系统安全：

1）保护数据安全，

2）互联网，网络业务服务等，必须要通过工信部的资质审核

3）保护品牌形象

应用：

账号安全

1）把不需要或者不想登录的用户设置为nologin

usermod -s nologin +用户名， 需要管理员权限

2）锁定用户

usermod -L +用户名

passwd -l +用户名

     解锁用户

usermod -U +用户名

passwd -u +用户用户

3）删除无用账号

userdel -r +用户名

4）锁定重要的文件

passwd shadow fatab ifcfg-ens33

查看文件状态：lsattr

如：lsattr /etc/passwd

---------表示没有状态

锁定文件：chattr +i /etc/passwd /etc/shadow

解锁文件：chattr -i /etc/passwd /etc/shadow

密码安全控制：

修改新建用户密码有效期：

/etc/login.defs，已有用户不受影响

修改已有用户密码有效期：

chage -M 30 用户名

如何强制用户在下一次登录强制修改密码

限制命令的历史记录

显示记录的所有历史命令：history

临时清除历史命令：history -c

永久修改历史记录：vim /etc/profile

设置登录的超时时间：vim /etc/profile

                               命令行最后加上：TMOUT=（设置的超时时间）

如图：

对用户切换进行限制

su ：切换用户， 不会更改环境变量，用的还是之前用户 shell，不完全切换

su - 用户名：使用自己的环境变量

如果在管理员（root）用户下，su相当于刷新。如果是普通用户就是切回管理员（root）

如何限制用户使用su这个命令

PAM安全认证：

linux系统身份认证的架构，提供了一种标准的身份认证的接口，允许管理员可以可以自定义认证的方式和方式

PAM认证是一个可插拔式的默认

PAM的认可类型：

认证模块：验证用户的省份，基于密码的认证方式

授权模块：控制用户对系统资源的访问，文件权限，进程的权限

账号管理模块：管理用户账户信息，密码过期策略，账户锁定策略

会话管理模块：管理用户会话，注销用户等

控制位：

必须要满足充分和必要条件才能通过

required：一票否决，只有成功才能通过认证，认证失败，也不会立刻结束，只有所有的要素验证完整才会最终返回结果。必要条件

requisite：一票否决，只有成功才能通过，但是一旦失败，其他要素不再验证，立刻结束。必要条件

sufficient：一票通过，成功了之后就是满足条件，但是失败了，也可忽略，成功了执行验证成功的结果，失败返回验证失败的结果，最终的结果。充分条件

optional：选项，反馈给用户的提升或者结果

wheel

wheel组：用来控制系统管理员的权限的一个特殊组

wheel组专门用来为root（管理员）服务

如果普通用户加入到了wheel组，就可以拥有管理员才能够执行的一些权限

但前面必须要加上sudo，sudo之后可以使用wheel组的特殊权限

wheel组默认是空的，没有任何成员，需要管理员手动添加

wheel组的权限很大，配置的时候要以最小权限的原则来进行配置

开关机安全控制

grub2 -setpassword ：给grub菜单设置密码，要修改菜单需要此密码

弱口令扫描工具

弱口令扫描工具：检测过于简单的密码

最后总结：

你会哪些系统加固？

1、锁定重要文件

2、修改history 命令的历史记录

3、禁止普通用户切换目录

4、设置sudo权限，普通用户

5、设置grub菜单加密

6、把一些默认端口号修改

7、内核参数 参数文件（/etc/sysctl.conf