2. it
  3. Linux基础防护

Linux基础防护

mac2025-12-21  8

一.用户账户安全

1.设置账户有效期

#chage -E 账户 指定失效日期 #chage -l 账户 查看账户信息 #cat /etc/login.defs 账户密码默认有效期

2.账户的锁定/解锁

#paswd -l 用户 锁定 #passwd -S 查看状态 #passwd -u 账户 解锁

3.强制定期修改密码

#chage -d 强制修改密码

4.伪装登录提示

#cat /etc/issue 原始文件 #cp /etc/issue /etc/issue.origin 备份文件 #vim /etc/issue.origin 修改文件内容

二.文件系统安全

1.程序和服务控制

2.锁定/解锁保护文件

#chattr +i 文件名 锁定文件(无法修改,删除) #chattr -i 文件名 锁定文件 #chattr +a 文件名 锁定文件(仅可追加) #chattr -a 文件名 锁定文件 #lsattr 文件名 查看特殊属性

三.使用sudo分配管理权限

1.su命令临时切换账户,并执行root命令

#su - -c “sysyemctl resatrt sshd” su到管理员启动ssh服务

2允许softadm管理系统服务

#useradd softadm #vim /etc/soduers 配置文件 Lishanshan ALL=(ALL) /usr/bin/systemctl #su - softadm $sudo -l 查看权限 $sudo systemctl resatrt httpd

3.允许useradm授权用户,例外程序!取反

#useradd useradm #vim /etc/sudoers Useradm ALL=(ALL) /usr/bin/passwd,!/user/bin/passwd root,/usr/sbin/user*, !/usr/sbin/user* * root #su - useradm $sudo -l $sudo useradd xxx 创建用户ok $sudo passwd xxx 修改普通用户密码ok $sudo passwd root root权限No

4.允许wheel组成员特权

#vim /etc/sudoers %wheel ALL=(ALL) ALL $sudo -l (root) /bin/*

5.为sudo启动日志记录,以便跟踪sudo操作

#visodu -Defaults logfile=”/var/log/sudo” #tail /var/log/sudores

6.sudo别名设置

用途:提高可用性,易读性,简化配置,记录更有条理 #visudo User_Alias OPERATORS=jerry,tom,tsengyia Host_Alias MAILSERVERS=mail,smtp,pop,svr7 Cmnd_Alias SOFMGR=/bin/rpm,/usr/bin/yum OPERATORS MAILSERVERS=SOFMGR

四.ssh基本防护

1.概述

密码嗅探,键盘记录 暴力账号,猜解密码

2.防护措施

用户限制,黑白名单 更改验证方式(密码—密钥对) 防火墙

3.安全配置

#vim /etc/ssh/sshd_conf -port 2222 改为非标准端口 -protocol 2 启用ssh V2版协议 -listenaddress 192.168.168.174 -permitrootlogin no 禁止root登录 -userDNS no 不解析客户端地址 -logingracetime 1m 登录超时

4.Sshd黑/白名单

#Vim /etc/ssh/sshd.conf -DenyUsers user1 user2 -AllowUsers user1@host -DenyGroups group1 -AllowGroups group1 AllowUsers lishanshan@192.168.0.*,192.168.4.100 AllowUsers tom bob john #service sshd reload

5.ssh密钥对

—口令认证 #vim /etc/ssh.sshd_conf passwordAuthentication yes pubkeyAuthentication yes Authorizedkeysfile ssh/authorized_keys —密钥验证

Mike$ssh-keygen $ssh-copy-id john@192.168.4.7 $ssh john@192.168.4.7

五.Selinux

1.什么是selinux?

强化linux安全的拓展模块

2.Selinux模式控制

#setenforce 0/1 #getenforce

3.查看安全上下文

#ls -Z /bin/ls #ls -dZ /var/www/html

4.修改安全上下文

----- -t 访问类型 ----- -R 递归修改 -----移动的文件,原有的上下文属性不变 -----复制的文件,自动继承目标位置上下文

5…调整selinux布尔值

#Getsebool -a #getsebool -P xxxxxxxxxx on

最新回复(0)