Linux系统——系统安全及应用

系统账号清理

将非登录用户的shell设为/sbin/nologin

方法一：usermod -s

方法二： chsh命令，交互式修改，用来修改用户的登录情况

方法三： chsh -s

方法四：vim /etc/passwd

锁定长期不使用的账号

方法一：passwd -l 用户名  密文前会出现2个！ 解锁passwd -u 查看passwd -S

方法二：usermod -L 用户名  密文前会出现1个！解锁usermod -U

删除无用的账号

userdel -r 用户名

锁定账号文件

（1）i锁

查看：lsattr  /etc/passwd  /etc/shadow

锁定：chattr  +i  /etc/passwd  /etc/shadow

解锁:  chattr  -i  /etc/passwd  /etc/shadow

i锁一般只用于超级用户；锁定后即便是超级用户，也不能修改文件，既不能创建、删除、修改用户信息；常使用在passwd上，因为一旦使用i锁，就不能创建用户，只能查看，可以保证文件安全。

（2）a锁

查看：lsattr  /etc/passwd  /etc/shadow

锁定：chattr  +a  /etc/passwd  /etc/shadow

解锁:  chattr  -a  /etc/passwd  /etc/shadow

a锁可以正常查看，可以追加内容（echo），不能修改内容（vim）；如果，用a锁锁定passwd，可以创建用户不能修改、删除用户。

-R 递归增加权限

 

密码安全控制

（1）设置密码有效期

修改某个已存在用户的密码有效期：

chage -M 天数 用户名

passwd -x 天数 用户名

设置今后添加用户时的默认密码有效期：

方法一：vim编辑/etc/login.defs文件，修改“PASS_MAX_DAY”后面的数值

方法二：vim编辑/etc/shadow文件，修改第五部分

（2）要求用户下次登录时修改密码

方法：chage -d 0 用户名

命令历史限制

（1）减少历史的命令条数

history命令（默认保留1000条）

History  查看使用过的历史命令

history -c 清空历史记录

方法一： vim编辑/etc/profile文件（系统全局变量文件，所有和变量相关的命令都放在这个文件中），修改“HISTSIZE=”后面的数值

方法二： export HISTSIZE=数值（仅当前环境用户下生效）

（2）注销时自动清空历史命令

方法：vim编辑宿主目录下的“.bash_logout”文件，添加“history -c”

终端自动注销

方法一：vim编辑/etc/profile文件，添加“TMOUT=数值”

方法二： export TMOUT=数值（仅当前环境用户下生效）

更改端口号

在/etc/ssh/目录下

# vim sshd_config

在port 22处更改端口号（工作中一般将端口号设置为一万以上）

*******************************************************************************

su命令

作用：切换用户

su 目标用户 切换账号，之前的进程并没消失；环境变量不改变

（exit也可用Ctrl+d操作，退出用户）

su - 目标用户 以普通用户的初始环境切换成普通用户，环境变量会重置成普通用户环境变量

su -c 临时切换到某一个用户，执行一个命令，执行完，自动返回当前用户；切换到一个shell，执行一个命令，然后退出所切换的用户环境

su -m 切换用户时，不重置用户环境

su -s 若/etc/shell允许，则运行指定的shell

su命令常用在/etc/rc.local

# vim  /etc/rc.local

su  - 用户 -c 命令  实现以普通用户实现进程，安全操作，表示仅限在xx用户下启动的服务命令脚本

查看su操作记录

安全日志文件：/var/log/secure

# tar /var/log/secure|less

sudo命令

su命令的缺点：在使用su命令时，不指定用户名默认切换至root用户，需要经常输root用户密码，但实际生产中root密码是不可以被广泛告知的。如果需要执行root用户才有权限的命令，需要通过sudo命令或wheel组的设置来实现。

sudo的配置文件 /etc/sudoers

sudo命令

-l 列出用户在主机上可用的和被禁止的命令：当配置好sudo权限规则后，可用这个参数来查看授权情况

-v 验证用户的时间戳，当用户运行sudo，输入用户的密码后，在短时间内可以不用输入口令直接进行sudo操作；用-v可以跟踪最新的时间戳

-u指定以某个用户身份执行特定的命令操作，chensiqi ALL=(ALL) /bin/cp

-k同-K，删除时间戳，下一个sudo命令要求提供密码，前提是该用户授权中不能有NOPASSWD参数。时间戳默认5分钟也会失效。

配置sudo授权（激活sudo）

方法一：# visudo 或# vim /etc/sudoers 修改，只有root用户才能使用

在root这一行下面，按照root的格式，对benet进行授权

visudo授权配置中，ALL的表示：

第一个ALL：IP地址

第二个ALL：主机别名

第三个ALL：限制的命令

visudo  -c    检查sudo配置文件是否有错误

sudo 授权命令

默认设置为首次执行时，需输入当前用户的登陆密码，5分钟内再次执行sudo命令式则无需再输入密码。

设置IP地址权限

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=       ALL

单独授权某个命令

在第三个ALL上操作（绝对路径）

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=       /sbin/fdisk

此时，只有sudo fdisk这个命令可以使用（因为只有fdisk被授权）

授权多个命令

在第三个ALL上操作（绝对路径），用逗号“，”分隔。

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=       /sbin/fdisk,/bin/ls

批量授权（存在优先级，先输入允许操作的命令（绝对路径），在输入不允许操作的命令（绝对路径））

对benet用户授权/sbin/下所有目录，除了/sbin/reboot命令

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=(ALL)       /sbin/*,! /sbin/reboot

批量授权，排除多个命令权限，用“，！ ”分隔

若为! /sbin/fdisk /dev/sda 表示不允许/sbin/fdisk执行/dev/sda*

让一个普通用户自己分区，但禁止该用户采取任何破坏系统的操作（将A盘进行分区会破坏系统）

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=(ALL)       /sbin/*,! /sbin/reboot,! /sbin/fdisk /dev/sda*

不允许/sbin/fdisk 执行/dev/sda*，但由于授予/sbin/所有前线，则可以对其他盘进行分区

对普通用户授权：只看日志

# visudo

在“root     ALL=(ALL)      ALL”行下，输入

benet        192.168.214.134=(ALL)       /bin/cat /var/log/messages*

！！！但是“看”的命令不仅仅是cat，还有more、less、head、tail、tac、sed、awk等，需要将它们全部授权（绝对路径）。

查看sudo操作记录

先# visudo 添加“Defaults logfile=/var/log/sudo”，再# cat /var/log/sudo

*************************************

Grub菜单限制 

密码设置方式

将明文密码设为密文

grub-md5-crypt命令获取加密密码串

将加密密码串复制进/etc/grub.conf文件

**************************************

终端登录安全控制

减少开放终端个数

vim编辑两个配置文件：/etc/init/start-ttys.conf和/etc/sysconfig/init

限制root只在安全终端登录

vim编辑/etc/securetty配置文件，将禁止的终端注解掉（在注解的终端前加#号）

禁止普通用户登录

# touch /etc/nologin，删除/etc/nologin 这个空文件即可恢复（rm -f /etc/nologin）。

***************************************

NMAP端口检测

Nmap -sS  TCP同步扫描（TCP SYN）

-sT  TCP连接扫描

-sn  不进行端口扫描，只检查主机正在运行

-sU  扫描UDP端口

-sV  探测服务版本信息

-Pn  只进行扫描，不ping主机

-PS  使用SYN包对目标主机进行扫描，默认是80端口，也可以指定端口，格式为-PS22或-PS22-25,80,113,1050,35000,记住PS和端口号之间不要有空格

-PU  使用UDP ping扫描端口

-O  激活对TCP/IP指纹特征的扫描，获得远程主机的标志，也就是操作系统类型

-v  显示扫描过程中的详细信息

-S  设置扫描的源IP地址

-g part  设置扫描的源端口

-oN  把扫描的结果重定向到文件中