linux（系统安全）

基本安全措施

1.系统账号

将非登陆的用户shell设置为程序用户

方法一：usermod -s 将shell改为/sbin/nologin

方法二：chsh命令，交互式修改

方法三：chsh -s

 

2.锁定长期不使用的账号

方法一：passwd -l　　　解锁passwd -u 查看 passwd -S

方法二：usermod -L 　　解锁usermod -U

 

3.删除账号文件

方法一：userdel 

 

4.锁定账号文件

锁定：chattr +i /etc/passwd /etc/shadow

解锁：chattr -i /etc/passwd/ /etc/shdow

查看：lsattr /etc/passwd /etc/shadow

 

5.密码安全控制

设置密码有效期

方法一：chage -M 

方法二：passwd -x

设置默认密码有效期

方法：vim编辑/etc/login.defs文件。修改“PASS_MAX_DAY”后面的数值

 

6.要求用户下次登陆时修改密码

方法一：chage -d 0

 

命令历史限制

1.减少历史的命令条数

方法一：vim编辑/etc/profie文件，修改“HISTSIZE”后面的数值

方法二：export HISTSIZE=数值

 

2.注销时自动清空历史命令

方法：vim编辑宿主目录下的“bash_logout”文件，添加“history-c”

 

3.终端自动注销

方法一：vim编辑/etc/profile文件，添加TMOUT=数值

方法二：export TMOUT=数值

 

su

作用：切换用户

格式：su 【-】 目标用户

查看su操作记录

安全日志文件：/var/log/secure

 

sudo

作用：提升权限

配置sudo授权

方法一：添加单个用户的sudo授权

格式：用户 主机名列表=命令程序列表，命令前加！表示“除了”此命令

方法二：批量授权

wheel组

查看sudo操作记录

第一步：visudo 或 vim /etc/sudoers 添加 “Defaults logfile=/var/log/sudo”

第二步：cat/var/log/sudo

 

弱口令检测

下载密码分析工具，定期尝试对shadow文件进行弱口令检测，检测到弱口令后，让该用户下次登陆强制跟换密码

 

SNMP

作用：端口检测

个数：nmap 【扫描类型】【选项】<扫描目标>

常用的扫描类型

sS：TCP SYN扫描

sT：TCP链接扫描

sF：TCP FIN扫描

sU：UDP 扫描

sP：ICMP扫描

sO：跳过ping检测

常用选项：

n：禁止DNS反向解析

p：指定端口号