,如下图,接下来介绍下他们分别代表什么含义 1、root 和 xhf 表示的是当前登录的用户名称。 2、node2 表示的当前的主机名称。 3、~ 表示的是当前的目录 4、# 表示…

BIND DNS 自定义zabbix监控

一、DNS统计计数器 Bind9可以使用rndc stats 命令将相关DNS统计信息存储到工作目录下,默认位置在: statistics-file "/var/named/data/named_stats.txt"; 每当名称服务器执行rndc stats命令,都会统计在统计信息文件最后附加一…

paddlehub 文本检测使用

PaddleHub负责模型的管理、获取和预训练模型的使用。 参考:https://github.com/PaddlePaddle/PaddleHub/tree/develop/modules/image/text_recognition/chinese_text_detection_db_server import paddlehub as hub import cv2 # from utils import cv_show import…

Charles的基础使用教程【Mac】

目录 1.安装 2.抓取https请求的前置操作 2.1安装证书: 2.2、SSL代理设置 3.Charles初识 1.安装 官网Charles下载安装即可,没有什么需要注意的地方 2.抓取https请求的前置操作 2.1安装证书: 未安装证书是这样的: 上述我们可…

BUUCTF--gyctf_2020_borrowstack1

这是一题栈迁移的题目,先看看保护: 黑盒测试: 用户可输入两次内容,接着看看IDA中具体程序流程: 我们看到溢出内容只有0x10的空间给我们布局,这显然是不足以我们布置rop的。因此肯定就是栈迁移了。迁到什么地…

React 入门 - 01

本章内容 目录 1. 简介1.1 初始 React1.2 React 相关技术点1.3 React.js vs Vue.js 2. React 开发环境准备2.1 关于脚手架工具2.2 create-react-app 构建一个 React 项目工程 1. 简介 1.1 初始 React React JS 是 Facebook 在 2013年5月开源的一款前端框架,其带来…

Camtasia2024录屏软件简单实用的4K录制视频软件

Camtasia是一款功能强大的屏幕录制软件,适用于Windows和Mac操作系统。它具有简单的操作界面和丰富的编辑功能,coco玛奇朵可以让你轻松录制和编辑屏幕视频。Camtasia还支持添加文字、图像、动画等元素,同时提供了丰富的特效和滤镜功能&#xf…

Python中的类以及对象 与 self关键字的介绍

Python中的类 类的定义 在Python中,类是一种用户定义的复杂数据类型 类提供了一种组织代码和数据的方式,用来创建现实世界对象的蓝图 一个类,是由成员变量(属性)和函数(类的方法)组成的 |------成员属性 类------||------类的方法定义格式 class Teacher: #-----类名de…

打工人的2.0时代,只需要一副AR眼镜!

在数字化时代,工业行业中的生产效率如何得到提升?工业AR眼镜或许是一个不错的选择。不过工业AR眼镜真的可以协助员工处理工作中所遇到的各种问题吗?我们以制造业、医疗行业、船舶业的不同从业者为例: 假如你是一名制造业从业者&am…

这些流行的K8S工具,你都用上了吗

关注【云原生百宝箱】公众号,获取更多云原生消息 本文介绍了一些流行的 Kubernetes 工具和常见的集群组件。例如 Helm 作为 Kubernetes 应用的包管理器,以及本地开发所需的 Kubernetes 发行版。另外提及了一些常见的集群组件,如集群自动缩放器…

C/C++输入函数总结

1、cin 2、cin.get 3、cin.getline 4、getline 5、gets 6、getchar 1、cin 可以接受单个字符和字符串,但遇空格,"TAB","回车"结束!!! 若不跳过空白字符,使用 noskipws 流控制。 使用方法如…

nacos 2.* 部署在linux服务器无法注册问题

通过sdk注册代码 报错 Exception in thread "main" ErrCode:-401, ErrMsg:Client not connected, current status:STARTING at com.alibaba.nacos.common.remote.client.RpcClient.request(RpcClient.java:639) at com.alibaba.nacos.common.remote.client…

Python 使用 selenium 进行自动化测试或者协助日常工作

Python 使用 selenium 进行自动化测试 或者协助日常工作,内容如下所示: 1、基础准备 需要准备 Python 环境需要安装 selenium 模块 pip install selenium 需要下载谷歌浏览器驱动程序 ,下载地址为 下载对应版本驱动程序 查询谷歌浏览器版本…

STM32疑难杂症

1.keil的奇怪问题 创建的数组分配内存到0x10000000地址的时候,数据总是莫名其妙的出现问题,取消勾选就正常了 stm32f407内部有一个CCM内存,这部分内存只能由内核控制,任何外设都不能够进行访问。这样问题就来了,如果使用keil5进行编程时勾选了这个选项(下图),则编译的…

Linux———cat命令详解

目录 cat 命令是 Linux 中用于查看文件的内容或将多个文件合并输出。 基本语法: 常用选项: 示例用法: 查看文件的内容: ​编辑 将多个文件的内容合并输出: ​编辑 显示每一行的行号: ​编辑 显示非…

TemporalKit的纯手动安装

最近在用本地SD安装temporalkit插件 本地安装插件最常见的问题就是,GitCommandError:… 原因就是,没有科学上网,而且即使搭了ladder,在SD的“从网址上安装”或是“插件安装”都不行,都不行!!&am…

函数式编程及应用

目录 什么是Lambdalambda表达式的类型及实现方式类型语法 常用函数式接口Customer 函数式编程在Stream中的应用总结参考资料 什么是Lambda Lambda 表达式是 JDK8 的一个新特性,可以取代大部分的匿名内部类,写出更优雅的Java代码。 Lambda 表达式描述了一…

Spring国际化的应用及原理详解

1. 简介 Spring国际化(Spring Internationalization,简称i18n)是Spring框架提供的一种机制,用于支持多语言的应用程序。它使得开发者能够轻松地在应用程序中实现不同语言的支持,从而满足全球化的需求。通过Spring国际…

Selenium-java 定位元素时切换iFrame时的方法

具体方法如下图所示,如果iFrame中嵌套多层iFrame需要逐层定位到需要的那一层iFrame,完成操作后,执行该代码:driver.switchTo() .defaultContent() ; 是返回最顶部的frame