linux系统安全加固

目录

1、账户安全基本措施

1)系统账户清理

2)密码安全控制

3)命令历史限制

2、用户切换及提权

1)使用 su命令切换用户

2)使用sudo机制提升权限

3、系统引导和安全登录控制

1)开机安全控制

2)终端登录安全控制

4、补充:linux系统安全加固方案

1、账户安全基本措施

1)系统账户清理

a、将非登录用户的shell设置为/sbin/nologin (/sbin/nologin:禁止终端登录)

[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | wc -l      #统计不能登录系统的用户数量
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | awk -F: '{print $1}' > nologin.txt  # 将不能登录系统的用户输出到nologin.txt文件中

b、锁定长期不适用的账号(例如一些用户长期不使用,但是不确认是否删除)

[root@localhost ~]# useradd ami                       #创建用户并且设置密码
[root@localhost ~]# echo "123123" | passwd --stdin ami 
[root@localhost ~]# usermod -L ami                    #锁定用户,锁定后将不能登录
[root@localhost ~]# passwd -S ami                     #查看用户密码状态
[root@localhost ~]# usermod -U ami                    #解锁
[root@localhost ~]# passwd -S ami

c、锁定账号文件/etc/passwd /etc/shadow

假如:服务器账户已经固定,不在进行更改,可以锁定。

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  				#锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow     				#查看文件状态
[root@localhost ~]# useradd xiaoming							    #创建用户测试
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow  				#解锁
[root@localhost ~]# useradd xiaoming								#再次创建用户测试
[root@localhost ~]# echo "123123" | passwd --xiaoming

2)密码安全控制

a、设置密码的有效期

[root@localhost ~]# sed -i 's/PASS_MAX_DAYS 99999/PASS_MAX_DAYS 30/g' /etc/login.defs

适用于已有用户

[root@localhost ~]# chage -M 30 zhangsan

 b、强制在下次登录时更改密码

[root@localhost ~]# chage -d 0 ami

3)命令历史限制

a、减少记录的命令条数

[root@localhost ~]# sed -i '/HISTSIZE=1000/cHISTSIZE=5' /etc/profile
[root@localhost ~]# sed -n '/HISTSIZE=5/P' /etc/profile
[root@localhost ~]# source /etc/profile  				#使其生效
[root@localhost ~]# history  			 				#查看历史记录

b、终端自动注销

在bash终端环境中可以设置一个限制超时时间,当超过指定时间没有任何操作自动注销终端。

[root@localhost ~]# echo "export TMOUT=30" >> ~/.bash_profile		#终端30秒不做任何操作将自动注销
[root@localhost ~]# source ~/.bash_profile   						#使其生效

2、用户切换及提权

1)使用 su命令切换用户

a、用途及用法

格式:su - 目标用户						# 带 - 选项表示将使用目标用户的登录 Shell 环境

b、限制使用su命令的用户

默认都可以使用su命令,姿势允许少量用户使用。

启用pam_wheel认证模块:

[root@localhost ~]# vim /etc/pam.d/su
#%PAM-1.0
auth        sufficient  pam_rootok.so          				# 默认就有
auth        required    pam_wheel.so use_uid   				# 将前面 # 去掉
[root@localhost ~]# grep wheel /etc/group
[root@localhost ~]# su - ami
[zhangsan@localhost ~]$ su -
[zhangsan@localhost ~]$ exit

c、查看su操作记录

安全日志文件:/var/log/secure

[root@localhost ~]# tail /var/log/secure

2)使用sudo机制提升权限

sudo :普通用户拥有一部分管理权限,且不需要知道root密码。

a、sudo命令的用途及用法

用途:已其他用户身份(如root)执行授权的命令。
格式:sudo 执行的授权命令

b、配置sudo授权/etc/sudoers

3、系统引导和安全登录控制

1)开机安全控制

2)终端登录安全控制

a、限制root只在安全终端登录

[root@localhost ~]# sed -i '/tty5/c#tty5' /etc/securetty
[root@localhost ~]# sed -n '/#/p' /etc/securetty
#tty5

b、禁止普通用户登录 (在服务器维护期间临时使用)

创建/etc/nologin文件,login程序会检查该文件是否存在,如果存在,则会拒绝普通用户登录系统。(root用户不受限制)

[root@localhost ~]# touch /etc/nologin

 使用ami用户在终端验证:

删除/etc/nologin文件或者重启即可恢复正常

[root@localhost ~]# rm /etc/nologin

再次使用ami用户在终端验证:

4、补充:linux系统安全加固方案

1、最小化进程启动权限,尽可能使用非root账号启动过程。
2、停用和清理无关无用的服务器和系统服务。
3、仅对必要端口开放互联网访问权限,其他端口仅允许可信任的网络进行访问。
4、服务器、管理后台等账号要设置复杂的密码,并定期跟换。
5、禁止互联网连接服务器 ,管理后台,限制可信任IP访问或通过跳板机安全访问。
6、对系统敏感文件或目录的变化进行事件的监控。
7、对上线的服务器和应用程序进行安全漏洞扫描,及时修复发现的漏洞。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/636388.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

docker如何拉取nginx最新镜像并运行

要拉取Docker Hub上的最新Nginx镜像,您可以使用以下命令: docker pull nginx 这个命令会从Docker Hub下载最新版本的Nginx镜像。如果您想要拉取特定版本的Nginx镜像,可以指定版本号,例如: docker pull nginx:1.18.0 拉…

实在智能签约世界机械500强特变电工 ,加速能源装备巨头智能化升级

近日,世界机械500强、中国企业500强特变电工集团正式与实在智能达成战略合作,由实在智能为其部署RPA数字员工解决方案,助力集团公司各级财务部门提升自动化水平,进一步实现集团内降本增效目标。 关于特变电工 特变电工是国家级高…

AI工具推荐:提升工作效率与生活质量

有哪些好用,且国内可用的AI工具? 副本 在AI大发展的年代,还有人在工作、生活中没有使用过AI吗? 今天为大家推荐几款国内可用、好用的AI工具,不论是自媒体文案写作、打工人汇报PPT、还是论文、公文写作,总…

Centos7离线安装RabbitMQ教程

目录 安装包准备开始安装1. 创建目录2. 上传文件3. 安装erlang语言4. 安装socat5. 安装rabbitmq6. 启动、停止rabbitmq7. 设置开机启动8. 开启web界面管理工具9. 开启防火墙(root)10. 访问页面11. 附录 安装包准备 (1)准备RabbitMQ的安装包(…

使用中心点检测进行对象检测、3D 检测和姿态估计:

检测将对象识别为图像中轴对齐的框。大多数成功的物体检测器都枚举了几乎详尽的潜在物体位置列表,并对每个位置进行分类。这是浪费、低效的,并且需要额外的后处理。在本文中,我们采用了不同的方法。我们将一个对象建模为一个点,即…

张驰咨询:告别杂乱无章,让精益生产培训帮你搞定一切!

在当今快速变化和竞争激烈的市场环境中,企业要想持续发展,提升生产效率和降低成本是关键。精益生产培训作为一种高效的生产方式和管理哲学,为企业提供了实现这些目标的有效途径。以下是张驰咨询对精益生产培训核心理念、实践方法及其对企业持…

关于光照模型

关于光照模型 早期学习笔记,转载自早期Excel。 存在大量格式错误、可读性非常低,建议等待作者修复后阅读、或者作为查找性材料使用。 中文名英文名/缩写说明长什么样兰伯特光照模型Lambert Lighting1.兰伯特反射(Lambert)是最常见的一种漫反射&#x…

C++ const_cast学习

语法&#xff0c; const_cast<type_name>(expression) type_name是转换的类型&#xff0c;expression是被转换的对象或者表达式&#xff1b; const_case有两个功能&#xff0c;分别是去掉const和加上const&#xff0c;更多用于去掉const&#xff0c;修改被const修…

亚马逊卖家账号注册复杂吗?需要什么辅助工具吗?

在当今数字化的商业世界中&#xff0c;亚马逊作为全球最大的电商平台之一&#xff0c;吸引着无数的卖家和买家。对于想要进入亚马逊销售市场的卖家来说&#xff0c;首先要完成的一项重要任务就是注册亚马逊卖家账号。本文将详细介绍亚马逊注册的步骤、所需时间&#xff0c;以及…

软件无线电学习-第二代移动通信系统过程理解

本文知识内容摘自《软件无线电原理和应用》 无线通信领域让大家感受最深的是民用移动通信的快速发展。民用移动通信在短短的二十年时间里已发展了三代&#xff1a;20世纪80年代的模拟体制(TACS/AMPS)为第一代移动通信(简称1G)&#xff1b;20世纪90年代的数字体制(GSMCDMATDMA)…

Git原理及常用命令小结——实用版(ing......)、Git设置用户名邮箱

Git基本认识 Git把数据看作是对小型文件系统的一组快照&#xff0c;每次提交更新&#xff0c;或在Git中保存项目状态时&#xff0c;Git主要对当时的全部文件制作一个快照并保存这个快照的索引。同时&#xff0c;为了提高效率&#xff0c;如果文件没有被修改&#xff0c;Git不再…

招展工作全面启动!2024深圳国际数字能源展览会

2024深圳国际数字能源展览会 2024 International Digital Energy Expo 时间:2024年9月8-11日 地点:深圳会展中心 指导单位&#xff1a; 国家能源局 深圳市人民政府 中国电力企业联合会 主办单位&#xff1a; 深圳市投资控股有限公司 深圳能源集团股份有限公司 深圳市资…

Pantera 合伙人简谈 Morpho:更高效、适应性更强的 DeFi 解决方案

原文标题&#xff1a;《Pioneering Peer-to-Peer Lending in the DeFi Revolution》撰文&#xff1a;Pantera Capital 合伙人 Paul Veradittakit编译&#xff1a;Chris&#xff0c;Techub News 文章来源&#xff1a;香港Web3媒体Techub News Morpho 正在超越 Compound 等传统…

pyqt 浮动窗口QDockwidget

pyqt 浮动窗口QDockwidget QDockwidget效果代码 QDockwidget QDockWidget 是 PyQt中的一个控件&#xff0c;它提供了一个可以停靠在主窗口边缘或者浮动在屏幕上的窗口小部件&#xff08;widget&#xff09;。QDockWidget 允许用户自定义其界面&#xff0c;并提供了灵活的停靠和…

每日一题《leetcode--116.填充每个结点的下一个右侧结点》

https://leetcode.cn/problems/populating-next-right-pointers-in-each-node/ 题目要求给每个结点的next指针进行填充&#xff0c;使每个结点的next指针指向其下一个右侧结点。如果右侧没有结点&#xff0c;则将next指针设置为空。 struct Node* connect(struct Node* root) {…

浅谈金融行业数据安全分类分级

数据安全管理是一项从上而下的、多方配合开展的工作。在进行数据安全管理组织架构建设时&#xff0c;需要从上而下建设&#xff1b;从而全面推动数据安全管理工作的执行和落地&#xff1b;以保证数据安全的合法合规、并长效推动业务的发展和稳定运行。 金融行业机构应设立数据…

docker 安装 MongoDB

文章目录 一、拉取镜像二、创建目录三、启动 版本&#xff1a; 4.2.21 注意&#xff1a;本身这个安装教程是在安装 yapi 时写的&#xff0c;所以如果只安装MongoDB 是可以简化部分与 yapi 有关的内容 一、拉取镜像 docker pull mongo:4.2.21二、创建目录 mkdir -p /data/doc…

在 Ubuntu Server 22.04 上安装和配置 Kubectl

在 Ubuntu Server 22.04 上安装和配置 Kubectl 如何在 Ubuntu Server 22.04 上安装和配置 Kubectl&#xff0c;以便管理 Kubernetes 集群。 前提条件 在开始之前&#xff0c;请确保您已满足以下要求&#xff1a; 已安装 Ubuntu Server 22.04已安装 Kubernetes 集群拥有集群…

【Python脚本随手笔记】-- 将 “庆余年2” 等信息写入 Txt 文件中

&#x1f48c; 所属专栏&#xff1a;【Python脚本随手笔记】 &#x1f600; 作  者&#xff1a;我是夜阑的狗&#x1f436; &#x1f680; 个人简介&#xff1a;一个正在努力学技术的CV工程师&#xff0c;专注基础和实战分享 &#xff0c;欢迎咨询&#xff01; &#…

WordPress插件Disable WP REST API,可根据是否登录来禁用REST API

前面跟大家分享了代码版禁用WordPress REST API的方法&#xff08;详见『WordPress4.7以上版本如何禁用JSON REST API&#xff1f;』&#xff09;&#xff0c;不过有些站长不太敢折腾自己的网站代码&#xff0c;那么建议试试这款Disable WP REST API&#xff0c;它可以&#xf…