做直播网站需要什么资质,小程序报价单模板,福州市有哪些制作网站公司,怎么看商标有没有注册1、基本安全措施
1.1、系统账号清理 在Linux系统中#xff0c;除了用户手动创建的各种账号之外#xff0c;还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外#xff0c;其他大量账号只是用来维护系统运作、启动或保持服务进程#xff0c;一般是不允…1、基本安全措施
1.1、系统账号清理 在Linux系统中除了用户手动创建的各种账号之外还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外其他大量账号只是用来维护系统运作、启动或保持服务进程一般是不允许登录的因此也称为非登录用户账号。 常见的非登录用户账号包括bin、daemon、adm、lp、mail等。为了确保系统安全这些用户账号的登录Shell通常是/sbin/nologin表示禁止终端登录。
[rootlocalhost ~]# grep /sbin/nologin /etc/passwd
bin:x:1:1:bin:/bin:/sbin/nologin
······//省略输出内容 各种非登录用户账号中还有相当一部分是很少用到的如games。这些用户账号可以视冗余账号直接删除即可。除此之外还有一些随应用程序安装的用户账号若下载程序以后未能自动删除则需要管理员手动进行清理。
[rootlocalhost ~]# usermod -L zhangsan //锁定账号
[rootlocalhost ~]# passwd -S zhangsan //查看账号状态
zhangsan LK 2024-01-05 0 99999 7 -1 (密码已被锁定。)
[rootlocalhost ~]# usermod -U zhangsan //解锁账号
[rootlocalhost ~]# passwd -S zhangsan
zhangsan PS 2024-01-05 0 99999 7 -1 (密码已设置使用 SHA512 算法。)如果服务器中的用户账号已经固定不在进行更改还可以采取锁定账号配置文件的方法。使用chattr命令分别结合i-i选项来锁定、解锁文件使用lsattr命令可以查看文件锁定情况。
[rootlocalhost ~]# chattr i /etc/passwd /etc/shadow //锁定文件
[rootlocalhost ~]# lsattr /etc/passwd /etc/shadow //查看为锁定的状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[rootlocalhost ~]# chattr -i /etc/passwd /etc/shadow //解锁文件
[rootlocalhost ~]# lsattr /etc/passwd /etc/shadow //查看为解锁的状态
---------------- /etc/passwd
---------------- /etc/shadow在账号文件被锁定的情况下其内容将不允许变更因此无法添加、删除账号也不能更改用户的密码、登录Shell、宿主目录等属性信息。
[rootlocalhost ~]# chattr i /etc/passwd /etc/shadow
[rootlocalhost ~]# useradd lisi
useradd无法打开 /etc/passwd2、密码安全控制 在不安全的网络环境中为了降低密码被猜出或被暴力破解的风险管理元可以在服务器端限制用户密码的最大有效天数对于密码已过期的用户登录时将被要求重新设置密码否则将解决登录。
[rootlocalhost ~]# vim /etc/login.defs //适用于新建的用户
PASS_MAX_DAYS 30
[rootlocalhost ~]# chage -M 30 lisi //适用于已有的lisi用户在某些特殊情况下如要求批量创建的用户初次登录时必须自设密码根据安全规划同一要求所有用户更新密码等可以由管理员执行强制策略以便用户在下次登录时必须更改密码。
[rootlocalhost ~]# chage -d 0 zhangsan 更改用户 zhangsan 的密码 。
为 zhangsan 更改 STRESS 密码。
当前UNIX 密码
新的 密码
重新输入新的 密码
passwd所有的身份验证令牌已经成功更新。3、命令历史、自动注销 Bash终端环境中历史命令的记录跳数由变量HISTSIZE控制默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值可以影响系统中的所有用户。
[rootlocalhost ~]# vim /etc/profile //适用于新登录用户
······ //省略部分内容
HISTSIZE1000
[rootlocalhost ~]# export HISTSIZE200 //适用于当前用户除此之外还可以修改用户宿主目录中的~/.bash_logout文件添加清空历史命令的操作语句。这样当用户退出已登录Bash环境以后所记录的历史命令将自动清空。
[rootlocalhost ~]# vim .bash_logout
history -c
clearBash终端环境中还可以设置一个闲置超时时间当超过指定的时间没有任何输入时即自动注销终端这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置超时由变量TMOUT来控制默认单位为秒s
[rootlocalhost ~]# vim /etc/profile //适用于新登录用户
export TMOUT600
[rootlocalhost ~]# export TMOUT600 //适用于当前用户需要注意的是当正在执行程序代码编译修改系统配置等耗时较长的操作时应避免设置TMOUT变量必要时可以执行unset TMOUT命令取消TMOUT变量设置。
4、用户切换与提权
4.1、su命令——切换用户 使用su命令可以切换为指定的另一个用户从而具有该用户的所有权限
[zhangsanlocalhost ~]$ su - root
密码 //输入用户root的密码
上一次登录五 1月 5 16:46:55 CST 2024从 192.168.136.1pts/1 上
[rootlocalhost ~]# //验证成功后获得root权限 默认情况下任何用户都允许使用su命令从而有机会反复尝试其他用户的登录密码可以借助于pam_wheel认证模块只允许极个别用户使用su命令进行切换
[rootlocalhost ~]# gpasswd -a zhangsan wheel //将zhangsan添加到wheel组中
正在将用户“zhangsan”加入到“wheel”组中
[rootlocalhost ~]# grep wheel /etc/group //确认wheel组成员
wheel:x:10:zhangsan
[rootlocalhost ~]# vim /etc/pam.d/su
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid启用pam_wheel认证以后未加入到wheel组内的其他用户将无法使用su命令尝试进行切换时将提示解决权限
[lisilocalhost ~]$ su - root
密码
su: 拒绝权限
[lisilocalhost ~]$ 4.2、sudo命令——提升执行权限
1在配置文件/etc/sudoers中添加授权 sudo机制的配置文件为/etc/sudoers文件的默认权限为440需使用专门的visudo工具进行编辑。 授权用户lisi能够执行ifconfig命令来修改IP地址而wheel组的用户无需验证密码即可执行任何命令。
[rootlocalhost ~]# visudo
lisi localhost/sbin/ifconfig
%wheel localhostNOPASSWD: ALL若要查看用户自己获得哪些sudo授权可以执行sudo -l命令
[lisilocalhost ~]$ sudo -l
[sudo] lisi 的密码用户 lisi 可以在 localhost 上运行以下命令(root) /sbin/ifconfig如果已经启用sudo日志则可以从/var/log/sudo文件中看到用户的sudo操作记录
[rootlocalhost ~]# tail /var/log/sudo
