Linux系统安全

Linux系统安全

系统账号清理：

蜜玛安全控制

设置蜜玛有效期

要求用户下次登陆时修改蜜玛

终端自动注销：闲置600秒后自动注销

1.vi /etc/profile                   #编辑全局变量配置文件

2.export TMOUT=600          #输出timeout=600

使用 su 命令切换用户

命令格式: su -用户目标

蜜玛验证：

root用户切换任意用户，不需要验证蜜玛拥有最大权限

普通用户切换任意用户，需要目标用户蜜玛

限制使用su命令切换用户：

​将允许使用su命令的用户加入wheel组中

启用pam_wheel认证模块

1.以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。

2.两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入蜜玛n如果第一行不注释，则root使用su切换普通用户就不需要输入蜜玛(pam_rootok.so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入蜜玛。)

3.如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。

4.如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

查看su操作记录: cat /var/log/secure

Linux中的PAM安全认证

su命令的安全隐患：

1.​默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root)的登录蜜玛，带来安全风险

2.为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

PAM可插拔式认证模块：

​1.是─种高效且灵活便利的用户级别的认证方式

2.也算是当前Linux服务器普遍使用的认证方式

PAM认证原理：

1.PAM认证一般遵循的顺序:Service(服务）-> PAM(配置文件）-> pam_*.so;

2.PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d 下)，最后调用认证模块(位于/ lib64/ security/下)进行安全认证。

3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAw模块进行认证。不同的应用程序所对应的PAM模块也是不同的。

如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看letc/pam.d/。PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

可使用ls命令查看某个程序是否支持PAM认证：

PAM的构成：

每一行都是一个独立的认证和过程，它们按从上往下的顺序依次由PAM模块调用

每行都有三个分区:认证类型、控制类型、PAM模块、PAM模块参数

查看一个login配置文件，先cd letc/pam.d/，ls查看有哪些，cat选择一个。

各个分区的解释：

第一列代表PAM认证模块

第二列代表PAM控制标记

第三列：

PAM模块:CentOS7默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。

同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块参数，这个需要根据所使用的模块来添加：

sudo命令：

作用:提升执行权限（使用其他用户的执行)

用法: sudo 授权命令

设置sudo授权

​通过: vim /etc/sudoers

通过: visudo​

​1. visudo或者viletclsudoers(此文件的默认权限为440，保存退出时必须执行“: !"命令来强制操作)

2.记录格式︰用户主机名=命令程序列表

用户:直接授权指定的用户名，或采用"%组名"的形式(授权一个组的所有用户)。

主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主

(用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令

命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号","进行分隔。A.则代表系统中的所有命令

查看sudo操作记录：

1.visudo进入配置

2.添加默认日志文件

3.查看（cat）

开关机安全控制

1.调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘

禁止从其他设备(光盘、U盘、网络)引导系统

将安全级别设为setup，并设置管理员蜜玛

2.GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥

修改/etclgrub.d/00_header文件中，添加蜜玛记录

生成新的grub.cfg配置文件

配置：

grub2-mkpasswd-pbkdf2        #根据提示设置GRUB菜单的蜜玛

PBKDF2 hash of your password is grub.pbkdf2. . . .

#省略部分内容经过加密生成的蜜玛字符串

cp / boot/grub2/grub.cfg / boot/grub2lgrub.cfg. bak

cp /etc/grub.d/oo_header /etc/grub.d/oo_header. bak

vim /etc/grub.d/oo_header

cat <

set superusers="root"                         #设置用户名为root

password pbkdf2 root grub.pbkdf2.....

#设置蜜玛，省略部分内容为经过加密生成的蜜玛字符串

EOF

grub2-mkconfig -o /boot/grub2/grub.cfg         #生成新的grub.cfg文件

​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。